Suchen

DigiNotar und der Single Point of Failure Hacks von DigiNotar und RSA zeigen Bedarf an mehrstufiger IT-Sicherheit

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Durch die Angriffe auf SSL-Zertifizierungsstellen wie DigiNotar und GlobalSign sind wesentliche Teile der auf SSL basierenden Sicherheit im Internet gefährdet. Gleichzeitig zeigt der Angriff einmal mehr, dass Sicherheitskonzepte mehrstufig sein müssen und keinen „single point of failure“ haben dürfen.

Firmen zum Thema

Durch die jüngsten Hacking-Aktivitäten ist selbst bei SSL-Verbindungen Misstrauen angebracht.
Durch die jüngsten Hacking-Aktivitäten ist selbst bei SSL-Verbindungen Misstrauen angebracht.
( Archiv: Vogel Business Media )

Ende August wurde bekannt, dass die niederländische SSL-Zertifizierungsstelle DigiNotar, ein Unternehmen der Vasco-Gruppe, von einem erfolgreichen Angriff betroffen ist. Dabei hat ein Angreifer, vermutlich aus dem Iran, die Zertifizierungsstelle (Certificate Authority, CA) von DigiNotar gehackt. Jetzt spricht man davon, dass sie unzureichend gesichert war.

Nun – wenn ein erfolgreicher Angriff gelingt, ist die Existenz von Schwachstellen offensichtlich. Die Frage ist allerdings, ob man eine CA überhaupt ausreichend sichern kann. Das Problem ist, dass von dieser CA ausgestellte Zertifikate nicht mehr vertrauenswürdig sein können, da sie gefälscht sein könnten.

Der übliche Überprüfungsprozess, der entweder über CRLs (Certificate Revocation Lists), also Listen von ungültigen Zertifikaten, oder manchmal über OCSP (Online Certificate Status Protocol) arbeitet, ist eher schwach. CRLs sind nicht ganz aktuell und OCSP wird in vielen Fällen nicht genutzt.

Eine erste Konsequenz ist, dass Microsoft, Apple sowie verschiedene Linux-Distributionen die DigiNotar-Zertifikate aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen entfernt haben. Damit werden von DigiNotar ausgestellte Zertifikate nicht mehr akzeptiert und (entsprechende Einstellungen im System und beim Browser vorausgesetzt) Warnungen angezeigt.

Da aber beispielsweise die Websites der niederländischen Regierung über DigiNotar gesichert wurden, schafft das natürlich einige Probleme, insbesondere in den Niederlanden. Der wirtschaftliche Schaden ist kaum abschätzbar, wenn man alle Folgekosten für die Umstellung auf andere Zertifikate, den Support für Zugriffsprobleme und dergleichen mehr berechnet.

Seite 2: Ähnlichkeiten zum RSA-Hack

(ID:2052854)