Verisign auf Betrüger hereingefallen

Falsche Microsoft-Zertifikate

30.03.2001
HANNOVER (CW) - Verisign hat versehentlich einem Betrüger zwei digitale Zertifikate auf den Namen von Microsoft ausgestellt. Damit lassen sich bösartige Programme, Active X Controls oder Office-Makros als offizielle Microsoft-Produkte in Umlauf bringen.

Ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, hat im Namen des Unternehmens zwei digitale Zertifikate von Verisign erhalten. Mit diesen lassen sich theoretisch bösartige Windows-Anwendungen, Active X Controls oder Office-Makros im Rahmen des "Authenticode"-Verfahrens als offiziell von Microsoft stammend kennzeichnen und so in die IT gutgläubiger Unternehmen einschleusen. Betroffen sind alle 32-Bit-Versionen des Windows-Betriebssystems. In einem Security Bulletin (www.microsoft.com/technet/security/bulletin/MS01-017.asp) kündigt Microsoft an, ein Patch werde derzeit entwickelt und in Kürze veröffentlicht. Zudem habe man das FBI eingeschaltet, um den Fälscher dingfest zu machen.

Die gefälschten "Class-3"-Zertifikate wurden von Verisign bereits am 29. und 30. Januar dieses Jahres ausgestellt. Dass die Identität des Antragsstellers nicht überprüft wurde, ist laut Vice President Mahi da Silva auf "menschliches Versagen" zurückzuführen. "Wir haben mit unserem Verfahren 500 000 digitale Zertifikate ausgestellt, und nur bei diesen zweien haben wir Kenntnis von einem Betrug", so da Silva.