Die Sicherheit von Online-Verbindungen ist eine wesentliche Voraussetzung für den Geschäftsverkehr im Internet. Unternehmen, die diese Sicherheit gewährleisten sollen, geraten jedoch zunehmend ins Visier krimineller Hacker. Die Anbieter von Sicherheitszertifikaten sehen sich derweil aber auch wachsender Kritik hinsichtlich ihrer Geschäftspraktiken ausgesetzt.Von Franz Công Bùi, FrankfurtMan stelle sich vor, in Fort Knox würde eingebrochen und die US-Goldlagerstätte erwähnte das nur am Rande einer Pflichtmitteilung – ein Jahr danach. Dabei würde lediglich verlautbart, ein Einbruch habe stattgefunden und es sei etwas abhandengekommen. Man gehe aber davon aus, dass die Goldreserven vollständig und sicher seien. Kunden, wie das US-Schatzamt, würden derweil über diesen Vorgang nicht explizit informiert. Und auch die breite Öffentlichkeit erführe nur davon, weil eine Nachrichtenagentur beim Durchforsten von Pflichtmitteilungen darauf stieße.Ähnliches hat sich im Internet ereignet: Im vergangenen Oktober berichtete der börsennotierte US-amerikanische Domain-Registrar Verisign am Ende einer 175 000 Zeichen langen Pflichtmitteilung an die US-Wertpapieraufsicht SEC, Fremde hätten sich im Jahr 2010 mehrfach Zugang zu Informationen auf einem Teil des Firmennetzwerks verschafft. Erst nachdem die Nachrichtenagentur Reuters nach Auswertung von mehr als 2 000 solcher Pflichtmitteilungen Anfang Februar 2012 darüber berichtete, folgte ein öffentliches Statement von Verisign, in dem es hieß, man “glaubt” nicht, dass die Angreifer in die Domain-Name-Server – Kerngeschäftsfeld des Unternehmens – eingedrungen seien. Nähere Angaben über Umfang des Datenverlusts, Einbruchsmethoden oder Zeitraum wurden dabei nicht gemacht. Fort Knox des InternetsNun mag auf den ersten Blick der Vergleich zwischen einem Einbruch in Fort Knox und dem vorliegenden Fall weit hergeholt erscheinen. Doch die Dienste, die unter dem Markennamen Verisign angeboten werden, sind von immenser Bedeutung für das Funktionieren des World Wide Web und den sicheren Transfer von Daten. Verisign übt schon seit Jahrzehnten im Auftrag der Vereinigten Staaten zentrale Steuerungsaufgaben im Internet aus.Welche Machtbefugnis das Unternehmen hat, zeigt ein Vorfall von Anfang März: US-Behörden beschlagnahmten die Internet-Domain eines kanadischen Glücksspielbetreibers, dessen Angebot auch an Bürger eines US-Staates gerichtet war, weil der Glücksspielanbieter im Verdacht der Geldwäsche stand. Dabei umgingen die US-Ermittler den zuständigen, außerhalb der USA ansässigen Domain-Registrar. Stattdessen wurde Verisign beauftragt, die Kontrolle über die DNS-Einträge für die betroffene .com-Domain an behördliche Server zu übertragen – eine bisher einmalige, juristisch umstrittene Vorgehensweise. Hiervon könnten gegebenenfalls auch deutsche Unternehmen betroffen sein, wenn sie Webseiten mit den von Verisign verwalteten Domain-Endungen .com oder .net betreiben.Denn Verisign verwaltet die zentralen Datenbanken unter anderem der Domains .com, .net und .gov und ist für den Betrieb von zwei der 13 Root-Server zuständig, über die der weltweite Datenverkehr im Internet gelenkt wird. Verisigns Domain-Name-Server übersetzen Eingaben wie “google.com” in die entsprechende numerische IP-Adresse und verarbeiten den Angaben zufolge täglich mehr als 50 Milliarden Anfragen. Kriminelle, die die Kontrolle über diese Server erlangen, könnten Nutzer unmerklich zu gefälschten Webseiten und Internet-Services – etwa von Banken – umleiten oder aber die Verbindung zwischen Kunde und Bank abhören.Verisign war zudem bis zum August des Jahres, in dem die Angriffe stattgefunden haben, als Certificate Authority (CA) einer der größten Anbieter weltweit für die Vergabe von Sicherheitszertifikaten. Diese Zertifikate dienen dazu, die Echtheit von Webseiten zu bescheinigen und die Kommunikation per SSL (Secure Sockets Layer) zu verschlüsseln. Damit werden zum Beispiel Online-Banking-Seiten über das HTTPS-Protokoll authentifiziert. Aber auch soziale Netzwerke wie Facebook oder Webmail-Anbieter wie GMX setzen diese Technologie ein. Mehr als 1 Million Webserver in aller Welt werden dem Unternehmen zufolge durch Verisign-SSL-Zertifikate geschützt. Spärliche AussagenDiese Sparte wurde im Sommer 2010 für 1,28 Mrd. Dollar vom Sicherheitssoftwareanbieter Symantec übernommen. Im August war die Akquisition unter Beibehaltung der Verisign-Marke abgeschlossen. Eine Symantec-Sprecherin sagte Reuters, es gebe keine Hinweise darauf, dass die übernommenen Systeme für die Erstellung von SSL-Zertifikaten von dem Vorfall bei Verisign betroffen waren. Das Unternehmen legte überdies detailliert dar, warum es überzeugt ist, dass der Zertifikatebereich nicht gefährdet