Verschlüsselung im Internet

Wie sicher sind SSL-Zertifikate mit Identitätsnachweis

21.05.2019
Von 


Dr. Kim Nguyen studierte Mathematik und Physik. Im Jahre 2001 wurde ihm von der Universität/GH Essen der Doktortitel in reiner Mathematik verliehen. Von 2001-2003 war er bei Phillips Semiconductors (jetzt NXP Semiconductors) in Hamburg beschäftigt. Seit 2004 ist er bei der Bundesdruckerei GmbH in Berlin tätig und im Juni 2012 hat er die Geschäftsführung der Bundesdruckerei Tochter D-TRUST GmbH übernommen. Zusätzlich ist der Autor seit 2019 Geschäftsfeldleiter des Bereichs Trusted Services bei der Bundesdruckerei GmbH.

Identitätsprüfung optimieren

OV- und EV-Zertifikate sind wichtiger im Internet, als es die reinen eingesetzten Stückzahlen vermuten lassen. Es ist entscheidend, wie viel an Internet-Traffic über identitätsgeprüfte Webseiten abgewickelt wird. Laut dem SSL-Zertifikate-Anbieter Digicert (PDF) laufen zwei Drittel der weltweiten E-Commerce-Transaktionen über OV- und EV-Zertifikate. Der Anteil identitätsgeprüfter Zertifikate am gesamten Internetverkehr beträgt 62 Prozent.

Die entdeckten Missbrauchsmöglichkeiten bei EV-Zertifikaten verweisen nicht auf Produktfehler, sondern auf Schwächen im Prozess der Identitätsprüfung. In Deutschland zum Beispiel trägt die Arbeit lokaler Aufsichtsbehörden wesentlich dazu bei, Identitätsmissbrauch zu erschweren. Das betrifft unter anderem den Handelsregistereintrag, die Gewerbeanmeldung oder spezielle Branchen-Aufsichtsbehörden wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Finanzsektor.

QWACs: SSL-Zertifikate mit hoher Vertrauenswürdigkeit

Für die EU-Kommission sind identitätsgeprüfte Webseiten eine wichtige Voraussetzung für eine sichere und vertrauenswürdige Online-Kommunikation. Die europäische Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) hat deshalb ein Werkzeug geschaffen: das qualifizierte Webseiten-Zertifikat (Qualified Website Authentication Certificate, QWAC).

Technisch entsprechen die QWACs den EV-Zertifikaten. Hinzu kommt eine hohe Rechtsverbindlichkeit im gesamten EU-Raum. Die im Zertifikat bereitgestellten Inhalte über die Identität des Inhabers können vor Gericht als Beweismittel eingebracht werden. Großen Wert legt die eIDAS-Verordnung auf einen sicheren Prozess der Identitätsprüfung.

QWACs dürfen nur von sogenannten qualifizierten Vertrauensdiensteanbietern (qVDA) mit Sitz in der EU herausgegeben werden. Darunter versteht die Verordnung besonders vertrauenswürdige Zertifizierungsstellen, die verschärfte Bestimmungen zu Sicherheit und Haftung einhalten müssen. Zum Beispiel wird bei qualifizierten Vertrauensdiensteanbietern im Missbrauchsfall grundsätzlich von Vorsatz und Fahrlässigkeit ausgegangen, es sei denn, sie können das Gegenteil beweisen.

Ein Einsatzschwerpunkt der QWACs liegt aktuell im Finanzsektor. Die zweite Payment Services Directive (PSD2) ermöglicht Drittanbietern, elektronische Dienste rund um das Konto und das Bezahlen anzubieten. Dazu muss die Kommunikation zwischen der kontoführenden Stelle und dem Drittanbieter jedoch stark abgesichert sein. Die PSD2-Richtlinie verpflichtet die Drittanbieter deshalb, QWACs zu nutzen, um den Datenverkehr zu verschlüsseln und damit die Drittanbieter ihre Identität eindeutig nachweisen können. Weitere interessante Anwendungsgebiete liegen im E-Commerce und im E-Government. Zudem profitieren Unternehmen von den QWACs, für die Vertrauenswürdigkeit und Sicherheit in der Online-Kommunikation einen hohen Stellenwert besitzen.

Fazit

Um die Webseiten-Kommunikation sicherer zu machen, genügt es nicht, nur die Anzahl der genutzten SSL-Zertifikate zu erhöhen. Vielmehr geben erst identitätsgeprüfte Webseiten den Kunden das Vertrauen, dass die aufgerufene Internetpräsenz auch wirklich sicher ist und persönliche Daten weitergegeben werden können.

Nicht die bestehenden Zertifikatstypen sind zu hinterfragen, sondern die eingesetzte Identitätsprüfung. Hierbei wurden durch die eIDAS-Verordnung in der EU eindeutige Standards geschaffen. Umso bedauerlicher ist es, dass Google und andere Browser-Hersteller die unterschiedlichen Zertifikatstypen nicht mehr differenziert darstellen. (jd)