Diginotar-Hack Attacke auf das Sicherheitssystem des Web

Unbekannte Hacker bringen die Sicherheitsmechanismen des Internet ins Wanken: Sie konnten sich selbst mehr als 500 Web-Ausweise ausstellen und sich mit diesen erbeuteten Zertifikaten als Google, CIA oder Facebook ausgeben. Hinter dem Angriff wird Iran vermutet.
Von Matthias Kremp
Netzwerkzentrale der CIA: Auch Geheimdienste sind von dem Hack betroffen

Netzwerkzentrale der CIA: Auch Geheimdienste sind von dem Hack betroffen

Foto: Corbis

Der Skandal um den niederländischen Zertifikatsaussteller Diginotar weitet sich aus. Am Wochenende wurde bekannt, das weit mehr Web-Seiten von der Hacker-Attacke betroffen sind als bisher vermutet. Zunächst hatte es geheißen, es sei nur ein Google-Zertifikat gefälscht worden. Jetzt haben Ermittler entdeckt, dass die Angreifer sich mehr als 500 Sicherheitszertifikate ausgestellt haben - mit den digitalen Unbedenklichkeitserklärungen munitioniert, konnten sie sich mit fremden Identitäten in den Internetverkehr einklinken, Daten abgreifen und Anwender belauschen. Experten vermuten, die iranische Regierung könnte Drahtzieher des Angriffs sein.

Der Hacker-Einbruch ist deshalb so gefährlich, weil Zertifikatsaussteller wie Diginotar eigentlich für Sicherheit und Vertrauen im Internet sorgen sollen. Die sogenannten SSL-Zertifikate (Secure Socket Layer) , die von solchen Unternehmen ausgegeben werden, bestätigen einem Webbrowser die Identität des Betreibers einer Website. Sie sind das Mittel der Wahl, wenn man sich vor ungebetenen Lauschern schützen und geheime Daten übertragen will, beispielsweise beim Online-Banking.

Sandro Gaycken, IT-Sicherheitsforscher an der FU Berlin, sieht in der Cyber-Attacke "eine Katastrophe". Er sagt: "Man muss den Zertifizierungsstellen vertrauen können, sonst kollabiert dieser ganze Vertrauensmechanismus". Interessant seien die Zertifikate für staatliche Autoritäten, Nachrichtendienste, aber auch kriminelle Organisationen. So interessant sogar, dass es manchmal ganz reguläre Einbrüche in die Gebäude solcher Unternehmen gibt. Für die Betroffenen sind solche Pannen peinlich: "Die Zertifizierer melden so etwas sehr ungern, versuchen eher, das zunächst diskret und hintenrum zu regeln, bevor es jemand merkt."

Verdunkelung bei Diginotar

Genau so scheint man auch bei Diginotar versucht zu haben, den Vorfall unter den Teppich zu kehren. Einem Bericht (PDF)  des auf Sicherheitsüberprüfungen spezialisierten Unternehmens Fox-IT zufolge drangen die Hacker bereits am 17. Juni in die Systeme von Diginotar ein. Der Einbruch sei zwei Tage später entdeckt worden, es seien aber offenbar keine Maßnahmen ergriffen worden. Erst nachdem am 27. August in einem Google-Forum auf möglicherweise gefälschte Zertifikate hingewiesen wurde, kam der Fall an die Öffentlichkeit.

Der Angreifer hatte so Zeit, weitere Software zu installieren und weitere Server zu übernehmen. Erst Wochen später, am 10. Juli, begann der Eindringling mit seiner eigentlichen Arbeit. In den folgenden zehn Tagen stellte er sich ungestört mindestens 531 gefälschte Zertifikate aus.

Die Liste der betroffenen Web-Seiten  lässt einiges über Motivation und Intention der Angreifer erahnen. Betroffen sind unter anderem:

  • Populäre Web-Angebote von Google, Yahoo und AOL,
  • Geheimdienste wie die amerikanische CIA, der britische MI 6 und der israelische Mossad,
  • Update-Web-Seiten von Microsoft, darunter windowsupdate.com und www.update.microsoft.com,
  • Seiten, über die der Firefox-Browser und Zusatzmodule für Firefox geladen werden können,
  • soziale Netzwerke wie Facebook und Twitter,
  • Kommunikationsdienste wie Skype und
  • der Anonymisierungsdienst Tor.

Dieser Auszug zeigt, dass der Angreifer seine Opfer von allen Seiten aus durchleuchten wollte. Das gefälschte Tor-Zertifikat macht den Betreibern des Anonymisierungsdienstes Sorgen . Normalerweise wird dieser Dienst von Anwendern genutzt, die ihre Identität schützen, ihren Aufenthaltsort geheim halten wollen. Das System galt bisher als sicher vor Ausspähversuchen. Mit dem gefälschten Zertifikat hätte der Angreifer das trügerische Gefühl der Sicherheit, in dem sich Tor-Nutzer wähnen, ausnutzen können, um sie bei jedem ihrer Schritte im Netz zu beobachten.

