Nein, selbst erfahrene Internet-Nutzer können solche Hacker-Angriffe in der Regel nicht erkennen, glaubt Computersicherheitsexperte Axel Arnbak von der Universität Amsterdam.
"Ich tippe die Internet-Adresse in meinen Browser. Und ich sehe das Symbol mit dem Vorhängeschloss. Und ich: So, jetzt habe ich eine sichere Verbindung zu meiner Bank. Aber tatsächlich bin ich auf einer gefälschten Webseite. Und so könnte jemand also beispielsweise meine Bankdaten abfangen oder meine Überweisungen verändern, oder was auch immer er sonst möchte."
Eigentlich garantiert das Symbol mit dem Vorhängeschloss, dass mein Computer eine verschlüsselte Verbindung zu einer vertrauenswürdigen Webseite aufgebaut hat. Das prüft der Internet-Browser, in dem er von der Webseite ein sogenanntes "Zertifikat" anfordert. Zertifikate sind so etwas wie der Personalausweis einer Webseite. Sie werden von einer vertrauenswürdigen Stelle herausgegeben, einer Art Internet-Pass-Behörde, und beweisen normalerweise, dass die aufgerufene Webseite echt ist. Beispielsweise also, dass mein Computer tatsächlich mit dem Rechner meiner Bank verbunden ist.
Das System hat allerdings eine grundsätzliche Schwachstelle. Weltweit dürfen nämlich mehrere Tausend Firmen solche Zertifikate-Ausweise ausstellen – und zwar nicht nur für bestimmte einzelne Webseiten, beispielsweise die Banken in ihrer Region oder ihrem Land, sondern grundsätzlich für jede beliebige Webseite weltweit. Genau hier liegt das Problem: Wird nämlich bei einer dieser Firmen der entsprechende Schlüssel für die Zertifikate gestohlen, kann der Angreifer damit auch beispielsweise für gefälschte Online-Banking-Seiten echte Zertifikat-Ausweise ausstellen. Vor zwei Jahren, im Frühjahr 2011, ist genau das passiert – bei der niederländischen Firma DigiNotar, erinnert Arnbak.
"Das hat letztlich dafür gesorgt, dass nicht nur in den Niederlanden – sondern auch in Vereinigten Staaten, im Iran, in der ganzen Welt – auch in Deutschland – Internet-Verbindungen gehackt und abgehört werden konnten. Also weil eine klitzekleine Firma mit wirklich schlechten Sicherheitsvorkehrungen wurde gehackt, ist das Ganze Zertifikat-System in sich zusammen gefallen."
Besonders ärgerlich dabei: Erst mehrere Monate nach dem Einbruch wurde die Sicherheitslücke bekannt. Und auch danach dauerte es noch mehrere Monate, bis die entsprechenden Zertifikate offiziell für ungültig erklärt wurden – weil anderenfalls möglicherweise ein großer Teil des Internetverkehrs weltweit zusammengebrochen wäre.
Das Problem ist inzwischen auch in der Politik angekommen. So hat die EU-Kommission vorgeschlagen, dass Zertifizierungsstellen, die bei der Sicherheit geschlampt haben, künftig unbegrenzt für Schaden haften sollen. Wer trotzdem nachlässig ist – muss mit Schadenersatzforderungen in Milliardenhöhe rechnen. Allerdings könnte dieser Vorschlag auch nach hinten losgehen. Die EU könne schließlich nur Vorschriften für den europäischen Markt erlassen, warnt der Berliner Informatik-Professor Rüdiger Weis:
"Also wenn gesagt wird: Zertifizierungsstellen können nur mit dem höchsten Aufwand betrieben werden, dann werden schlicht und einfach europäische Unternehmen vom Markt verschwinden. Und dann haben wir möglicherweise Anbieter außerhalb, die einen katastrophalen Sicherheitsstandard haben. Also insofern: Regulierungen müssen mit großer Sorgfalt vorgenommen werden im Internet."
Besser seien technische Lösungen, bei denen ein Einbruch bei einer Zertifizierungsstelle nicht gleich alle Webseiten weltweit in Gefahr bringt, glaubt Sicherheitsexperte Weis. Daran wird zurzeit auch gearbeitet – doch bis die entsprechenden neuen Sicherheits- und Verschlüsselungsprotokolle wirklich alltagstauglich sind, wird es noch Monate, vielleicht sogar Jahre dauern. Denn das System mit den Zertifizierungsstellen muss dafür grundlegend umgebaut werden, glaubt auch Jürgen Schmidt vom Computermagazin c't.
"Das ist schon ziemlich kaputt – und das Problem ist schon ziemlich tief gehend. Mit ein paar kleinen Anpassungen ist es sicherlich nicht getan. Auf der anderen Seite ist es das Einzige, das wir haben. Und wir haben zurzeit keine bessere Alternative zur Verfügung."
Verbraucher sollten deshalb weiterhin auf das "https" in der Adresszeile und das Vorhängeschloss-Symbol im Internet-Browser achten. Denn solche verschlüsselten Verbindungen bieten zumindest vor den allermeisten Internet-Kriminellen immer noch einen ganz guten Schutz.
