Diginotar-Hack Attacke auf das Sicherheitssystem des Web

Unbekannte Hacker bringen die Sicherheitsmechanismen des Internet ins Wanken: Sie konnten sich selbst mehr als 500 Web-Ausweise ausstellen und sich mit diesen erbeuteten Zertifikaten als Google, CIA oder Facebook ausgeben. Hinter dem Angriff wird Iran vermutet.

Netzwerkzentrale der CIA: Auch Geheimdienste sind von dem Hack betroffen
Corbis

Netzwerkzentrale der CIA: Auch Geheimdienste sind von dem Hack betroffen

Von


Der Skandal um den niederländischen Zertifikatsaussteller Diginotar weitet sich aus. Am Wochenende wurde bekannt, das weit mehr Web-Seiten von der Hacker-Attacke betroffen sind als bisher vermutet. Zunächst hatte es geheißen, es sei nur ein Google-Zertifikat gefälscht worden. Jetzt haben Ermittler entdeckt, dass die Angreifer sich mehr als 500 Sicherheitszertifikate ausgestellt haben - mit den digitalen Unbedenklichkeitserklärungen munitioniert, konnten sie sich mit fremden Identitäten in den Internetverkehr einklinken, Daten abgreifen und Anwender belauschen. Experten vermuten, die iranische Regierung könnte Drahtzieher des Angriffs sein.

Der Hacker-Einbruch ist deshalb so gefährlich, weil Zertifikatsaussteller wie Diginotar eigentlich für Sicherheit und Vertrauen im Internet sorgen sollen. Die sogenannten SSL-Zertifikate (Secure Socket Layer), die von solchen Unternehmen ausgegeben werden, bestätigen einem Webbrowser die Identität des Betreibers einer Website. Sie sind das Mittel der Wahl, wenn man sich vor ungebetenen Lauschern schützen und geheime Daten übertragen will, beispielsweise beim Online-Banking.

Sandro Gaycken, IT-Sicherheitsforscher an der FU Berlin, sieht in der Cyber-Attacke "eine Katastrophe". Er sagt: "Man muss den Zertifizierungsstellen vertrauen können, sonst kollabiert dieser ganze Vertrauensmechanismus". Interessant seien die Zertifikate für staatliche Autoritäten, Nachrichtendienste, aber auch kriminelle Organisationen. So interessant sogar, dass es manchmal ganz reguläre Einbrüche in die Gebäude solcher Unternehmen gibt. Für die Betroffenen sind solche Pannen peinlich: "Die Zertifizierer melden so etwas sehr ungern, versuchen eher, das zunächst diskret und hintenrum zu regeln, bevor es jemand merkt."

Verdunkelung bei Diginotar

Genau so scheint man auch bei Diginotar versucht zu haben, den Vorfall unter den Teppich zu kehren. Einem Bericht (PDF) des auf Sicherheitsüberprüfungen spezialisierten Unternehmens Fox-IT zufolge drangen die Hacker bereits am 17. Juni in die Systeme von Diginotar ein. Der Einbruch sei zwei Tage später entdeckt worden, es seien aber offenbar keine Maßnahmen ergriffen worden. Erst nachdem am 27. August in einem Google-Forum auf möglicherweise gefälschte Zertifikate hingewiesen wurde, kam der Fall an die Öffentlichkeit.

Der Angreifer hatte so Zeit, weitere Software zu installieren und weitere Server zu übernehmen. Erst Wochen später, am 10. Juli, begann der Eindringling mit seiner eigentlichen Arbeit. In den folgenden zehn Tagen stellte er sich ungestört mindestens 531 gefälschte Zertifikate aus.

Die Liste der betroffenen Web-Seiten lässt einiges über Motivation und Intention der Angreifer erahnen. Betroffen sind unter anderem:

  • Populäre Web-Angebote von Google, Yahoo und AOL,
  • Geheimdienste wie die amerikanische CIA, der britische MI 6 und der israelische Mossad,
  • Update-Web-Seiten von Microsoft, darunter windowsupdate.com und www.update.microsoft.com,
  • Seiten, über die der Firefox-Browser und Zusatzmodule für Firefox geladen werden können,
  • soziale Netzwerke wie Facebook und Twitter,
  • Kommunikationsdienste wie Skype und
  • der Anonymisierungsdienst Tor.

Dieser Auszug zeigt, dass der Angreifer seine Opfer von allen Seiten aus durchleuchten wollte. Das gefälschte Tor-Zertifikat macht den Betreibern des Anonymisierungsdienstes Sorgen. Normalerweise wird dieser Dienst von Anwendern genutzt, die ihre Identität schützen, ihren Aufenthaltsort geheim halten wollen. Das System galt bisher als sicher vor Ausspähversuchen. Mit dem gefälschten Zertifikat hätte der Angreifer das trügerische Gefühl der Sicherheit, in dem sich Tor-Nutzer wähnen, ausnutzen können, um sie bei jedem ihrer Schritte im Netz zu beobachten.



insgesamt 50 Beiträge
Alle Kommentare öffnen
Seite 1
Philipp-, 06.09.2011
1. Vollständige Liste
Schade, dass die im Artikel verlinkte Liste nicht vollständig ist sondern nur die "common names" enthält.
pariah_aflame 06.09.2011
2. kann ja nur der iran sein!
aber natürlich war das der iran, da gibts ja keine frage! und die regierung nutzt die zertifikate dann, um ihre eigene bevölkerung zu bestehlen! diese pöhsen mullahs aber auch. was für ein schwachsinn. und um den internetverkehr eines nutzers umzuleiten muss man nicht die DNS-server kontrollieren, eine lokale änderung der hosts-datei reicht dafür völlig aus (wie es ja auch viele PCschädlinge machen). wenn man dann noch die zertifikate hat, ist das wirklich wie gelddrucken im keller.
wuuuuusch 06.09.2011
3. Vertraulichkeit im Internet war gestern
Vertraulichkeit und Authentizität im Internet ist damit nur noch der Schatten einer Illusion. Das Unheimliche daran ist, dass die Dunkelziffer tatsächlich wahrscheinlich noch höher liegt. Dem Iran die Aktion unterjubeln zu wollen ist reine Spekulation. Seit Stuxnet ist offensichtlich, dass deren Systeme auch nicht zuverlässiger sind als westliche. Weiß jemand, ob Web of Trust basierte Kommunikation noch sicher ist?
Frederik72 06.09.2011
4. Klaro
Klar doch, war der Iran. Da versucht wieder irgendwer das Stimmvieh für dumm zu verkaufen.
mitbürger 06.09.2011
5. Stand das in "deutsch"?
"Es tut mir leid, das Ihr diese Nachricht erst lesen werdet, wenn es zu spät ist." Es muss ein Deutscher gewesen sein, nur ein Deutscher versteht den Unterschied zwischen "das" und "dass" nicht.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.