piwik no script img

taz zahl ich

Gehackte ZertifikateGoogle entfernt Sicherheitsschloss

Google will sicherer werden. Bisher wurden sensible Daten auf Webseiten durch die "SSL"-Technik gesichert. Die kann aber gehackt werden. Alternativen werden gesucht.

Nicht alles, wo ein Schloss dran ist, ist auch verschlüsselt. Bild: Photocase/ carlitos
Von Ben Schwan

Jeder Internet-Nutzer kennt das kleine Sicherheitsschloss. Es taucht auf, wenn man sich auf geschützten Seiten bewegt: Mit dem sogenannten "Secure Sockets Layer" (SSL) werden Tag für Tag millionenfach Verbindungen im Netz abgesichert. Doch die Verfahren, mit denen die Integrität von SSL sichergestellt wird, bekamen in den letzten beiden Jahren gleich mehrfach eins auf die Mütze. Es zeigte sich, dass sich die Technik durch die Hintertür aushebeln lässt.

Die Grundlagentechnik, die in ihrer ersten Version bereits Mitte der 1990er Jahre beim amerikanischen Surfwerkzeughersteller Netscape entstand, ist mittlerweile in die Jahre gekommen. Damit SSL funktioniert, muss sichergestellt sein, dass die Website, die man ansurft, auch wirklich der entspricht, die man sehen möchte. Sonst gibt man seine Bankdaten bei Gaunern ein, obwohl es so aussieht, als sei die Verbindung sicher.

Dazu werden von zentralen Stellen, die von kommerziellen Unternehmen betrieben werden, digitale Zertifikate ausgegeben. Doch diese Stellen lassen sich hacken: 2011 kam heraus, dass es Angreifern gelungen war, eigene Zertifikate für große Websites wie Google oder Yahoo zu erstellen, die dann in Kombination mit weiteren Tricks zum Abhören eigentlich geschützter Verbindungen genutzt werden konnten. Regime im nahen Osten sollen sich der Technik bedient haben.

Einmal Zertifikat, immer zertifiziert

Ein anderes Problem ist die extrem schwere Rücknahme eines einmal ausgestellten Zertifikats. Wird eine ganze Zertifizierungsstelle kompromittiert, muss diese in jedem Browser der Welt entfernt werden. Doch bieten nicht alle Hersteller Updates an, mobile Geräte bekommen oft gar keine Aktualisierungen und die Nutzer wissen nichts davon. Das führt dann dazu, dass gefälschte Zertifikate über Jahre verwendet werden.

Es gibt zwar Verfahren, mit denen sich einzelne Zertifikate auch nachträglich zurückziehen lassen - dazu werden von den Ausstellern sogenannte Certificate Revocation Lists, kurz CRLs, ausgegeben. Deren Abfrage dauert aber mindestens eine Sekunde beim Aufruf einer gesicherten Adresse, was dem Nutzer als Verlangsamung vorkommt.

Die meisten Browser sind sogar so eingestellt, dass sie die Abfrage einfach weglassen, wenn der Listenserver sie nicht erreicht. "Das ist so wie ein Sicherheitsgurt, der im Falle eines Unfalls reißt. Obwohl es 99 Prozent der Zeit funktioniert, ist es wertlos, weil es nur funktioniert, wenn man es nicht braucht", sagt Adam Langley, Sicherheitsforscher bei Google. Kriminelle könnten die Abfrage lahmlegen, um sicherzustellen, dass sie nicht funktioniere.

Chrome ohne Abfrage

Deshalb habe sich Google mittlerweile entschieden, die Abfrage der Listen aus seinem hauseigenen Browser Chrome zu entfernen, sagt Langley. Stattdessen will das Unternehmen eine eigene, hochverfügbare Liste führen, die ständig aktualisiert wird. Sie werde dann mit Browser-Updates automatisch übertragen. Langley forderte die Zertifikateaussteller auf, Google zeitnah zurückgezogene Zertifikate mitzuteilen. Derzeit dauere so etwas oft Monate, heißt es bei dem Internet-Konzern.

Nutzerseitig lässt sich derzeit nur wenig tun - die Browserhersteller und die Zertifikateaussteller müssen reagieren. Der Sicherheitsforscher Christopher Soghoian hatte schon vor fast zwei Jahren vorgeschlagen, eine Browser-Zusatzsoftware anzubieten, die prüfen kann, ob Zertifikate ungewöhnlicher Herkunft sind. So ließe sich der Nutzer beispielsweise darauf aufmerksam machen, dass er zwar bei Google USA eingeloggt ist, aber das Zertifikat aus einem Regimeland in Nahost stammt.

Bislang ist die Technik aber noch nicht auf dem Markt. Hilfreich sind allerdings bereits jetzt Werkzeuge wie die kostenlose Toolbar von Netcraft für Firefox, die unter anderem das Alter eines Angebots prüft und auf Merkwürdigkeiten aufmerksam macht. Die Netzbürgerrechtsorganisation SSL betreibt zudem ein sogenanntes SSL-Observatorium, das Manipulationsversuche aufdecken soll.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Feedback Kommentieren Fehlerhinweis
Mehr zum Thema

Vor- und Nachteile von Googles Chrome

Der muss nicht böse sein

Googles Web-Browser Chrome hat sich in vier Jahren zum Marktführer entwickelt. Das liegt auch daran, dass die Software wirklich gut ist – wenn man sie richtig einstellt.
Von Ben Schwan

Firefox Version 11

Feuerfuchs wehrt sich gegen Chrome

Der Open-Source-Browser Firefox verliert Marktanteile – ausgerechnet gegenüber Googles Browser. Die neue Version 11 bietet kleinere Verbesserungen.
Von Ben Schwan

Googles Daten-Attacke auf Safari

Nichts Persönliches

Der Internetkonzern Google hat laut Eigenaussage unabsichtlich die Datenschutz-Standards von Apple ausgehebelt. Mit Tracking-Cookies ließ sich das Nutzer-Verhalten im Netz nachverfolgen.

