Der Datendiebstahl über manipulierte Webseiten gehört zu den größten Sicherheitsbedrohungen im Internet. Allein zwischen Mitte März und Mitte April 2018 ermittelte ein US-Forscherteam über 170.000 sogenannte Phishing-Webseiten (PDF). Über eine E-Mail werden Internetnutzer auf eine Webseite gelockt und dazu verleitet, persönliche Daten oder Passwörter einzugeben. Die Webseite, auf die verlinkt wird, sieht einer vertrauenswürdigen Seite, zum Beispiel der einer Bank oder eines E-Commerce-Anbieters, meist zum Verwechseln ähnlich.
Foto: Fascinadora - shutterstock.com
Der Unterschied liegt in der Identitätsprüfung
Secure-Sockets-Layer (SSL)-Zertifikate sind ein Instrument, um diesen Missbrauch einzudämmen. Sie ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internetnutzers und Webseiten. Zusätzlich können SSL-Zertifikate über den Besitzer der Webseite informieren. Je nach Sicherheitsniveau lassen sich drei Zertifikatstypen unterscheiden.
Bei der einfachen Domain-Validierung (DV) bestätigt das SSL-Zertifikat, dass die jeweilige Domain und das Zertifikat eine Einheit bilden. Es wird keine Aussage über den Inhaber der Domain oder der Webseite getroffen.
Anders bei den organisationsvalidierten Zertifikaten (Organization Validation, OV). Hier muss der Domain-Inhaber seine Identität gegenüber einer dritten, unabhängigen Instanz nachweisen. Dies geschieht im Unternehmensumfeld in der Regel durch Vorlage eines Handelsregisterauszugs oder eines Gewerbenachweises.
Das höchste Sicherheitsniveau bieten sogenannte erweitert validierte Zertifikate (Extended Validation, EV). Zusätzlich zum Domain-Check und zur Organisationsvalidierung erfordern sie einen individuellen Identitätsnachweis des Antragstellers. Dabei wird geprüft, ob diese Person tatsächlich bei der Organisation angestellt ist und ein EV-Zertifikat erwerben darf.
Entsprechend enthalten OV- und EV-Zertifikate konkrete Informationen über den Besitzer der Webseite und darüber, welche Ausgabestelle die Angaben verifiziert hat. Auch visuell konnten Internetnutzer bisher eindeutig erkennen, ob eine Webseite identitätsgeprüft ist. Sichtbar war dies an der Kombination aus grünem Vorhängeschloss und grünem Unternehmensnamen in der Adresszeile des Browsers.
Foto: Bundesdruckerei GmbH
Browser kennzeichnen Verschlüsselung nicht mehr
Google und andere Browser-Hersteller haben visuellen Hinweise über die Verschlüsselung der Verbindung kürzlich abgeschafft. Begründet wird dieser Schritt damit, dass verschlüsselte Webseiten immer mehr zum Standard werden. Das Internet sei "standardmäßig" sicher (safe by default). Deshalb sei es nicht mehr notwendig, auf die SSL-Verschlüsselung hinzuweisen, sondern nur noch auf ihr Fehlen.
Google Chrome zum Beispiel warnt vor unverschlüsselten Webseiten mit dem Hinweis "Nicht sicher". Verschlüsselte Webseiten sind jetzt durch ein graues Vorhängeschloss gekennzeichnet. Zwischen den verschiedenen Stufen des Identitätsnachweises wird kein Unterschied mehr gemacht. Bei OV- und EV-Zertifikaten in der Browser-Darstellung fehlt die Positivfarbe Grün ebenso wie der Unternehmensname in grüner Schrift.
Skeptiker von identitätsgeprüften Zertifikaten verweisen zum einen auf deren geringe Verbreitung. Ihr Anteil an den weltweit ausgestellten SSL-Zertifikaten beträgt knapp sechs Prozent. Zum anderen wird bezweifelt, dass ein sicherer Identitätsnachweis von Webseiten möglich ist. Einem britischen Sicherheitsforscher ist es beispielsweise gelungen, für ein nicht existierendes Unternehmen ein Zertifikat mit Identitätsnachweis zu erhalten. Ein amerikanischer Sicherheitsforscher bekam ein EV-Zertifikat auf einen bereits existierenden Unternehmensnamen ausgestellt. Die Namenskollision wurde bei der Verifizierung nicht bemerkt. Beide EV-Zertifikate hätten für Phishing-Zwecke genutzt werden können.
Sicherheitsvorfälle bei SSL-Zertifikaten
Haben identitätsgeprüfte Zertifikate damit ihren Wert verloren und keine Zukunft mehr? Nein, denn von den 170.000 entdeckten Phishing-Webseiten des amerikanischen Forscherteams waren 6.020 mit SSL-Zertifikaten ausgestattet. Lediglich elf gefälschte Webseiten besaßen ein identitätsgeprüftes OV- oder EV-Zertifikat, das ist ein Anteil von 0,2 Prozent. Die restlichen 99,8 Prozent (6.009 Phishing-Webseiten), enthielten ein DV-Zertifikat ohne Identitätsprüfung. Identitätsgeprüfte Webseiten sind also oft sicherer, als solche ohne Identitätsnachweis.
Browser-Hersteller in der Pflicht
Laut einer Umfrage des Marktforschungsinstituts Forrester (PDF) unter 105 IT-Entscheidern, wünschen sich Unternehmen eine eindeutige Darstellung von identitätsgeprüften Webseiten im Browser-Interface. Auf die Frage, welche Funktionen SSL-Zertifikate für die eigene Unternehmenswebseite bieten sollen, antworten 93 Prozent der Befragten, dass die bestätigte Organisationsidentität für Kunden klar erkennbar sein müsse. Dafür sind nach Meinung der Befragten auch die Browser-Hersteller verantwortlich. Für 88 Prozent sollten Webseiten mit und ohne Identitätsprüfung unterschiedlich im Browser-Interface angezeigt werden.
Identitätsprüfung optimieren
OV- und EV-Zertifikate sind wichtiger im Internet, als es die reinen eingesetzten Stückzahlen vermuten lassen. Es ist entscheidend, wie viel an Internet-Traffic über identitätsgeprüfte Webseiten abgewickelt wird. Laut dem SSL-Zertifikate-Anbieter Digicert (PDF) laufen zwei Drittel der weltweiten E-Commerce-Transaktionen über OV- und EV-Zertifikate. Der Anteil identitätsgeprüfter Zertifikate am gesamten Internetverkehr beträgt 62 Prozent.
Die entdeckten Missbrauchsmöglichkeiten bei EV-Zertifikaten verweisen nicht auf Produktfehler, sondern auf Schwächen im Prozess der Identitätsprüfung. In Deutschland zum Beispiel trägt die Arbeit lokaler Aufsichtsbehörden wesentlich dazu bei, Identitätsmissbrauch zu erschweren. Das betrifft unter anderem den Handelsregistereintrag, die Gewerbeanmeldung oder spezielle Branchen-Aufsichtsbehörden wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Finanzsektor.
QWACs: SSL-Zertifikate mit hoher Vertrauenswürdigkeit
Für die EU-Kommission sind identitätsgeprüfte Webseiten eine wichtige Voraussetzung für eine sichere und vertrauenswürdige Online-Kommunikation. Die europäische Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) hat deshalb ein Werkzeug geschaffen: das qualifizierte Webseiten-Zertifikat (Qualified Website Authentication Certificate, QWAC).
Technisch entsprechen die QWACs den EV-Zertifikaten. Hinzu kommt eine hohe Rechtsverbindlichkeit im gesamten EU-Raum. Die im Zertifikat bereitgestellten Inhalte über die Identität des Inhabers können vor Gericht als Beweismittel eingebracht werden. Großen Wert legt die eIDAS-Verordnung auf einen sicheren Prozess der Identitätsprüfung.
QWACs dürfen nur von sogenannten qualifizierten Vertrauensdiensteanbietern (qVDA) mit Sitz in der EU herausgegeben werden. Darunter versteht die Verordnung besonders vertrauenswürdige Zertifizierungsstellen, die verschärfte Bestimmungen zu Sicherheit und Haftung einhalten müssen. Zum Beispiel wird bei qualifizierten Vertrauensdiensteanbietern im Missbrauchsfall grundsätzlich von Vorsatz und Fahrlässigkeit ausgegangen, es sei denn, sie können das Gegenteil beweisen.
Ein Einsatzschwerpunkt der QWACs liegt aktuell im Finanzsektor. Die zweite Payment Services Directive (PSD2) ermöglicht Drittanbietern, elektronische Dienste rund um das Konto und das Bezahlen anzubieten. Dazu muss die Kommunikation zwischen der kontoführenden Stelle und dem Drittanbieter jedoch stark abgesichert sein. Die PSD2-Richtlinie verpflichtet die Drittanbieter deshalb, QWACs zu nutzen, um den Datenverkehr zu verschlüsseln und damit die Drittanbieter ihre Identität eindeutig nachweisen können. Weitere interessante Anwendungsgebiete liegen im E-Commerce und im E-Government. Zudem profitieren Unternehmen von den QWACs, für die Vertrauenswürdigkeit und Sicherheit in der Online-Kommunikation einen hohen Stellenwert besitzen.
Fazit
Um die Webseiten-Kommunikation sicherer zu machen, genügt es nicht, nur die Anzahl der genutzten SSL-Zertifikate zu erhöhen. Vielmehr geben erst identitätsgeprüfte Webseiten den Kunden das Vertrauen, dass die aufgerufene Internetpräsenz auch wirklich sicher ist und persönliche Daten weitergegeben werden können.
Nicht die bestehenden Zertifikatstypen sind zu hinterfragen, sondern die eingesetzte Identitätsprüfung. Hierbei wurden durch die eIDAS-Verordnung in der EU eindeutige Standards geschaffen. Umso bedauerlicher ist es, dass Google und andere Browser-Hersteller die unterschiedlichen Zertifikatstypen nicht mehr differenziert darstellen. (jd)