Suchen

Vertrauensbasis Zertifikate für das Internet verifizieren und schützen

| Autor / Redakteur: Kevin Bocek* / Stephan Augsten

Zertifikate sollen im Internet für Vertrauen sorgen, werden aber immer öfter gefälscht oder gar gestohlen. Mit der Integrität eines Zertifikats steht und fällt letztlich die Akzeptanz des zugehörigen Online-Dienstes. Dementsprechend schutzbedürftig sind die digitalen Identitätsnachweise.

Firmen zum Thema

Digitale Zertifikate sind buchstäblich und im übertragenen Sinne der Schlüssel für ein gesundes Vertrauensverhältnis im Internet.
Digitale Zertifikate sind buchstäblich und im übertragenen Sinne der Schlüssel für ein gesundes Vertrauensverhältnis im Internet.
(Bild: Archiv)

Annähernd alle Lebensbereiche sind mittlerweile von Digitalisierungs- und Vernetzungsprozessen erfasst worden. Während wir uns ans Arbeiten, Banking und Einkaufen im Netz gewöhnten, ging die Entwicklung bereits weiter: Behördengänge, Familientreffen, die Bedienung der Kaffeemaschinen oder der Heizung, Fitnesspläne und die Stundenpläne der Kinder – alles Beispiele für Vorgänge, die sich heutzutage schon online abspielen.

Möglich gemacht hat diese Erfolgsgeschichte der digitalen Kommunikation die Akzeptanz der Verbraucher, sich auf das neue Medium Internet einzulassen – genauer: das Vertrauen der Internet-Nutzer in die Sicherheit ihrer Datenströme. Dieses Vertrauen basiert seit den frühen 1990er Jahren auf einer technischen Komponente: digitalen Systemen, die eine unleugbare Authentifizierung bieten und Privatsphäre mit Verschlüsselung schützen.

Dieses System ähnelt dem menschlichen Körper. Alle Zellen eines Menschen haben einen besonderen Identifikator, der sie von Fremdkörpern unterscheidet. Schlüssel und Zertifikate machen das Gleiche. Leider gibt es kein Immunsystem, dass nach den Schlüsseln und Zertifikaten in den Rechenzentren, Cloud Umgebungen, Geräten und im Internet sucht und diese überprüft.

Sichere Kommunikation durch Zertifikate und Schlüssel

Digitale Verschlüsselungs- oder auch Krypto-Systeme haben das Ziel, den Datenverkehr zwischen zwei Parteien für unberechtigte Dritte unleserlich und damit sicher zu machen. Man unterscheidet hierbei zwischen symmetrischen und asymmetrischen Verschlüsselungssystemen. Während bei ersteren beide Parteien denselben geheimen Schlüssel für ihre Datenübertragung kennen und verwenden, werden bei letzteren ein privater und ein öffentlicher Schlüssel genutzt.

Der öffentliche Schlüssel dient der Adressierung von verschlüsselter Information, er kann von anderen Parteien als Teil eines Publik-Key-Zertifikates per E-Mail angefordert oder von einer Website heruntergeladen werden. Mit dem zweiten Teil des Zertifikates, dem privaten Schlüssel, kann die adressierte Partei die verschlüsselte Information dann dechiffrieren. Dadurch wird sichere und diskrete bilaterale Kommunikation ermöglicht, ohne dass beide Parteien ein Geheimnis teilen müssten.

Vertrauen schaffen mit Zertifizierungsketten

Um die Echtheit des erwähnten Public-Key-Zertifikats verifizieren zu können – das heißt, um belegen zu können, dass seine angegebene Herkunft auch seiner tatsächlichen Herkunft entspricht – kommen nun weitere Zertifikate ins Spiel. Es bilden sich Zertifikatsketten, die als Validierungspfad bekannt sind und eine Nachverfolgung erlauben.

In der Summe bilden die einzelnen Zertifizierungspfade eine feste Public-Key-Infrastruktur (PKI). Der Aufbau einer PKI kann unterschiedlich erfolgen. Manche sind hierarchisch organisiert. Hierbei werden ein sogenanntes Trust Center oder eine oberste Zertifizierungsstelle genutzt, denen alle Parteien vertrauen. Andere PKIs verwenden Cross-Zertifizierungen, bei denen mehrere oberste Zertifizierungsstellen sich gegenseitig Zertifikate ausstellen.

Schließlich gibt es noch die Variante des „Web of Trust“. Im Gegensatz zur Nutzung in Trust Centern sind Zertifikate selbst ausstellend, d.h. es muss ihnen blind vertraut werden. Fakt ist, dass die meisten Zertifikate in den Rechenzentren und Cloud-Umgebungen selbst erstellt sind. Es ist deshalb sehr gefährlich, weil Cyber-Gefahren überall lauern und selbsterstellte Zertifikate nicht wissen, dass es sich auch wirklich um Gefahren handelt.

Im Durchschnitt befinden sich in einem deutschen Unternehmen mehr als 20.000 Schlüssel und Zertifikate – die meisten davon selbsterstellt. Insgesamt wächst die Anzahl an Schlüsseln und Zertifikaten alles zwei Jahre um 20 Prozent.

(ID:43461624)