war – allerdings nicht in einer offiziellen Mitteilung an die Börse oder Presse, sondern lediglich in zwei Einträgen im Unternehmensblog unmittelbar nach Veröffentlichung der Reuters-Meldung.Damit bleibt Geschäftspartnern und Websurfern nichts weiter übrig, als den spärlichen Aussagen zu vertrauen. Vertrauen ist im Geschäftsfeld Datensicherheit entscheidend, denn die Nutzer müssen sich auf die zertifizierte Sicherheit verlassen können. Bislang ist kein Missbrauch von Verisign-Daten öffentlich geworden. Gleichwohl ist nicht auszuschließen, dass die gestohlenen Informationen schon benutzt wurden oder noch benutzt werden, wie Verisign selbst gegenüber der SEC mitteilte. Immerhin ist ein Zertifikatsmissbrauch kaum nachweisbar, denn es ist nicht möglich zu beweisen, dass ein Zertifikat unecht ist, wie Harald Kern, Verantwortlicher für IT-Security bei Cortal Consors, im Gespräch mit der Börsen-Zeitung erläutert: “Wenn ein Root-Zertifikat gestohlen würde, gäbe es für niemanden die Möglichkeit, die Echtheit des vorliegenden Zertifikates zu überprüfen, denn technisch gesehen ist es echt – aber der Aussteller ist eben falsch.” (siehe nebenstehenden Bericht). Und jemand, der Zertifikate entwendet hat, wird das nicht öffentlich machen, schließlich kann er sie nur so lange einsetzen, wie nicht bekannt ist, dass sie kompromittiert sind. Wildwuchs bei AnbieternErschwerend kommt hinzu, dass es Unternehmen in der Regel nicht umgehend bemerken, wenn jemand in ihre Systeme eindringt. In der SEC-Meldung räumt Verisign beispielsweise ein, dass das Unternehmen “oft” angegriffen werde und die Bedrohung erst wahrgenommen werde, wenn der Angriff bereits erfolgt sei. Präventivmaßnahmen gegen solche Angriffe seien nicht möglich. Dabei steht dieser Vorfall in einer Reihe von jüngst bekannt gewordenen Attacken auf Anbieter von Sicherheitstechnologien (siehe untenstehenden Bericht) und verdeutlicht, dass die zentrale Sicherheitsarchitektur im Internet zunehmend unter Beschuss steht.Doch auch jenseits dieser Szenarien stellt sich zunehmend die Frage, wie weit man der Vertrauensinstanz Zertifikateanbieter noch vertrauen kann. Denn es ist unter den Certificate Authorities weltweit gängige Praxis, es sogenannten Sub-CAs zu ermöglichen, weitere Zertifikate ohne die bei den Trusted CAs üblichen Sicherheitskontrollen zu erstellen. Laut einem Sprecher des Chaos Computer Clubs (CCC) kann sich mit genügend Aufwand jeder ein Zertifikat besorgen, sogar ein Trusted Certificate. Bei Cortal Consors wird dieser unkontrollierte Wildwuchs bei Zertifikateanbietern zunehmend kritisch gesehen: “Mittlerweile sind zu viele Firmen am Zertifikatemarkt beteiligt. Da gibt es zu wenig Kontrolle und zu viele Köche”, so deren IT-Sicherheitsverantwortlicher Kern.Der unabhängige IT-Experte Gunnar Porada, der mit seiner Firma InnoSec Banken und Unternehmen in Sicherheitsfragen berät, fordert, die Banking-Verfahren losgelöst von der SSL-Infrastruktur so zu sichern, dass Angriffe auf die Kommunikation zwischen den beteiligten Parteien weniger gefährlich sind: “Bank und Kunden müssen lernen, damit umzugehen, dass sie sowohl auf dem PC als auch auf dem Kommunikationsweg angreifbar sind. Statt der bisherigen Sicherheitsmerkmale, die letztlich nur geringe Sicherheit bieten, muss das Banking-Verfahren so gesichert werden, dass es gegen diese Art von Angriffen immun ist. Das ist heutzutage technisch möglich.” Daneben werden Forderungen laut, die Sicherheitszertifikate-Vergabe nicht mehr in die Hand von Privatunternehmen, sondern von behördlichen Stellen zu legen. Dabei ist jedoch gar nicht gesagt, dass eine Behörde besser vor einschlägigen Hackerangriffen geschützt wäre als die Server privater Dienstleister.Dringender Handlungsbedarf herrscht allemal beim Thema Transparenz. Denn die Anbieter von SSL-Zertifikaten laufen Gefahr, das wichtigste Gut – Vertrauen – durch mangelhafte Kommunikationspolitik zu verspielen. Mehrere deutsche Banken zeigten sich auf Anfrage überrascht, nicht von Verisign/Symantec selbst über den Vorfall informiert worden zu sein. Zwar versichern sie unisono, dass die Sicherheit im Online Banking hierzulande zu keinem Zeitpunkt gefährdet war. Immerhin hätten die meisten im Transaktionsbereich eingesetzten Zertifikate die Endung .de und seien somit nicht von dem Angriff auf Verisign betroffen. Eine Verpflichtung zur Offenlegung solcher sicherheitsrelevanten Vorfälle, so wie von der EU-Kommission geplant, würde jedoch begrüßt. Im Rahmen einer europaweiten Datenschutz-Verordnung sollen Unternehmen Angriffe auf Firmennetzwerke, bei denen Daten entwendet wurden, binnen 24 Stunden an die Aufsichtsbehörden melden müssen. Auch betroffene Kunden sollen binnen dieser Frist informiert werden.