Zurück zu Stift und Papier

Zudem deckt sich die Liste der Falsch-Zertifikate in weiten Teilen mit jenen Zertifikaten, die im März bei einem Angriff auf den Zertifikatsaussteller Comodo gefälscht wurden - und nicht nur das. In einer Datei, die der Hacker auf den Diginotar-Servern zurückließ, hinterließ er als digitale Unterschrift den persischen Ausspruch, Janam Fadaye Rahbar. Zu deutsch: "Mein Leben für den Führer". Die Botschaft stimmt mit jener überein, der nach dem Comodo-Angriff gefunden wurde. Schon damals hatte man die Spuren der Angreifer nach Iran verfolgen können, genau wie dieses Mal.

Fox-IT konnte fast alle Zugriffe auf die gefälschten Zertifikate auf Rechner in Iran zurückverfolgen. Jene, die außerhalb des Iran liegen, seien Server des Tor-Netzwerks gewesen. Sie stammen vermutlich von Iranern, die versuchten, per Tor anonym auf ausländische Server zuzugreifen. Sei es, um dort E-Mails abzuholen oder, um einfach Nachrichtenseiten zu lesen, die nicht staatlich kontrolliert werden.

Die Kombination dieser beiden Hinweise lässt Roel Schouwenberg von der Sicherheitssoftware-Firma Kaspersky vermuten, dass der Angriff auf Diginotar von der iranischen Regierung gelenkt wurde. Das sei "das plausibelste Szenario".  Vermutlich seien die Zertifikate gefälscht worden, um regimekritische Iraner im Internet abhören zu können.

"Es tut mir leid"

Allein die Zertifikate hätten dazu aber nicht ausgereicht. Um die Websurfer überhaupt auf die gefälschten Websites umleiten zu können, wäre auch ein Zugang zum DNS-System (Domain Name System) sinnvoll gewesen. DNS-Server sind so etwas wie die Wegweiser im Internet. Sie übersetzen die lesbaren Internetadressen (www.spiegel.de) in deren technische Äquivalente (195.71.11.67), führen lange Listen solcher Adresspaare. Wer diese Server in seinem Land beherrscht, kann die Browsereingaben seiner Landsleute beliebig in die Irre führen. Die iranische Regierung hätte diese Möglichkeit.

Fotostrecke

Cyberwar: Vom Internet-Angriff zum bewaffneten Konflikt

Foto: HYUNGWON KANG/ REUTERS

Fox-IT rät iranischen Netznutzern deshalb, sich zumindest einmal aus allen ihren Internetdiensten auszuloggen und wieder einzuloggen, besser noch, sämtliche Passwörter zu ändern.

Sandro Gaycken weist allerdings darauf hin, dass man nicht unbedingt einen DNS-Zugriff braucht und widerspricht damit der Theorie eines staatlich gelenkten Angriffs aus Iran: "Es ist praktisch, wenn man Zugriff auf den Nameserver hat, aber es gibt auch andere Verfahren - beispielsweise über leicht veränderte URLs oder via Update eingeschleuste Trojaner."

Gegen eine Staatsaktion sprechen auch die angeberischen Worte, die der Angreifer in einer Datei hinterlassen hat. Unter anderem prahlt er dort: "Ich habe eure teure Firewall, die Router, NetHSM, und nicht-knackbare Hardware-Schlüssel umgangen." Er lästert: "Es tut mir leid, dass ihr diese Nachricht erst lesen werdet, wenn es zu spät ist."

Zurück zu Papier und Bleistift

Die Nachwirkungen des Diginotar-Hacks werden allerdings noch lange und auf der ganzen Welt zu spüren sein. Schon lange kritisiert beispielsweise die Bürgerrechtsorganisation Electronic Frontier Foundation, dass Nationalstaaten ihre lokalen Zertifizierungsstellen kontrollieren und damit auch "die Computersicherheit ihrer eigenen Bürger kompromittieren" könnten. Nach dem Comodo-Hack erklärte der IT-Sicherheitsexperte Thorsten Holz von der Universität Bochum das Zertifikatesystem gegenüber SPIEGEL ONLINE für renovierungsbedürftig. So lange es keine Reform des Systems gibt, muss man offenbar immer wieder damit rechnen, mit gefälschten Zertifikaten getäuscht zu werden.

