Falsches Zertifikat: Google stand fünf Wochen offen

Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr
Unbekannten ist es gelungen, an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Dadurch waren sie in der Lage, mit Man-in-the-middle-Angriffen Zugang zu Nutzerkonten zu erlangen.
"Das ist ein Joker für sämtliche Google-Domains", erklärte Roel Schouwenberg, Leiter der Malware-Forschung beim russischen Security-Dienstleister Kaspersky Labs, die Lage gegenüber dem Magazin 'InfoWorld'. Angreifer hätten das Zertifikat beispielsweise nutzen können, um Nutzer mit gefälschten DNS-Einträgen auf ihre eigene Seite zu locken.

Diese hätte sich dann als originales Google-Angebot ausweisen können. Auf diese Weise kommt man an Nutzerdaten, ohne, dass die betroffenen Anwender auch nur eine Chance haben, das Problem zu erkennen. Ausgegeben hatte das falsche Zertifikat der niederländische Dienstleister DigiNotar.

Aktuell ist noch unklar, was schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber auch ein Einbruch in das Zertifikat-Vergabesystem ist denkbar. Von dem Unternehmen gibt es dazu aktuell noch keine Stellungnahme.

Die Bürgerrechts-Organisation Electronic Frontier Foundation (EFF) will Hinweise darauf gefunden, dass das falsche SSL-Zertifikat in den Händen iranischer Behörden lag. Diese könnten den digitalen Ausweis genutzt haben, um die E-Mail-Konten von Oppositionellen auszuspionieren.

Fünf Wochen blieb das falsche Zertifikat unentdeckt. Aufgeflogen ist es nun offenbar durch eine neue Sicherheits-Funktion in Googles Browser Chrome. Dieser verlässt sich inzwischen nicht mehr nur darauf, dass ein Zertifikat scheinbar echt ist, sondern auch, ob es von der richtigen Ausgabestelle stammt.

Die großen Browser-Hersteller haben inzwischen reagiert. Da unklar ist, ob es sich bei dem Vorgang um einen Einzelfall handelt, hat Microsoft vorsorglich alle DigiNotar-Zertifikate als ungültig eingestuft. Auch Google und Mozilla haben inzwischen entsprechende Updates für ihre Produkte angekündigt.

Schouwenberg forderte DigiNotar auf, schnellstens für Klarheit zu sorgen. Sollten noch mehr falsche Zertifikate im Umlauf sein seien nämlich nicht nur ein paar E-Mail-Postfächer in Gefahr. Auch die Glaubwürdigkeit der Verschlüsselung in eGouvernment-Angeboten und im Online-Banking stünde dann nämlich zur Debatte. Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr
Diese Nachricht empfehlen
Kommentieren53
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden