https://www.faz.net/-gqz-6mjst

Aus dem Maschinenraum : Vorsicht, Kreditkartenbetrug!

  • -Aktualisiert am

Der Browser des Nutzers und der Server kennen sich normalerweise nicht Bild: dpa

Die technischen Grundlagen der Digitalgesellschaft sind keineswegs so solide, wie der unbedarfte Nutzer hofft. Selbst Sicherheitszertifikaten sollte man nicht automatisch trauen.

          4 Min.

          Jeder hat es schon gesehen, das kleine Schloss oben in der Webbrowser-Leiste, das verspricht, dass die Verbindung verschlüsselt ist. Es gibt ein beruhigendes Gefühl - alles sicher, keine Lauscher. Jede Bank weist ihre Kunden mittlerweile darauf hin, seriöse Firmen bieten diese gesicherte Kommunikation an. Damit die Verbindung tatsächlich verschlüsselt wird, handeln Webbrowser und Server im Hintergrund und ohne Zutun des Computernutzers einen sogenannten Sitzungsschlüssel aus, mit dem beispielsweise das Online-Banking verschlüsselt ablaufen kann.

          Das Problem bei diesen sicheren Verbindungen: Der Browser des Nutzers und der Server kennen sich normalerweise nicht. Wie können sie also wissen, dass sie tatsächlich miteinander reden und nicht mit einem Bösewicht, der irgendwo in der Mitte der Verbindung wartet, sie kurz unterbricht, mit beiden Seiten verschlüsselt spricht und dabei die übermittelten Daten - vielleicht die Bankdaten - abhört oder manipuliert? Kauft man etwas im Netz ein, möchte man schließlich sichergehen, dass die Kreditkartendaten wirklich beim Vertragspartner landen und niemand dazwischen sitzt und lauscht.

          Der kryptographische Stempelabdruck

          Um diese „Man in the Middle“ genannten Angriffe zu verhindern, werden in allen Browsern Zertifikate gespeichert, ganz gleich ob im Telefon oder im Computer zu Hause. Es sind kryptographische Bestätigungen, mit denen der Sitzungsschlüssel unterschrieben wird, damit ihn ein Angreifer nicht manipulieren kann. Sie sollen die Authentizität der Website und der Verbindung bestätigen. In jedem Browser und jedem Betriebssystem ist zwar eine große Zahl dieser Zertifikate integriert, die meisten Computernutzer aber haben nur sehr selten oder nie eines davon gesehen.

          Die Zertifikate werden von sogenannten Certificate Authorities verwaltet - in Deutschland auch gern Trustcenter genannt. Man kann sie sich wie einen Notar vorstellen, der Urkunden beglaubigt und stempelt. Statt Urkunden beglaubigt der digitale Notar aber Zertifikate von Webserver-Betreibern, mit denen diese wiederum die Sitzungsschlüssel absichern. Die lange Liste der Zertifikate in allen Browsern und Betriebssystemen kann man sich vorstellen wie ein Stempelbuch, in dem die Stempel jedes einzelnen bekannten Notars verzeichnet sind. Wenn der Browser prüft, ob er dem Zertifikat und damit dem Schlüssel des Webservers vertrauen kann, vergleicht er mit Hilfe dieses digitalen Stempelbuchs, ob der kryptographische Stempelabdruck echt ist.

          Seinen eigenen Notarstempel - im Internetdeutsch Wurzel-Zertifikat - in das Stempelbuch der weitverbreiteten Browsern zu bekommen ist bares Geld wert. Die sich daraus ergebende Möglichkeit zum Stempeln der Zertifikate von Website-Betreibern ist ein einträgliches Geschäft. Wie vertrauenswürdig das ganze System des einseitigen Vertrauens der Nutzer in die Integrität der digitalen Notare ist, wurde unter Experten schon länger bezweifelt. Nun gibt es - zum wiederholten Male - ernsthaften Grund, das ganze Prinzip in Frage zu stellen.

