Bisher war eigentlich immer klar: Ist eine Verbindung https-verschlüsselt, ist die Kommunikation auch sicher. Seit einigen Wochen gilt das nicht mehr. Mehrere Zertifizierungsstellen, auch Registrare genannt, wurden gehackt.
"Jemand ist eingebrochen bei einem Registrar und hat es geschafft, sich Zertifikate auszustellen, die ihm gar nicht gehören. Unter anderem für Google.com, für Microsoft Update, auch für *.com, also eigentlich für alle Webseiten. Und das bedeutet, wenn man ein solches Zertifikat besitzt, ein solches gefälschtes Zertifikat, dass man verschlüsselte Webverbindungen, also https-Verbindungen abhören kann, wenn man sich in die Mitte hängt, einen sogenannten Man-in-the-Middle-Angriff machen kann",
erklärt Andreas Bogk, Sprecher des Chaos Computer Clubs. Beim Man-in-the-middle-Angriff gaukelt der Besitzer der gefälschten Zertifikate seinem Opfer vor, er sei der gewünschte Kommunikationspartner. Dabei hat er sich in Wirklichkeit zwischen die beiden Partner geschaltet und kann den gesamten Datenverkehr mitschneiden und ihn auch beliebig verändern. Zwei der betroffenen Dienste sind Google.com und Microsoft.
"Sehr, sehr bedenklich ist auf jeden Fall das Zertifikat für die Windows-Updates-Seite, weil das bedeutet, dass man auf dem normalen Wege eines Windows-Updates, mit dem man normalerweise seine Sicherheitsupdates bekommt, man jetzt auch einen Trojaner bekommen kann, eine Hintertür bekommen kann, ohne das zu merken."
Das gefälschte Google-Zertifikat lässt erahnen, aus welcher Richtung der oder die Hacker stammen.
"Es gibt sehr deutliche Hinweise, dass es sich um einen iranischen Hacker handelt. [...] Es gibt auch deutliche Hinweise darauf, dass dieses Zertifikat im Iran eingesetzt wurde. Man sieht das dann daran, dass Anfragen bei der CA landen, ob ein bestimmtes Zertifikat gesperrt ist oder nicht. Das heißt man sieht, wie oft es verwendet wurde. Es gab also 300.000 Anfragen. Also 300.000 mal wurde dieses Zertifikat eingesetzt, um Verbindungen abzuhören im Iran. Es wurde also weit verwendet."
Von den gefälschten Zertifikaten könnte nahezu jeder Benutzer der entsprechenden Dienste betroffen sein. Jedoch die mutmaßliche Herkunft des Hackers deutet auf eine ganz bestimmte Personengruppe, sagt Andreas Bogk.
"Insbesondere betrifft das natürlich Bürger in Ländern, in denen gerade der neue arabische Frühling, nennt man das ja, herrscht. Wo es Demokratiebestrebungen gibt, Bestrebungen, das Regime zu wechseln. Da gibt es viele Leute, die plötzlich überwacht wurden, deren Mail plötzlich gelesen werden konnte von den staatlichen Sicherheitseinrichtungen, von denen einige es auch nicht überlebt haben. Also es ist schon für solche Menschen sehr, sehr schwerwiegend, für uns heißt das natürlich auch, dass unsere Regierung im Zweifelsfall unsere Mail mitlesen könnte. Zum Glück sind die Auswirkungen noch nicht ganz so groß."
Kann man nun das Problem mit den Zertifikaten nur auf den arabischen Raum beschränken? Oder sind auch andere Anwender gefährdet?
"Die Antwort ist Ja, Otto-Normal-Bürger muss Angst haben. Es gibt einen relativ einfachen Trick. Nennt sich Trust of first use. Und heißt, wenn man ein Zertifikat das erste Mal sieht, merkt man sich wie das aussieht, also der Browser merkt sich das natürlich, merkt sich den sogenannten Fingerprint des Zertifikats und man bekommt eine Warnung, wenn der sich ändert."
Bei Webseiten, deren Zertifikate häufiger gewechselt werden, ist es für den Anwender allerdings schwierig, den Überblick zu behalten. Doch es gibt Plugins für viele Webbrowser, die informieren, wenn sich etwas ändert.
"Wenn man also zu seiner Bank geht und die hat plötzlich ein Zertifikat, das von Diginotar ausgestellt ist und nicht mehr von der Telekom, dann geht ein rotes Lämpchen an und sagt, hier ist irgendetwas komisch. Ist natürlich auch kein 100-prozentiger Schutz. Weil ab und zu ändern sich Zertifikate und man muss ein bisschen selber mitdenken. Also es gibt keine automatisierte Lösung. Alles was man tun kann, ist gucken, hat sich das Zertifikat geändert oder nicht."
Neben den angesprochenen Zertifikaten sind noch viele weitere Webseiten betroffen. Allein beim Registrar DigiNotar sollen über 500 Zertifikate gefälscht worden sein. Zudem wurden nach aktuellem Kenntnisstand auch die Unternehmen Comodo und GlobalSign gehackt. Stellung nehmen zu Vorgängen wollten die Unternehmen allerdings nicht.
