# taz.de -- Hackerangriff auf Zertifikate: "Mobile Nutzer können nur beten"
> Der IT-Sicherheitsexperte Christopher Soghoian über den Einbruch beim
> holländischen Unternehmen Diginotar und die vielen Nachwirkungen für die
> Nutzer.
(IMG) Bild: Haltet den Dieb: Angriffe auf Certificate Authorities werden sich wohl häufen, da Regime anders kaum noch Zugriff an brisante Informationen gelangen können.
Im September wurde ein [1][Großangriff] auf das niederländische
Sicherheitsunternehmen Diginotar bekannt. Einem Hacker war es gelungen, in
die sogenannte Certificate Authority einzubrechen und sich Zertifikate für
zahllose bekannte Websites auszustellen.
Die werden benötigt, wenn Nutzer verschlüsselte Verbindungen über das
SSL-Protokoll aufbauen, um sicherzustellen, dass es sich bei der
Gegenstelle um beispielsweise Google oder Facebook handelt. Mit dem Zugriff
auf Diginotar wurde es möglich, diese Zertifikate zu imitieren.
Diginotar selbst ist mittlerweile pleite, doch der Angriff sei nur einer
der ersten innerhalb einer anrollenden Welle. SSL an sich sei gefährdet, so
Soghoian.
taz.de: Herr Soghoian, waren Sie überrascht von dem, was sich bei Diginotar
abgespielt hat oder war es nur eine Frage der Zeit, dass sich Hacks auf
Certificate Authorities (CA) mehren?
Christopher Soghoian: Ja und nein. Hat es mich überrascht, dass die
Sicherheit bei Diginotar so schlecht war? Sicher. Bei allem, was wir
bislang gesehen haben, ist davon auszugehen, dass da vieles extrem
ungeschützt lief. Dass CAs angegriffen werden, überrascht mich dagegen gar
nicht - auch nicht, dass es in diesem Fall offenbar Hacker waren, die mit
einer Regierung in Verbindung standen.
In den letzten ein, zwei Jahren sehen wir den Trend, dass wichtige Websites
standardmäßig verschlüsseln. Im Januar 2010 begann Google damit, sein
Mailangebot mit SSL zu schützen. Vorher war es für ein Regime sehr einfach,
Google-Nutzer abzuhören. Nun ging das nicht mehr so leicht. Da hat man dann
Auswege gesucht wie diesen Hack.
War es in diesem Fall wirklich der Iran?
Was wir wissen, ist, dass es 300.000 Verbindungsanfragen von iranischen
Nutzern gab in Richtung dieser gefälschten Zertifikate. Die iranische
Regierung hat hier eindeutig das größte Motiv.
Das System der CAs ist recht komplex. Hunderte Firmen können diese
Zertifikate vergeben. Sie selbst kritisieren das.
Es ist zwar nicht so einfach, ein Verkäufer von Zertifikaten zu werden,
doch wenn man einmal von den großen Browser-Herstellern anerkannt ist, dann
wirkt das wie eine Lizenz, Geld zu drucken. Und dann ist es auch egal, wie
schlecht die eigene Sicherheitslage ist.
Wenn eine CA einmal gehackt ist, was kann dann getan werden?
Bei Diginotar haben die meisten Browser- und Betriebssystemhersteller die
Berechtigung für die Zertifikate der Firma gelöscht. Das funktionierte aber
nur deshalb so einfach, weil es sich um eine relativ kleine CA handelt. Als
vor einigen Monaten der große Zertifikateaussteller Comodo gehackt wurde,
wurde dieser nicht ganz gesperrt, sondern nur punktuell. Bei Diginotar
machte die Abschaltung keine großen Probleme - man spürte das vor allem in
den Niederlanden.
Comodo war dagegen für 15 Prozent der Zertifikate im Web verantwortlich.
Comodo ist damit quasi "Too Big To Fail", wie viele Kommentatoren meinten.
Die Browser-Hersteller können einen großen Zertifikate-Anbieter also gar
nicht bestrafen, weil dann das halbe Web nicht mehr funktionieren würde.
Um sich vor gefälschten Zertifikaten zu schützen, muss man seinen Rechner
stets auf dem neuesten Stand halten. Im Fall Diginotar scheint das ganz gut
geklappt zu haben.
Zwar kamen von den Browser-Anbietern schnell Updates heraus, doch das
bedeutet ja nicht, dass die auch bei den Nutzern ankommen. Es wird immer
noch Millionen von Nutzern mit alten Browsern geben, die kein Update
bekommen. Noch schlimmer sieht es auf den Mobilplattformen aus. Google hat
zwar beispielsweise für seinen Browser Chrome für PC und Mac ein Update
veröffentlicht, aber nicht für sein Mobilbetriebssystem Android. Ähnlich
sieht es bei Apple mit iOS, also dem iPhone-Betriebssystem, aus. Man kann
also nicht wirklich sagen, dass das gut klappt.
Was können Mobilnutzer also tun?
Die können eigentlich nur beten. Und das ist nicht gerade die beste Art von
IT-Sicherheit. Am Desktop-PC kann man sich ja schützen. Und das Problem
wird sich noch verschärfen: Ich erwarte, das künftig noch weitere
Zertifikats-Aussteller gehackt werden.
Es gibt schließlich mehr als 600 davon und ein paar werden sicher keine
besonders guten Sicherheitsmaßnahmen getroffen haben. Die Motivation für
Regime, solche Angriffsziele zu wählen, ist wirklich groß, weil sie sonst
nicht mehr so leicht schnüffeln können. Wenn sie dann in eine CA reinhacken
müssen, machen sie das halt.
Interview: Ben Schwan
22 Sep 2011
## LINKS
(DIR) [1] /Verschluesselung-im-Netz/!77351/
## AUTOREN
(DIR) Ben Schwan
## TAGS
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
(DIR) Digitale Zertifikate: SSL in Gefahr
Der Einbruch beim Sicherheitsdienstleister Diginotar zieht weite Kreise,
selbst die niederländische Regierung kommt in Bedrängnis. Weitere Angriffe
könnten folgen.
(DIR) Verschlüsselung im Netz: Wenn der digitale Notar schlampt
Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren
iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über
Wochen unentdeckt.