          Mühelos abhören oder manipulieren

          Es traf mal wieder die Falschen: Internetnutzer im Iran bemerkten seltsame Fehlermeldungen beim Versuch, ihre Google-Mails abzurufen. Es stellte sich heraus, dass das beglaubigte Zertifikat, mit dem die Verschlüsselung gestempelt worden war, nicht das von Google war: ein Falsifikat. Jemand war offensichtlich in den Besitz eines digitalen Notarstempels gekommen und damit in der Lage, erfolgreich eine Man-in-the-Middle-Attacke durchzuführen, um die E-Mails von iranischen Internetnutzern lesen zu können. Mag man sich hierzulande vor Betrug oder Spionage fürchten, wenn ein Dritter die E-Mails mitlesen kann. Im Iran ist es schnell eine Bedrohung für Leib und Leben, falls man die falsche Worte in einer mitgeschnittenen E-Mail gewählt hat.

          Wenig später kam heraus, dass einer der vielen digitalen Notare, eine holländische Firma, die tatsächlich DigiNotar heißt, erfolgreich angegriffen worden war. Die Netzwerk-Einbrecher schafften es offenbar, den kryptographischen Notarstempel zu entwenden, dazu einen dicken Stapel verschiedener gefälschter Urkunden für viele wichtige Websites und Dienste auszufertigen. Damit können sie den Nutzern dieser Websites vorgaukeln, die Kommunikation sei gesichert, während sie die Verbindung mühelos abhören oder manipulieren können.

          Nach und nach wurde bekannt, dass es bei DigiNotar schon seit Jahren mit der digitalen Sicherheit nicht besonders weit her war. Mehrere erfolgreiche Angriffe vergangener Monate sind bereits dokumentiert. Übertragen auf die reale Welt hieße das: Der Tresor des Notars mit den Stempeln stand weit offen, die Tür war nur angelehnt, und es war auch niemand im Büro, um die Angreifer dabei zu ertappen, wie sie genüsslich einige Hundert digitale Urkunden nachmachten und stempelten.

          Eine „wird schon gutgehn“-Mentalität

          Für welche Dienste und Websites die gefälschten Zertifikate erzeugt wurden, weiß wohl nur DigiNotar und der Auftraggeber der digitalen Urkundenfälschung genau. Unter IT-Sicherheitsexperten herrscht die aus verschiedenen Puzzlesteinen zusammengesetzte Überzeugung vor, dass viele wesentliche Internetseiten betroffen sind. Gerade der Iran als möglicher Urheber lässt auf die Motivation schließen: Überwachung und Unterdrückung der Opposition.

          Der Vorfall weist auf ein an vielen Stellen zutage tretendes Problem hin: Die technischen und prozeduralen Grundlagen der Digitalgesellschaft sind keineswegs so solide, wie der unbedarfte Nutzer hoffen könnte. In schneller Abfolge werden erfolgreiche Angriffe, schwerwiegende Schlampereien und katastrophale technische Schwächen bekannt, die das Vertrauen nachhaltig erschüttern. Zu viele schnelle Geschäftemacher mit einer „wird schon gutgehn“-Mentalität sind zu Gange, die dem Nutzer Sicherheit nur vorgaukeln. Statt auf echte, technisch fundierte Sicherheit zu setzen, die zwangsläufig etwas teurer, vielleicht auch langsamer und weniger bunt daherkommt, regiert immer noch das Primat des Geschäftsmodells - bis es wieder schiefgeht.

          Man hätte den letzten Einbruch, der im Juli stattfand, zwar bemerkt, verlautbarte DigiNotar, aber verteilte dennoch weiterhin die verfälschten Urkunden an die Kunden. Nun ist das Stempeln eingestellt, DigiNotar hat die Internettodesstrafe ereilt: Praktisch alle Browserhersteller haben sämtliche Zertifikate des holländischen Unternehmens per Sicherheitsupdate entfernt, weil eine Vertrauensbasis nicht mehr gegeben ist.

          Weitere Themen

          Politik mit emotionalen Mitteln

          Geschichte der Homosexualität : Politik mit emotionalen Mitteln

          Warum die komplexe Geschichte queeren Lebens in Deutschland wenig mit den gängigen Emanzipationserzählungen von der Scham, die sich in Selbstbefreiung verwandelte, zu tun hat: Benno Gammerl legt eine Geschichte der Homosexualität in der Bundesrepublik vor.

          Topmeldungen

          Wussten wirklich nur wenige Eingeweihte bei Volkswagen von den Diesel-Manipulationen?

          Abgasbetrug : Gekündigter Ingenieur klagt sich bei VW ein

          Volkswagen wollte in der Diesel-Affäre ranghohe Ingenieure loswerden. Doch die Gerichte kassieren die Kündigungen. War die Schummel-Software wirklich nur das Werk weniger Techniker?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.