"Jemand ist eingebrochen bei einem Registrar und hat es geschafft, sich Zertifikate auszustellen, die ihm gar nicht gehören. Unter anderem für Google.com, für Microsoft Update, auch für *.com, also eigentlich für alle Webseiten. Und das bedeutet, wenn man ein solches Zertifikat besitzt, ein solches gefälschtes Zertifikat, dass man verschlüsselte Webverbindungen, also https-Verbindungen abhören kann, wenn man sich in die Mitte hängt, einen sogenannten Man-in-the-Middle-Angriff machen kann",
erklärt Andreas Bogk, Sprecher des Chaos Computer Clubs. Beim Man-in-the-middle-Angriff gaukelt der Besitzer der gefälschten Zertifikate seinem Opfer vor, er sei der gewünschte Kommunikationspartner. Dabei hat er sich in Wirklichkeit zwischen die beiden Partner geschaltet und kann den gesamten Datenverkehr mitschneiden und ihn auch beliebig verändern. Zwei der betroffenen Dienste sind Google.com und Microsoft.
"Sehr, sehr bedenklich ist auf jeden Fall das Zertifikat für die Windows-Updates-Seite, weil das bedeutet, dass man auf dem normalen Wege eines Windows-Updates, mit dem man normalerweise seine Sicherheitsupdates bekommt, man jetzt auch einen Trojaner bekommen kann, eine Hintertür bekommen kann, ohne das zu merken."
Das gefälschte Google-Zertifikat lässt erahnen, aus welcher Richtung der oder die Hacker stammen.
"Es gibt sehr deutliche Hinweise, dass es sich um einen iranischen Hacker handelt. [...] Es gibt auch deutliche Hinweise darauf, dass dieses Zertifikat im Iran eingesetzt wurde. Man sieht das dann daran, dass Anfragen bei der CA landen, ob ein bestimmtes Zertifikat gesperrt ist oder nicht. Das heißt man sieht, wie oft es verwendet wurde. Es gab also 300.000 Anfragen. Also 300.000 mal wurde dieses Zertifikat eingesetzt, um Verbindungen abzuhören im Iran. Es wurde also weit verwendet."
Von den gefälschten Zertifikaten könnte nahezu jeder Benutzer der entsprechenden Dienste betroffen sein. Jedoch die mutmaßliche Herkunft des Hackers deutet auf eine ganz bestimmte Personengruppe, sagt Andreas Bogk.
"Insbesondere betrifft das natürlich Bürger in Ländern, in denen gerade der neue arabische Frühling, nennt man das ja, herrscht. Wo es Demokratiebestrebungen gibt, Bestrebungen, das Regime zu wechseln. Da gibt es viele Leute, die plötzlich überwacht wurden, deren Mail plötzlich gelesen werden konnte von den staatlichen Sicherheitseinrichtungen, von denen einige es auch nicht überlebt haben. Also es ist schon für solche Menschen sehr, sehr schwerwiegend, für uns heißt das natürlich auch, dass unsere Regierung im Zweifelsfall unsere Mail mitlesen könnte. Zum Glück sind die Auswirkungen noch nicht ganz so groß."
Kann man nun das Problem mit den Zertifikaten nur auf den arabischen Raum beschränken? Oder sind auch andere Anwender gefährdet?
"Die Antwort ist Ja, Otto-Normal-Bürger muss Angst haben. Es gibt einen relativ einfachen Trick. Nennt sich Trust of first use. Und heißt, wenn man ein Zertifikat das erste Mal sieht, merkt man sich wie das aussieht, also der Browser merkt sich das natürlich, merkt sich den sogenannten Fingerprint des Zertifikats und man bekommt eine Warnung, wenn der sich ändert."
Bei Webseiten, deren Zertifikate häufiger gewechselt werden, ist es für den Anwender allerdings schwierig, den Überblick zu behalten. Doch es gibt Plugins für viele Webbrowser, die informieren, wenn sich etwas ändert.
"Wenn man also zu seiner Bank geht und die hat plötzlich ein Zertifikat, das von Diginotar ausgestellt ist und nicht mehr von der Telekom, dann geht ein rotes Lämpchen an und sagt, hier ist irgendetwas komisch. Ist natürlich auch kein 100-prozentiger Schutz. Weil ab und zu ändern sich Zertifikate und man muss ein bisschen selber mitdenken. Also es gibt keine automatisierte Lösung. Alles was man tun kann, ist gucken, hat sich das Zertifikat geändert oder nicht."
Neben den angesprochenen Zertifikaten sind noch viele weitere Webseiten betroffen. Allein beim Registrar DigiNotar sollen über 500 Zertifikate gefälscht worden sein. Zudem wurden nach aktuellem Kenntnisstand auch die Unternehmen Comodo und GlobalSign gehackt. Stellung nehmen zu Vorgängen wollten die Unternehmen allerdings nicht.