DigiNotar und die Folgen Experten fürchten weitere gefälschte Internet-Zertifikate

Eine Reihe von Firmen stellt Zertifikate aus, mit denen sich Websites gegenüber Browsern ausweisen können - einem Anbieter kamen solche Internetausweise für Google abhanden. Nun fürchten Experten, dass weitere Seiten betroffen sein könnten.

Ausspähung: Hacker sollen bei DigiTor Internetzertifikate gestohlen haben
Corbis

Ausspähung: Hacker sollen bei DigiTor Internetzertifikate gestohlen haben


Deie Unbekannten, die dem niederländischen Sicherheitsunternehmen DigiNotar brisante Google-Zertifikate abluchsten, konnten offenbar noch viele weitere Zertifikate erbeuten. Das räumt Vasco Data Security International, DigiNotars Mutterfirma, in einem durchaus umstrittenen Statement ein: Bei einem Dateneinbruch Mitte Juli seien "Zertifikate für eine Reihe von Domains, inklusive Google.com" angefordert worden. Nach Angaben des Unternehmens wurde alle, bis auf das von Google, nach einem Auditing sofort zurückgezogen - und damit theoretisch unschädlich gemacht.

Sicherheitsexperten beruhigt diese Erklärung wenig: Wenn DigiNotar und dem Auditor die gefälschten Google-Zertifikate durch die Lappen gingen, welche dann noch? Weil DigiNotar keine detaillierten Angaben zu den betroffenen Zertifikaten macht, suchen Experten nun nach Hinweisen: Eine reiche Quelle für Verschwörungstheorien liefert Googles Hausbrowser Chrome, der in seiner neusten Version gleich 247 Zertifikaten nicht mehr vertraut, wahrscheinlich den von DigiNotar als gefährlich markierten.

Dazu sollen unter anderem Internet-Ausweise für Yahoo sowie die Blog-Anbieter Baladin und Wordpress gehören. Baladin ist ein iranischer Anbieter. Mit den gestohlenen Zertifikaten könnten Internet-Verbindungen abgehört werden, zum Passwort-Klau bei E-Mail-Diensten etwa. Laut einer anonymen Quelle des holländischen IT-Experten Van de Looy sind außerdem die Websites des Webunternehmens Mozilla und des Anonymisierungsdienstes Tor betroffen. Man fragt sich: Warum gibt es dazu keine transparente Stellungnahme von Seiten Vascos, weshalb die gefährliche Geheimniskrämerei?

Privatsphären-Fiasko

Bei Tor, das geht aus einem Blog-Eintrag des Sicherheitsexperten Jacob Appelbaum hervor, klingeln jedenfalls die Alarmglocken: Niemand wisse, wie lange die Zertifikat-Diebe mit ihrer Beute Internetdaten abhören und manipulieren konnten, schreibt er. Ein Privatsphären-Fiasko. Jeder, der in den letzten Monaten die Tor-Software heruntergeladen hat, könnte eine manipulierte Version mit einer Hacker-Hintertür installiert haben. Den Nutzern wird deshalb geraten, ihre Browser sofort zu aktualisieren, die Signatur ihres Tor-Downloads zu verifizieren und bei jeder Unregelmäßigkeit das Tor-Team zu informieren.

Am Schluss seines Posts schiebt Appelbaum noch eine Kritik hinterher, die viele IT-Experten teilen: Das Zertifikatstellen-System sei ein Benzin-getränktes Kartenhaus, das nur auf eine Flamme warte.

fko



© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.