Internetzugang im Flugzeug Google-Expertin entdeckt gefälschtes SSL-Zertifikat

Sicherheitsrisiko über den Wolken: Der Provider Gogo liefert anscheinend mit Absicht gefälschte SSL-Zertifikate aus, wenn Flugpassagiere im Internet surfen. Das US-Unternehmen sieht darin kein Problem.
Gogo-Logo: Die Firma ermöglicht es, im Flugzeug ins Netz zu gehen

Gogo-Logo: Die Firma ermöglicht es, im Flugzeug ins Netz zu gehen

Foto: Gogo

Die Google-Sicherheitsexpertin Adrienne Porter Felt hat auf einer Flugreise eine beunruhigende Entdeckung gemacht: Als sie routinemäßig das SSL-Protokoll von YouTube überprüfte, stellte sie fest, dass es nicht mit Googles Zertifikat auf ihr Smartphone ausgeliefert wurde, sondern mit einem offensichtlich gefälschten. Die herausgebende Organisation: Gogo, jener Provider, der das Bordinternet auf einem Großteil der amerikanischen Flüge und auf vielen internationalen Verbindungen bereitstellt. SSL ist ein Internet-Sicherheitsprotokoll, das eine verschlüsselte Verbindung zwischen einem Server und dem Client herstellt. Mit ihm können sensible Informationen wie Kreditkartennummern oder Log-in-Daten sicher übermittelt werden. Mit einem gefälschten Zertifikat lässt sich ein sogenannter Man-in-the-Middle-Angriff durchführen, über den sich persönliche Daten und Passwörter abgreifen lassen. Versucht Gogo, die Passagiere seiner Partner-Airlines aktiv auszuspionieren?

"Keine Nutzer-Informationen werden gespeichert"

Das US-Magazin "Fast Company"  erhielt auf Anfrage ein Statement vom Gogo-Technikchef Anand Chari: "Gogo arbeitet daran, mehr Bandbreite in die Flugzeuge zu bringen. Bis wir das erreicht haben, werden wir verschiedene Video-Streaming-Seiten blockieren, und wir nutzen verschiedene Techniken, um Video-Streaming zu begrenzen. Welche Technik wir auch immer nutzen, sie wird sich nicht auf die allgemeine Internet-Sicherheit auswirken."

Das Unternehmen - laut "Fast Company" der weltweit größte Anbieter von Internet-Diensten auf Flugreisen - macht nicht zum ersten Mal Negativschlagzeilen. Im April 2014 wurde durch eine Veröffentlichung der US-Medienaufsichtsbehörde FCC bekannt, dass Gogo in seine Dienste Funktionen für die Strafverfolgung implementiert, die über das hinausgehen , was in dem Gesetzeswerk Communications Assistance for Law Enforcement Act (CALEA) vorgesehen ist.

Die Gogo-Abteilung Aircell prahlte schon 2009 in einem Handelsmagazin, sie könne den Strafverfolgungsbehörden "jede Art von Information in Echtzeit" übermitteln  - eine Art "Super-CALEA".

Vor diesem Hintergrund wirkt das Versprechen von Anand Chari nur bedingt glaubwürdig: "Wir versprechen unseren Kunden, dass keine Nutzerinformationen gespeichert werden, wenn wir diese Techniken nutzen". Laut "Fast Company" hat sich Google direkt an Gogo gewendet, um die Angelegenheit mit dem gefälschten Zertifikat auf höherer Ebene zu klären.

abr