Falsche SSL-Zertifikate: 500 weitere Seiten betroffen

Konsole, Ubuntu, Terminal Bildquelle: Andrew Currie / Flickr
Die Untersuchungen hinsichtlich des gefälschten SSL-Zertifikats für Google-Dienste haben ergeben, dass das Problem ein weitaus größeres Ausmaß hat, als bisher auch nur ansatzweise angenommen. Die Angreifer, die sich Zugang zu dem Zertifizierungs-System des niederländischen Unternehmens DigiNotar verschafften, stellten sich über 500 weitere Zertifikate aus.
Unter deren Zuhilfenahme war es möglich, sich als rechtmäßiger Betreiber einer verschlüsselt übertragenen Webseite auszugeben, auch wenn man den Nutzer auf ein gefälschtes Angebot gelockt hat. Im Fall von Google bedeutete dies, dass man beispielsweise die Login-Daten zum E-Mail-Service abgreifen kann, während auch ein erfahrener, vorsichtiger Anwender der Annahme ist, per SSL mit dem echten Google-Server verbunden zu sein.

Bei einer Sichtung der Protokolle fanden Sicherheitsexperten verschiedener Firmen und Institutionen unter anderem gefälschte Zertifikate die für die Domains von Microsoft, Twitter und Facebook ausgestellt waren. Aber auch die Schlüssel für die Webseiten der Geheimdienste CIA (USA), MI6 (Großbritannien) und Mossad (Israel) wurden gefälscht.

Wie ernst der Zwischenfall genommen werden muss, verdeutlicht das Vorgehen der niederländischen Regierung, die in ihre eGouvernment-Dienste ebenfalls mit DigiNotar-Zertifikaten gesichert hat. Innenminister Piet Hein Donner berief noch in der Nacht von Freitag auf Samstag um 00:30 Uhr eine Pressekonferenz ein.

Auf dieser erklärte er, dass man die Geschäftsbeziehungen zu DigiNotar abbrechen und sich einen neuen Anbieter von Zertifikaten suchen werde. Zwar werde man die Webseiten der Regierung nicht vom Netz nehmen, da sie verschiedene wichtige Informationen enthalten. Die Nutzer werden beim Besuch aber gewarnt, dass die Sicherheit nicht mehr gewährleistet ist. Von der Kommunikation mit Ämtern über das Web soll daher abgesehen werden, bis neue Zertifikate vorliegen.

Die Verantwortlichen bei DigiNotar stehen wegen ihres Verhaltens massiv in der Kritik. Die Firma hatte schon seit Juli Kenntnis von einem Problem, auch wenn erst einmal nicht bekannt war, welchen Umfang dieses hatte. Nach Ansicht der Entwickler von Mozilla, hätte man umgehend die Browser-Hersteller informieren und für Transparenz sorgen müssen.

Bei DigiNotar handelte man allerdings entweder fahrlässig oder versuchte den Vorfall zu vertuschen, um einen Schaden vom Firmen-Image abzuhalten. Welche Option nun auch immer der Realität entspricht - in einem Bereich, in dem Vertrauen die Basis der Geschäftstätigkeit ist, dürfte das Unternehmen kaum noch einmal die Chance haben, neue Kunden zu finden. Bis zu einem Ende von DigiNotar scheint es nur noch eine Frage der Zeit zu sein. Konsole, Ubuntu, Terminal Konsole, Ubuntu, Terminal Andrew Currie / Flickr
Diese Nachricht empfehlen
Kommentieren8
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 04:55 Uhr[NEU] Pico Multimedia Projektor Wi-Fi VPRO1 - HD Ultra-Kompakte Projektor - Wifi, Bluetooth, HDMI - Tragbarer Home Cinema
[NEU] Pico Multimedia Projektor Wi-Fi VPRO1 - HD Ultra-Kompakte Projektor - Wifi, Bluetooth, HDMI - Tragbarer Home Cinema
Original Amazon-Preis
399,99
Im Preisvergleich ab
?
Blitzangebot-Preis
299,99
Ersparnis zu Amazon 0% oder 100
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden