Wachsende Zweifel am Zertifizierungssystem

Viele IT-Sicherheitsexperten halten Zertifikate nicht mehr für sicher. So ließ der Security-Anbieter Venafi 300 Teilnehmer der Black-Hat-Konferenz 2015 zu ihrer Meinung zum Zertifikatssystem befragen. Rund 90 Prozent der Befragten rechnen laut der Umfrage damit, dass es innerhalb der kommenden beiden Jahre zu einem weiteren gravierenden Einbruch in eine Zertifizierungsstelle (Certificate Authority, CA) kommen wird.

Zertifikate sind ein wesentlicher Bestandteil einer sicheren Kommunikation über das Internet. Sie werden für eine Verschlüsselung von Verbindungen eingesetzt, etwa zwischen dem Browser eines Anwenders und dem Server seiner Bank. Außerdem bestätigen sie die Identität der Gegenseite.

Zertifizierungsstellen unterschreiben digitale Zertifikate und sollen so ihre Echtheit garantieren. Wenn es tatsächlich zu einem Einbruch wie etwa bei Diginotar im Jahr 2011 kommt, dann kann der Angreifer künftig selbst Zertifikate ausstellen und unterschreiben. Ein Anwender kann dann nicht mehr erkennen, ob er sich wirklich auf der Webseite seiner Online-Bank befindet oder auf einer gefälschten Seite.

Erstaunlich ist, dass laut der Umfrage (PDF) nur 13 Prozent der Befragten bereits einen Plan haben, wie sie reagieren sollen, wenn wirklich ein Einbruch in eine CA erfolgt. Gerade dann müssen aber etwa in Firmen zum Teil Tausende von Zertifikaten ersetzt werden, um Man-in-the-Middle-Attacken zu verhindern. Bei diesen Angriffen setzt ein Angreifer gefälschte Zertifikate ein und klinkt sich so in eine vermeintlich sichere Kommunikation ein. 58 Prozent der auf der Black Hat befragten Experten rechnet vor allem mit dieser Art von Attacken.