# taz.de -- Angriff auf sichere Online-Verbindungen: SSL-Zertifikate in falschen Händen
       
       > Sind sichere Verbindungen noch sicher? Ein Angriff aus dem Iran auf den
       > Sicherheitsdienstleister Comodo sorgt in der IT-Community für
       > Verunsicherung.
       
 (IMG) Bild: Sorgen für Sicherheit, können aber auch abhanden kommen: Schlüssel.
       
       Die "Secure Socket Layer"-Technik (SSL) gehört zu den Grundlagen des
       Internetverkehrs. Jede Onlinebanking-Plattform, jeder halbwegs seröse
       Online-Shop und immer mehr soziale Netzwerke wie Facebook setzen die
       Verschlüsselung ein, um ihre Kunden vor Datendiebstahl zu retten.
       
       Wann immer in der Statusleiste des Browsers ein kleines Schloss erscheint,
       ist SSL im Einsatz. Die Verschlüsselung stellt nicht nur sicher, dass
       niemand den Datenverkehr abhören kann, sie authentifiziert den Anbieter
       auch, so dass Anmeldedaten und private Nachrichten nicht an den falschen
       Server geschickt werden.
       
       Das Vertrauen in die Technik wird nun durch einen spektakulären Angriff auf
       den Sicherheitsdienstleister Comodo gestört. Die Firma stellt
       SSL-Zertifikate aus, mit denen sich die Anbieter ausweisen können und die
       von allen gebräuchlichen Browsern ohne weitere Nachfrage akzeptiert werden.
       Bereits im März gelang es einem unbekannten Angreifer über die Computer
       eines Geschäftspartners in die Systeme von Comodo einzudringen. Den freien
       Zugang nutzte er, um sich selbst Zertifikate auszustellen.
       
       Der Hacker erbeutete so Zertifikate, mit denen er sich als Microsoft,
       Google, Yahoo, Skype oder Mozilla ausgeben konnte. Obwohl kein Hinweis
       gefunden wurde, dass der Angreifer die Zertifikate wirklich nutzte, sind
       IT-Sicherheitsexperten alarmiert. Comodo konnte den Angriff in den Iran
       zurückverfolgen. Mit den Zertifikaten hätte der Hacker gefälschte Updates
       von beliebten Programmen verbreiten oder den Datenverkehr von Angeboten wie
       Google Mail oder Hotmail abfangen können.
       
       ## Angriff auf E-Mail-Anbieter?
       
       "Meiner Meinung nach versucht jemand die Nachrichten von anderen Leuten zu
       lesen", sagte Comodo-Manager Melih Abdulhayoglu in einem [1][Interview mit
       Wired.com]. Um die Attacke auszuführen, benötige er aber Zugriff auf das
       Domain Name System, das für die Namensauflösung von Webseiten zuständig
       ist.
       
       Doch dies kann kaum beruhigen: Mittlerweile haben sich viele Kriminelle
       darauf spezialisiert, Surfer auf falsche Webseiten zu locken, um dort
       Zugangsdaten abzugreifen. Mit den gefälschten SSL-Zertifikaten haben solche
       Kriminelle fast freie Bahn. Doch auch für Geheimdienste sind sie sehr
       interessant - so benutzen Oppositionelle in Diktaturen oft die
       Web-Mail-Dienste aus dem Westen.
       
       Genährt werden diese Spekulationen von einem Bekennerschreiben. In
       gebrochenem Englisch erklärte der angebliche Angreifer, wie er in die
       streng gesicherten Systeme von Comodo gelangen konnte. Demnach sei er erst
       in die Rechner eines italienischen Vertriebspartners eingedrungen und habe
       dort die geheimen Anmeldedaten für die Zertifikatserstellung gefunden. "Ich
       bin nur ein Hacker, haber aber die Erfahrung von 1.000 anderen Hackern",
       [2][prahlt der Autor].
       
       ## Iranische Oppositionelle bedroht
       
       Brisanter ist: Er identifiziert sich als regimetreuer Iraner, der allen
       Kräften droht, die gegen die Interessen seines Landes verstoßen. "Ich werde
       niemandem im Iran erlauben meinem Volk zu Schaden, den
       Nuklearwissenschaftlern meines Landes, meinem Führer, meinem Präsidenten.
       Solange ich lebe, werdet ihr das nicht schaffen", schreibt der Unbekannte.
       
       Experten streiten darüber, ob die Version eines Einzeltäters realistisch
       ist oder ob vielleicht doch eine Gruppe oder gar ein Geheimdienst hinter
       den Angriffen steht. Eine Überprüfung der Verschlüsselungs-Infrastruktur
       ergab handfeste Schwachstellen. Apples Webbrowser Safari war ungenügend
       gegen solche Attacken gesichert und konnte selbst nach Entdeckung des
       Angriffs die gefälschten Zertifikate nicht erkennen. Auch die anderen
       Browser-Hersteller mussten mit Updates auf den Angriff reagieren.
       
       Fraglich ist, ob alle gefälschten Zertifikate gefunden wurden. Der "Comodo
       Hacker" behauptet, zwei weitere Unternehmen erfolgreich angegriffen zu
       haben. Unterdessen beraten Sicherheitsexperten, wie man ähnliche Angriffe
       in Zukunft ausschließen kann. Auf dem Treffen der Internet Engineering Task
       Force in Prag wurden Gegenmaßnahmen beraten. Zum Beispiel sollen Provider
       in einem Verzeichnis eintragen, welcher Zertifikatsanbieter für welche
       Domain zuständig ist.
       
       Das wiederum setzt voraus, dass alle Anbieter sorgfältig arbeiten. Google
       hat schon mit einer prophylaktischen Sammlung von SSL-Zertifikaten
       begonnen. So will die Firma den Nutzer vor unerwarteten Zertifikatswechseln
       schützen. Ob eine solche Sammlung, wirklich sinnvoll ist, muss sich noch
       zeigen. Denn im Fall der Fälle muss sich der Nutzer entscheiden: Vertraut
       er Google oder dem Anbieter, dessen Webseite er aufrufen will?
       
       8 Apr 2011
       
       ## LINKS
       
 (DIR) [1] http://www.wired.com/threatlevel/2011/03/comodo-compromise/
 (DIR) [2] http://pastebin.com/74KXCaEZ
       
       ## AUTOREN
       
 (DIR) Torsten Kleinz
       
       ## ARTIKEL ZUM THEMA