"Ich tippe die Internet-Adresse in meinen Browser. Und ich sehe das Symbol mit dem Vorhängeschloss. Und ich: So, jetzt habe ich eine sichere Verbindung zu meiner Bank. Aber tatsächlich bin ich auf einer gefälschten Webseite. Und so könnte jemand also beispielsweise meine Bankdaten abfangen oder meine Überweisungen verändern, oder was auch immer er sonst möchte."
Eigentlich garantiert das Symbol mit dem Vorhängeschloss, dass mein Computer eine verschlüsselte Verbindung zu einer vertrauenswürdigen Webseite aufgebaut hat. Das prüft der Internet-Browser, in dem er von der Webseite ein sogenanntes "Zertifikat" anfordert. Zertifikate sind so etwas wie der Personalausweis einer Webseite. Sie werden von einer vertrauenswürdigen Stelle herausgegeben, einer Art Internet-Pass-Behörde, und beweisen normalerweise, dass die aufgerufene Webseite echt ist. Beispielsweise also, dass mein Computer tatsächlich mit dem Rechner meiner Bank verbunden ist.
Das System hat allerdings eine grundsätzliche Schwachstelle. Weltweit dürfen nämlich mehrere Tausend Firmen solche Zertifikate-Ausweise ausstellen – und zwar nicht nur für bestimmte einzelne Webseiten, beispielsweise die Banken in ihrer Region oder ihrem Land, sondern grundsätzlich für jede beliebige Webseite weltweit. Genau hier liegt das Problem: Wird nämlich bei einer dieser Firmen der entsprechende Schlüssel für die Zertifikate gestohlen, kann der Angreifer damit auch beispielsweise für gefälschte Online-Banking-Seiten echte Zertifikat-Ausweise ausstellen. Vor zwei Jahren, im Frühjahr 2011, ist genau das passiert – bei der niederländischen Firma DigiNotar, erinnert Arnbak.
"Das hat letztlich dafür gesorgt, dass nicht nur in den Niederlanden – sondern auch in Vereinigten Staaten, im Iran, in der ganzen Welt – auch in Deutschland – Internet-Verbindungen gehackt und abgehört werden konnten. Also weil eine klitzekleine Firma mit wirklich schlechten Sicherheitsvorkehrungen wurde gehackt, ist das Ganze Zertifikat-System in sich zusammen gefallen."
Besonders ärgerlich dabei: Erst mehrere Monate nach dem Einbruch wurde die Sicherheitslücke bekannt. Und auch danach dauerte es noch mehrere Monate, bis die entsprechenden Zertifikate offiziell für ungültig erklärt wurden – weil anderenfalls möglicherweise ein großer Teil des Internetverkehrs weltweit zusammengebrochen wäre.
Das Problem ist inzwischen auch in der Politik angekommen. So hat die EU-Kommission vorgeschlagen, dass Zertifizierungsstellen, die bei der Sicherheit geschlampt haben, künftig unbegrenzt für Schaden haften sollen. Wer trotzdem nachlässig ist – muss mit Schadenersatzforderungen in Milliardenhöhe rechnen. Allerdings könnte dieser Vorschlag auch nach hinten losgehen. Die EU könne schließlich nur Vorschriften für den europäischen Markt erlassen, warnt der Berliner Informatik-Professor Rüdiger Weis:
"Also wenn gesagt wird: Zertifizierungsstellen können nur mit dem höchsten Aufwand betrieben werden, dann werden schlicht und einfach europäische Unternehmen vom Markt verschwinden. Und dann haben wir möglicherweise Anbieter außerhalb, die einen katastrophalen Sicherheitsstandard haben. Also insofern: Regulierungen müssen mit großer Sorgfalt vorgenommen werden im Internet."
Besser seien technische Lösungen, bei denen ein Einbruch bei einer Zertifizierungsstelle nicht gleich alle Webseiten weltweit in Gefahr bringt, glaubt Sicherheitsexperte Weis. Daran wird zurzeit auch gearbeitet – doch bis die entsprechenden neuen Sicherheits- und Verschlüsselungsprotokolle wirklich alltagstauglich sind, wird es noch Monate, vielleicht sogar Jahre dauern. Denn das System mit den Zertifizierungsstellen muss dafür grundlegend umgebaut werden, glaubt auch Jürgen Schmidt vom Computermagazin c't.
"Das ist schon ziemlich kaputt – und das Problem ist schon ziemlich tief gehend. Mit ein paar kleinen Anpassungen ist es sicherlich nicht getan. Auf der anderen Seite ist es das Einzige, das wir haben. Und wir haben zurzeit keine bessere Alternative zur Verfügung."
Verbraucher sollten deshalb weiterhin auf das "https" in der Adresszeile und das Vorhängeschloss-Symbol im Internet-Browser achten. Denn solche verschlüsselten Verbindungen bieten zumindest vor den allermeisten Internet-Kriminellen immer noch einen ganz guten Schutz.