https://www.faz.net/-gqz-6mjst

Aus dem Maschinenraum : Vorsicht, Kreditkartenbetrug!

  • -Aktualisiert am

Der Browser des Nutzers und der Server kennen sich normalerweise nicht Bild: dpa

Die technischen Grundlagen der Digitalgesellschaft sind keineswegs so solide, wie der unbedarfte Nutzer hofft. Selbst Sicherheitszertifikaten sollte man nicht automatisch trauen.

          4 Min.

          Jeder hat es schon gesehen, das kleine Schloss oben in der Webbrowser-Leiste, das verspricht, dass die Verbindung verschlüsselt ist. Es gibt ein beruhigendes Gefühl - alles sicher, keine Lauscher. Jede Bank weist ihre Kunden mittlerweile darauf hin, seriöse Firmen bieten diese gesicherte Kommunikation an. Damit die Verbindung tatsächlich verschlüsselt wird, handeln Webbrowser und Server im Hintergrund und ohne Zutun des Computernutzers einen sogenannten Sitzungsschlüssel aus, mit dem beispielsweise das Online-Banking verschlüsselt ablaufen kann.

          Das Problem bei diesen sicheren Verbindungen: Der Browser des Nutzers und der Server kennen sich normalerweise nicht. Wie können sie also wissen, dass sie tatsächlich miteinander reden und nicht mit einem Bösewicht, der irgendwo in der Mitte der Verbindung wartet, sie kurz unterbricht, mit beiden Seiten verschlüsselt spricht und dabei die übermittelten Daten - vielleicht die Bankdaten - abhört oder manipuliert? Kauft man etwas im Netz ein, möchte man schließlich sichergehen, dass die Kreditkartendaten wirklich beim Vertragspartner landen und niemand dazwischen sitzt und lauscht.

          Der kryptographische Stempelabdruck

          Um diese „Man in the Middle“ genannten Angriffe zu verhindern, werden in allen Browsern Zertifikate gespeichert, ganz gleich ob im Telefon oder im Computer zu Hause. Es sind kryptographische Bestätigungen, mit denen der Sitzungsschlüssel unterschrieben wird, damit ihn ein Angreifer nicht manipulieren kann. Sie sollen die Authentizität der Website und der Verbindung bestätigen. In jedem Browser und jedem Betriebssystem ist zwar eine große Zahl dieser Zertifikate integriert, die meisten Computernutzer aber haben nur sehr selten oder nie eines davon gesehen.

          Die Zertifikate werden von sogenannten Certificate Authorities verwaltet - in Deutschland auch gern Trustcenter genannt. Man kann sie sich wie einen Notar vorstellen, der Urkunden beglaubigt und stempelt. Statt Urkunden beglaubigt der digitale Notar aber Zertifikate von Webserver-Betreibern, mit denen diese wiederum die Sitzungsschlüssel absichern. Die lange Liste der Zertifikate in allen Browsern und Betriebssystemen kann man sich vorstellen wie ein Stempelbuch, in dem die Stempel jedes einzelnen bekannten Notars verzeichnet sind. Wenn der Browser prüft, ob er dem Zertifikat und damit dem Schlüssel des Webservers vertrauen kann, vergleicht er mit Hilfe dieses digitalen Stempelbuchs, ob der kryptographische Stempelabdruck echt ist.

          Seinen eigenen Notarstempel - im Internetdeutsch Wurzel-Zertifikat - in das Stempelbuch der weitverbreiteten Browsern zu bekommen ist bares Geld wert. Die sich daraus ergebende Möglichkeit zum Stempeln der Zertifikate von Website-Betreibern ist ein einträgliches Geschäft. Wie vertrauenswürdig das ganze System des einseitigen Vertrauens der Nutzer in die Integrität der digitalen Notare ist, wurde unter Experten schon länger bezweifelt. Nun gibt es - zum wiederholten Male - ernsthaften Grund, das ganze Prinzip in Frage zu stellen.

          Mühelos abhören oder manipulieren

          Weitere Themen

          Erdogans Mondfahrt

          Brief aus Istanbul : Erdogans Mondfahrt

          Mit einem „Wahnsinnsprojekt“ und „historischen“ Schritten kämpfte der türkische Präsident um die Wählergunst. Doch selbst seine „frohen Botschaften“ werden zum Fiasko und kosten Menschenleben.

          Erdoğan’ın fiyaskoya dönüşen müjdeleri

          İstanbul’dan mektuplar : Erdoğan’ın fiyaskoya dönüşen müjdeleri

          İktidar, ömrünü uzatmak için “müjde” yağdırıyor. Ayasofya’yı camiye çevirdiler, kesmedi. Aniden doğalgaz keşfettiler, tablo değişmedi. Millet ay sonunu getiremezken aya gitmekten söz ettiler, umursayan olmadı. Ama bu müjdelerden hiçbiri Gara’daki kadar fiyaskoyla sonuçlanmadı.

          Topmeldungen

          Söder und Kretschmer : Mehr impfen, auch im Supermarkt

          Bayern und Sachsen verlangen, dass mehr Impfstoff in die von Corona stark betroffenen Grenzregionen geliefert wird. Vor der nächsten Konferenz mit der Kanzlerin warnen die Ministerpräsidenten vor einem „Öffnungsrausch“.
          Recep Tayyip Erdogan bei der Verkündung des türkischen Raumfahrtprogramms am 9. Februar in Ankara

          Brief aus Istanbul : Erdogans Mondfahrt

          Mit einem „Wahnsinnsprojekt“ und „historischen“ Schritten kämpfte der türkische Präsident um die Wählergunst. Doch selbst seine „frohen Botschaften“ werden zum Fiasko und kosten Menschenleben.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.