Browser-Sicherheit Frankreichs Finanzministerium gab sich als Google aus

Das französische Finanzministerium hat sich selbst Sicherheitszertifikate für diverse Google-Seiten ausgestellt. Die Browser-Zertifikate eignen sich, um den Internetverkehr der Mitarbeiter abzugreifen. Angeblich war es nur ein Missverständnis.

Googles Datensicherheit (Symbolbild) : Browser-Zertifkate sichern viele Webseiten
Corbis

Googles Datensicherheit (Symbolbild) : Browser-Zertifkate sichern viele Webseiten


Digitale Zertifikate sollen Internetnutzer vor Angriffen schützen und Betreiber von Webseiten identifizieren. Doch durch einen "menschlichen Fehler", wie die französische Behörde für Informationssicherheit mitteilte, hat das französische Finanzministerium unerlaubt Zertifikate für diverse Google-Seiten ausgestellt.

Google berichtet in ihrem Blog, wie sie vergangene Woche die unerlaubt ausgestellten Zertifikate bemerkt hat und sie zur Agence nationale de la sécurité des systèmes d'information (ANSSI), der staatlichen Agentur für die Sicherheit von Informationssystemen in Frankreich, zurückverfolgen konnte. Die konnte den Fehler wiederum dem französischen Finanzministerium zuordnen.

Der Fehler sei aufgetreten, bei "einem Prozess der die IT-Sicherheit des Finanzministeriums stärken sollte", heißt es in der offiziellen Stellungnahme der ANSSI. Die entsprechenden Zertifikate wurden für ungültig erklärt, nachdem die Panne aufgedeckt wurde. Browser erkennen sie nun nicht mehr automatisch als gültig an. Als Maßnahme sei zudem nun die komplette Erstellung der Zertifikate unter Aufsicht der ANSSI gestellt worden, damit sich ein solcher Fehler nicht wiederholen könne.

"Kommerzielles Gerät inspizierte Internetverkehr"

Der menschliche Fehler, der das Sicherheitsleck verursachte, hatte nach Angaben der ANSSI "keine Konsequenzen für die Gesamtsicherheit des Netzes", weder "für die französischen Behörden noch für die Öffentlichkeit". Ob und in welchem Umfang Rechte von Angestellten des Finanzminsteriums verletzt wurden, lässt sich aber im Moment nicht sagen.

Es bleibt zudem noch unklar, in welchem Rahmen und für welchen genauen Zweck die Verletzung der Sicherheitsregeln begangen wurde. Google und die ANSSI sprechen im Zusammenhang von einem "kommerziellen Gerät, in einem privaten Netzwerk, dass verschlüsselten Internetverkehr mit Wissen der Nutzer inspiziert" haben soll.

Durch Zertifikate, die fälschlicherweise vorgeben, zu einer Webseite zu gehören, lassen sich über sogenannte Man-in-the-Middle-Angriffe Daten entschlüsseln und Internetnutzer ausspähen. Die auch Spoofing genannte Methode ist daher ein Angriff, um an Informationen zu gelangen. Browser-Hersteller und Internetfirmen achten deshalb darauf, dass ihre Produkte nur Zertifikaten von vertrauenswürdigen Behörden und Stellen akzeptieren. Die ANSSI ist üblichweise eine solche Behörde.

kpg



© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.