Gefälschtes Internet-Zertifikat Unbekannte konnten sich als Google ausgeben

Kriminelle haben einem niederländischen Unternehmen ein Internet-Zertifikat abgeluchst, mit dem sie vortäuschen konnten, von ihnen ins Netz gestellte Websites kämen von Google. Identitätsdiebstahl und Lauschangriffe waren möglich.
Von wegen sicher: Erneut wurde das Zertifikatesystem ausgehebelt.

Von wegen sicher: Erneut wurde das Zertifikatesystem ausgehebelt.

Foto: dapd

Berlin - Hacker konnten erneut ein gefälschtes Internet-Zertifikat mit Google-Stammdaten  erbeuten. Mit Hilfe dieses Zertifikates könnten die Hacker eine Website einrichten, die sich als legitimes Google-Angebot ausgibt - und in Wirklichkeit verschlüsselte Zugangsdaten und Privatnachrichten abschöpft. Ein Verfahren, das als Man-in-the-Middle-Angriff bezeichnet wird.

Laut Google sind vor allem Surfer aus Iran vom Zertifikat-Klau betroffen: Sie sollen sich mit Betriebssystem- und Browser-Updates schützen und besonders vorsichtig bei Browser-Warnungen sein. Als Quelle des Zertifikats hat Google die kleine niederländische Zertifikatefirma DigiNotar  ausgemacht, zu deren Kunden immerhin mehrere niederländische Regierungsstellen, darunter das Justizministerium, gehören. Laut Google hätte das Unternehmen allerdings kein Google-Zertifikat ausstellen sollen.

Sowohl Google als auch Mozilla kündigten an, ihre Web-Produkte per Update so zu verändern, dass sie keine DigiNotar-Zertifikate mehr anerkennen. Sowohl Firefox- als auch Chrome-Anwender sollen demnach schon jetzt Warnmeldungen zu sehen bekommen, wenn sie auf ein DigiNotar-Zertifikat stoßen. Ebenso hat Microsoft den niederländischen Zertifizierer von seiner Liste vertrauenswürdiger Firmen entfernt. Einen Sicherheitshinweis  zufolge sollen Nutzer der Betriebssysteme Windows Vista, Windows 7, Windows Server 2008, und Windows Server 2008 R2 nun mit einer Fehlermeldung vor dem gefälschten Zertifikat gewarnt werden.

Wie konnte das passieren?

Wie der oder die Hacker an das Zertifikat gelangten, ist unklar. DigiNotar hat bisher keine Stellungnahme veröffentlicht und auf eine Anfrage von SPIEGEL ONLINE nicht reagiert. Plausibel ist eine triviale Angriffsmethode, die iranische Hackern bei einem Angriff auf den Zertifizierer Comodo vor weniger als einem halben Jahr benutzt haben: Der Angreifer könnte sich gegenüber DigiNotars automatischem Zertifikat-System ganz einfach als Google ausgegeben haben.

Schon beim Comodo-Vorfall warnten Sicherheitsexperten: Die automatisierte Zertifikate-Vergabe ist eine ernste Sicherheitslücke. Sollte DigiNotar das Zertifikat tatsächlich ausgestellt haben, muss sich die Firma ein paar unangenehme Fragen stellen lassen: Warum fragte niemand nach, ob das Zertifikat für die Google-Sites nicht anderswo schon vergeben worden war? Warum klingeln keine (automatisierten) Alarmglocken, wenn ein internationales Internet-Superschwergewicht bei einer winzigen holländischen Zertifikatestelle um ein Zertifikat ansteht?

Sicherheit als Luxus

Der Vorfall muss Konsequenzen haben, nicht nur für DigiNotar: Die Zertifikatestellen sind die ehrlichen Makler des Internets. Web-Browser vertrauen Firmen wie DigiNotar, VeriSign, Comodo bislang blind: Jedem Surfprogramm ist ein sogenanntes Root-Zertifikat eingeimpft, das dem Browser mitteilt, dass zum Beispiel DigiNotar-Zertifikate glaubwürdig sind. Jeder Zertifizierer der Welt kann Zertifikate für jede beliebige Website ausstellten (aber nicht jeder Zertifizierer ist im Root-Zertifikat als vertrauenswürdig verankert). Vorfälle wie diese unterstreichen die Anfälligkeit dieses Systems.

Google reagierte bereits vor einigen Monaten auf die Sicherheitslücke im Zertifikate-System und verschärfte die Sicherheitsvorkehrungen im Webbrowser Chrome  - nur noch von Google beglaubigte Zertifikate gelten seitdem bei Google-Websites als sicher. Ein Luxus, den sich nur Web-Firmen gönnen können, die einen eigenen Browser entwickeln.

fko