Digitale Zertifikate: SSL in Gefahr

KÖLN taz | "Dieses Mal war der Angriff auf den Iran begrenzt", schreibt ein Unbekannter mit dem Pseudonym "Comodohacker" in einer Botschaft an die Welt und die IT-Sicherheitsbranche im Speziellen.

"Nächstes Mal werde ich Zugänge in Israel, den USA und Europa besitzen und werde die Attacken dort laufen lassen." In seinen Manifesten gibt sich der mutmaßliche Angreifer als regimetreuer Iraner, der Landsleute abstrafen will, die sich aus dem Westen Informationen besorgen.

Die Sicherheitsbranche nimmt die teilweise großmäuligen Botschaften ernst. "Comodohacker" hat darin Details über SSL veröffentlicht, die nur ein Insider wissen kann. //taz.de/Angriff-auf-sichere-Online-Verbindungen/%2168791/%E2%80%9C:Bereits im März hatte der oder hatten die unbekannten Täter mehrere Unternehmen erfolgreich angegriffen.

Secure Sockets Layer (SSL) ist die Standard-Verschlüsselung für geschützte Websites mit Diensten wie Online-Banking, Handel oder Kommunikationdiensten. Auch Finanzämter und andere Behörden verlassen sich auf den Schutz durch SSL.

Aktuelles Ziel war das niederländische Sicherheitsunternehmen Diginotar. Der unbekannte Angreifer war in die Rechner des Unternehmens eingedrungen und hatte dort falsche Zertifikate ausgestellt, mit denen er sich unter anderem als Google ausgeben konnte. Nach Berichten wurden diese falschen Zertifikate im Iran eingesetzt. Über so genannte "Man in the middle"-Attacken konnten die Angreifer so zum Beispiel Nachrichten mitlesen, die über den Dienst "Google Mail" versandt wurde.

Dies ist nicht nur eine theoretische Möglichkeit: Bei der Untersuchung des Vorfalls fanden sich in Protokolldateien über 300.000 Zugriffe auf die manipulierten Zertifikate. 99 Prozent davon stammten aus dem Iran. Dazu mussten die Angreifer auch in die Kommunikation zwischen Google und den Nutzern eingreifen.

Ob er das über eine Schadsoftware oder Manipulationen bei iranischen Providern erreicht hat, ist noch unklar. Für Kriminelle wären diese Zertifikate, die mehrere Wochen unentdeckt blieben, eine Lizenz zum Gelddrucken. Sie könnten damit Online-Banking-Zugänge kapern oder sich in Firmencomputer zur Industriespionage einschleichen.

Versuchte Diginotar am Anfang der Vorfall noch herunterzuspielen, zeigte sich alsbald, wie ernst die Lage ist. Der Angreifer hat über 500 verschiedene Zertifikate ausgestellt - dabei ist noch nicht sicher, ob alle gefunden wurden. Browser- und Betriebssystem-Hersteller reagierten nun mit Updates, um Diginotar von der Liste vertrauenswürdiger Zertifizierer entfernten. Während Google und die Mozilla Foundation relativ schnell reagierten, hatte Apple bis zuletzt Probleme.

Auch die niederländische Regierung war Kunde bei Diginotar. Mit weit reichenden Folgen. Um die Sicherheit der staatlichen Kommunikation zu gewährleisten, übernahm die niederländische Regierung die Kontrolle über Diginotar. Das Problem: zu viele Systeme der niederländischen Regierung haben die Diginotar-Zertifikate fest einprogrammiert. Würden sie auf einen Schlag als nicht vertrauenswürdig gekennzeichnet, würden viele Kommunikationssysteme ihren Betrieb einstellen.

"Besonders die vollautomatisierte Kommunikation zwischen Computern wäre betroffen", erklärte der niederländische Innenminister Piet Hein Donner auf einer Pressekonferenz am Dienstag. Die Niederländer wollen daher erst die wichtigsten Systeme umstellen und dann erst die vermeintlich kompromittierten Zertifikate zentral für ungültig erklären.

Um diesen Übergang zu erleichtern, will Microsoft ein Windows-Update für die Niederlande für eine Woche zurückhalten. Inzwischen hat die Regierung die Frist zur Abgabe der Steuererklärungen verlängert. Wer ganz sicher gehen wolle, müsse zu Papier und Stift greifen, erklärte der Minister.

Damit ist die Krise aber noch lange nicht überwunden. Denn der "Comodohacker" behauptet, auch bei vier weiteren Sicherheitsunternehmen erfolgreich eingedrungen zu sein, darunter der amerikanische Zertifikatsanbieter Globalsign. Das Unternehmen hat daraufhin die Erstellung neuer Zertifikate gestoppt und eine Sicherheitsüberprüfung seiner Rechner angeordnet. Bisher allerdings ohne Erfolg.