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

3 Kommentare

 / 
  • B
    Björn

    "... die dann in Kombination mit weiteren Tricks zum Abhören eigentlich geschützter Verbindungen genutzt werden konnten. Regime im nahen Osten sollen sich der Technik bedient haben."

     

    Das ist so schlichtweg falsch! Abgehört wird hier gar nichts, sondern wenn, dann eine Verbindung zu jemand ganz anders aufgebaut!

     

    wie Malvin schon schrieb, besteht das Problem darin, dass man mit einem gestohlenen Zertifikat behaupten kann man wäre jemand anders. Dies auszunutzen bedarf aber einiger Klimmzüge;

     

    1. Ich muss jemanden auf meine gefälschte Seite locken. Das geht:

    a) wenn jemand anstatt die Adresse seiner einzugeben Google benutzt und der Angreifer seine Seite vor der der Bank platziert bekommt.

    b) indem der Angreifer den PC des Angegriffenen oder den DNS-Server den dieser nutzt kompromittiert.

     

    Das ist alles nicht unbedingt einfach. Es gibt zwar noch weitere Möglichkeiten, aber das sparen wir uns jetzt mal.

     

    Im Grunde ist der Kunde einfach wieder ein Stück weit mehr in der Pflicht, nicht allzu sorglos im Netz unterwegs zu sein, wenn es um Bankdaten und andere vertrauliche Dinge geht.

     

    Wenn man z.B. zu seiner Bank will und die Adresse der Bank eingibt und überprüft, ob man sich nicht vertippt hat, ist man praktisch auf der sicheren Seite. Wer jetzt noch seinem PC misstraut, dass dieser kompromittiert sein könnte, nimmt eine Live-CD wie c't bankix und gut.

     

     

    Und um es nochmal klar zu machen:

    Wenn die Verbindung zum echten Server aufgebaut wurde ist sie sicher und nicht abhörbar!

  • MG
    Malvin Gattinger

    Ein bisschen mehr Details als dieser Artikel verrät, können die taz-LeserInnen meines Erachtens ruhig vertragen. Dann ist auch eine technisch und inhaltlich falsche Überschrift wie "Google entfernt Sicherheitsschloss" unnötig.

     

    SSL hat zwei Ziele:

     

    1. Authentifizierung: Wenn ich https://www.meine-bank.de/onlinebanking eingebe, will ich sicher sein, dass die Verbindung auch zu meiner Bank und nicht zu irgendwem anderes aufgebaut wird.

     

    2. Verschlüsselung: Wenn ich dann auf der Website meine PINs und TANs eingebe will ich außerdem, dass die Daten nur dort wieder gelesen werden können und nicht auf dem Weg dahin.

     

    Das große Problem ist wie im Artikel erwähnt die Einhaltung von Punkt 1, bzw. dass unüberschaubar viele Institutionen Zertifikate ausstellen dürfen, d.h. von Browsern als vertrauenswürdig angesehen werden.

     

    Auch Googles Liste beseitigt dieses Grundproblem nicht, sondern zentralisiert das Vertrauen nur an einer Stelle. Die Anna-Normal-Verbraucherin wird weiterhin nicht selbst bestimmen, wem ihr eigener Browser vertraut.

     

    Meine Vermutung ist, dass wir daher irgendwann wieder IRL bei unserer Bank Zertifikate abholen werden, wenn es dieser wirklich darauf ankommt, die Verbindung abzusichern.

     

    Achja, und die "Netzbürgerrechtsorganisation SSL" soll wohl eher die EFF sein ;-)

  • M
    Mark

    Nicht verfügbar? Hier ist eines, bitteschön:

     

    "Perspectives" heißt das Addon und ist von der CMU entwickelt.

    Firefox: https://addons.mozilla.org/en-US/firefox/addon/perspectives

    Chrome: https://chrome.google.com/webstore/detail/lnppfgdnjafeikakadfopejdpglpiahn

     

    Es prüft, wie lange eine Seite ein Zertifikat im Einsatz hat und ob andere Rechner ("Notare") weltweit bei der gleichen Seite das gleiche Zertifikat sehen (und wie lange). Wenn nicht, dann wurde man wohl umgeleitet.

meistkommentiert

1

Müntefering und die K-Frage bei der SPD

Pistorius statt Scholz!

2

Unterwanderung der Bauernproteste

Alles, was rechts ist

3

Rentner beleidigt Habeck

Beleidigung hat Grenzen

4

Urteil nach Tötung eines Geflüchteten

Gericht findet mal wieder keine Beweise für Rassismus

5

Aktienpaket-Vorschlag

Die CDU möchte allen Kindern ETFs zum Geburtstag schenken

6

Waffen für die Ukraine

Bidens Taktik, Scholz’ Chance