Die Niederlande haben jetzt die Reißleine gezogen, Diginotar unter staatliche Kontrolle gestellt. Doch bis die Notmaßnahmen greifen wird es wohl noch dauern. Auf seiner eilig in der Nacht zum Sonntag einberufenen Pressekonferenz jedenfalls warnte Justizminister Piet Hein Donner, man könne für die Websites von Sozialbehörden, Polizei und Finanzbehörden keine sichere Kommunikation mehr garantieren.

Er rät seinen Bürgern deshalb, auf Papier und Stift zurückzugreifen.

Korrektur: Ursprünglich würde "Janam Fadaye Rahbar" in diesem Text als Name bezeichnet. Tatsächlich handelt es sich um einen persischen Ausspruch. Wir bitten diesen Fehler zu entschuldigen.

Mehr lesen über

Internet Hacker Internetkriminalität Iran Menschenrechte in Iran

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
10 Bilder Cyberwar: Vom Internet-Angriff zum bewaffneten Konflikt
1 / 10

Das Cyber-Abwehrzentrum der USA in der Nähe von Washington: Sollte ein Internet-Angriff wichtige Infrastrukturen lahmlegen und Menschenleben gefährden, soll notfalls das Militär mit konventionellen Mitteln einschreiten.

Foto: HYUNGWON KANG/ REUTERS
2 / 10

Wer ist der neue Feind im Internet? Oftmals ist unklar, woher ein Cyber-Angriff stammt - und ob sich dahinter kriminelle Banden verbergen oder Hacker im Staatsauftrag.

Foto: Corbis
3 / 10

Im Visier von ausländischen Geheimdiensten: Dem US-Rüstungskonzern Lockheed Martin, der für das Pentagon den neuen Kampfjet F-35 "Lightning II" entwickelt hat und produziert, wurden in der Vergangenheit geheime Daten entwendet - ein aktueller Einbruch soll gerade noch rechtzeitig entdeckt worden sein.

Foto: ? Ho New / Reuters/ Reuters
4 / 10

Ziel eines ausgeklügelten Hacker-Angriffs: Das US-Unternehmen Google wurde im April 2004 offenbar aus China angegriffen - die Hacker drangen in das Netzwerk ein und verschafften sich Zugriff auf das Passwort-System. Die große Angst: Sollten in der Folge E-Mail-Konten von Dissidenten gehackt worden sein, könnte dies lebensbedrohende Folgen für die Nutzer haben.

Foto: Bao Fan/ picture alliance / dpa
5 / 10

Computerbildschirm im Cyber-Abwehrzentrum der USA bei einer Übung: Auch Botnetze, mit denen Kriminelle Überlastungs-Attacken initiieren oder Spam versenden, stehen unter Beobachtung.

Foto: JIM WATSON/ AFP
6 / 10

US-Soldaten proben den Cyberwar: Nationale Abwehrzentren soll jedes Land auf der Welt errichten, fordert die US-Regierung.

Foto: US Army
7 / 10

Bundesinnenminister Thomas de Maizière bei der Vorstellung des Nationalen Cyber-Abwehrzentrums (im Februar 2011): Die Internet-Wacht am Rhein soll "IT-Sicherheitsvorfälle schnell und umfassend bewerten und abgestimmte Handlungsempfehlungen erarbeiten". Kritiker warnen vor einer Vermischung von Polizei, Geheimdiensten und Militär.

Foto: Hannibal Hanschke/ dpa
8 / 10

Staatsfeind WikiLeaks: Die neue Cyber-Doktrin des Pentagon enthält markige Worte. Wie aber mit nichtstaatlichen Angreifern umgegangen wird, mit hackenden Terroristen etwa, ist laut "New York Times" nicht geregelt. Die Whistleblower-Plattform WikiLeaks war wegen ihrer Enthüllungen von Geheimnissen ins Visier des US-Militärs geraten - künftig ein Fall für militärische Intervention?

Foto: THOMAS COEX/ AFP
9 / 10

Treffen von Nato-Außenministern im Oktober 2010: Das militärische Abwehrbündnis sucht nach dem Ende des Kalten Krieges nach neuen Aufgaben. Künftig kann auch bei Cyber-Attacken der Bündnisfall ausgerufen werden.

Foto: JOHN THYS/ AFP
10 / 10

Die Kommunikationszentrale der britischen Regierung in Cheltenham: Experten warnen vor aufgeblasenen Bedrohungsszenarien und einer unnötigen Hochrüstung. Sie fürchten eine zu starke Regulierung des Internets.

Foto: Reuters/ Crown Copyright
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren
Mehrfachnutzung erkannt
Bitte beachten Sie: Die zeitgleiche Nutzung von SPIEGEL+-Inhalten ist auf ein Gerät beschränkt. Wir behalten uns vor, die Mehrfachnutzung zukünftig technisch zu unterbinden.
Sie möchten SPIEGEL+ auf mehreren Geräten zeitgleich nutzen? Zu unseren Angeboten