Aus dem Maschinenraum : Vorsicht, Kreditkartenbetrug!
- -Aktualisiert am
Der Browser des Nutzers und der Server kennen sich normalerweise nicht Bild: dpa
Die technischen Grundlagen der Digitalgesellschaft sind keineswegs so solide, wie der unbedarfte Nutzer hofft. Selbst Sicherheitszertifikaten sollte man nicht automatisch trauen.
Jeder hat es schon gesehen, das kleine Schloss oben in der Webbrowser-Leiste, das verspricht, dass die Verbindung verschlüsselt ist. Es gibt ein beruhigendes Gefühl - alles sicher, keine Lauscher. Jede Bank weist ihre Kunden mittlerweile darauf hin, seriöse Firmen bieten diese gesicherte Kommunikation an. Damit die Verbindung tatsächlich verschlüsselt wird, handeln Webbrowser und Server im Hintergrund und ohne Zutun des Computernutzers einen sogenannten Sitzungsschlüssel aus, mit dem beispielsweise das Online-Banking verschlüsselt ablaufen kann.
Das Problem bei diesen sicheren Verbindungen: Der Browser des Nutzers und der Server kennen sich normalerweise nicht. Wie können sie also wissen, dass sie tatsächlich miteinander reden und nicht mit einem Bösewicht, der irgendwo in der Mitte der Verbindung wartet, sie kurz unterbricht, mit beiden Seiten verschlüsselt spricht und dabei die übermittelten Daten - vielleicht die Bankdaten - abhört oder manipuliert? Kauft man etwas im Netz ein, möchte man schließlich sichergehen, dass die Kreditkartendaten wirklich beim Vertragspartner landen und niemand dazwischen sitzt und lauscht.
Der kryptographische Stempelabdruck
Um diese „Man in the Middle“ genannten Angriffe zu verhindern, werden in allen Browsern Zertifikate gespeichert, ganz gleich ob im Telefon oder im Computer zu Hause. Es sind kryptographische Bestätigungen, mit denen der Sitzungsschlüssel unterschrieben wird, damit ihn ein Angreifer nicht manipulieren kann. Sie sollen die Authentizität der Website und der Verbindung bestätigen. In jedem Browser und jedem Betriebssystem ist zwar eine große Zahl dieser Zertifikate integriert, die meisten Computernutzer aber haben nur sehr selten oder nie eines davon gesehen.
Die Zertifikate werden von sogenannten Certificate Authorities verwaltet - in Deutschland auch gern Trustcenter genannt. Man kann sie sich wie einen Notar vorstellen, der Urkunden beglaubigt und stempelt. Statt Urkunden beglaubigt der digitale Notar aber Zertifikate von Webserver-Betreibern, mit denen diese wiederum die Sitzungsschlüssel absichern. Die lange Liste der Zertifikate in allen Browsern und Betriebssystemen kann man sich vorstellen wie ein Stempelbuch, in dem die Stempel jedes einzelnen bekannten Notars verzeichnet sind. Wenn der Browser prüft, ob er dem Zertifikat und damit dem Schlüssel des Webservers vertrauen kann, vergleicht er mit Hilfe dieses digitalen Stempelbuchs, ob der kryptographische Stempelabdruck echt ist.
Seinen eigenen Notarstempel - im Internetdeutsch Wurzel-Zertifikat - in das Stempelbuch der weitverbreiteten Browsern zu bekommen ist bares Geld wert. Die sich daraus ergebende Möglichkeit zum Stempeln der Zertifikate von Website-Betreibern ist ein einträgliches Geschäft. Wie vertrauenswürdig das ganze System des einseitigen Vertrauens der Nutzer in die Integrität der digitalen Notare ist, wurde unter Experten schon länger bezweifelt. Nun gibt es - zum wiederholten Male - ernsthaften Grund, das ganze Prinzip in Frage zu stellen.
Mühelos abhören oder manipulieren
