Vertrauensbasis Zertifikate für das Internet verifizieren und schützen

Autor / Redakteur: Kevin Bocek* / Stephan Augsten

Zertifikate sollen im Internet für Vertrauen sorgen, werden aber immer öfter gefälscht oder gar gestohlen. Mit der Integrität eines Zertifikats steht und fällt letztlich die Akzeptanz des zugehörigen Online-Dienstes. Dementsprechend schutzbedürftig sind die digitalen Identitätsnachweise.

Firma zum Thema

Digitale Zertifikate sind buchstäblich und im übertragenen Sinne der Schlüssel für ein gesundes Vertrauensverhältnis im Internet.
Digitale Zertifikate sind buchstäblich und im übertragenen Sinne der Schlüssel für ein gesundes Vertrauensverhältnis im Internet.
(Bild: Archiv)

Annähernd alle Lebensbereiche sind mittlerweile von Digitalisierungs- und Vernetzungsprozessen erfasst worden. Während wir uns ans Arbeiten, Banking und Einkaufen im Netz gewöhnten, ging die Entwicklung bereits weiter: Behördengänge, Familientreffen, die Bedienung der Kaffeemaschinen oder der Heizung, Fitnesspläne und die Stundenpläne der Kinder – alles Beispiele für Vorgänge, die sich heutzutage schon online abspielen.

Möglich gemacht hat diese Erfolgsgeschichte der digitalen Kommunikation die Akzeptanz der Verbraucher, sich auf das neue Medium Internet einzulassen – genauer: das Vertrauen der Internet-Nutzer in die Sicherheit ihrer Datenströme. Dieses Vertrauen basiert seit den frühen 1990er Jahren auf einer technischen Komponente: digitalen Systemen, die eine unleugbare Authentifizierung bieten und Privatsphäre mit Verschlüsselung schützen.

Dieses System ähnelt dem menschlichen Körper. Alle Zellen eines Menschen haben einen besonderen Identifikator, der sie von Fremdkörpern unterscheidet. Schlüssel und Zertifikate machen das Gleiche. Leider gibt es kein Immunsystem, dass nach den Schlüsseln und Zertifikaten in den Rechenzentren, Cloud Umgebungen, Geräten und im Internet sucht und diese überprüft.

Sichere Kommunikation durch Zertifikate und Schlüssel

Digitale Verschlüsselungs- oder auch Krypto-Systeme haben das Ziel, den Datenverkehr zwischen zwei Parteien für unberechtigte Dritte unleserlich und damit sicher zu machen. Man unterscheidet hierbei zwischen symmetrischen und asymmetrischen Verschlüsselungssystemen. Während bei ersteren beide Parteien denselben geheimen Schlüssel für ihre Datenübertragung kennen und verwenden, werden bei letzteren ein privater und ein öffentlicher Schlüssel genutzt.

Der öffentliche Schlüssel dient der Adressierung von verschlüsselter Information, er kann von anderen Parteien als Teil eines Publik-Key-Zertifikates per E-Mail angefordert oder von einer Website heruntergeladen werden. Mit dem zweiten Teil des Zertifikates, dem privaten Schlüssel, kann die adressierte Partei die verschlüsselte Information dann dechiffrieren. Dadurch wird sichere und diskrete bilaterale Kommunikation ermöglicht, ohne dass beide Parteien ein Geheimnis teilen müssten.

Vertrauen schaffen mit Zertifizierungsketten

Um die Echtheit des erwähnten Public-Key-Zertifikats verifizieren zu können – das heißt, um belegen zu können, dass seine angegebene Herkunft auch seiner tatsächlichen Herkunft entspricht – kommen nun weitere Zertifikate ins Spiel. Es bilden sich Zertifikatsketten, die als Validierungspfad bekannt sind und eine Nachverfolgung erlauben.

In der Summe bilden die einzelnen Zertifizierungspfade eine feste Public-Key-Infrastruktur (PKI). Der Aufbau einer PKI kann unterschiedlich erfolgen. Manche sind hierarchisch organisiert. Hierbei werden ein sogenanntes Trust Center oder eine oberste Zertifizierungsstelle genutzt, denen alle Parteien vertrauen. Andere PKIs verwenden Cross-Zertifizierungen, bei denen mehrere oberste Zertifizierungsstellen sich gegenseitig Zertifikate ausstellen.

Schließlich gibt es noch die Variante des „Web of Trust“. Im Gegensatz zur Nutzung in Trust Centern sind Zertifikate selbst ausstellend, d.h. es muss ihnen blind vertraut werden. Fakt ist, dass die meisten Zertifikate in den Rechenzentren und Cloud-Umgebungen selbst erstellt sind. Es ist deshalb sehr gefährlich, weil Cyber-Gefahren überall lauern und selbsterstellte Zertifikate nicht wissen, dass es sich auch wirklich um Gefahren handelt.

Im Durchschnitt befinden sich in einem deutschen Unternehmen mehr als 20.000 Schlüssel und Zertifikate – die meisten davon selbsterstellt. Insgesamt wächst die Anzahl an Schlüsseln und Zertifikaten alles zwei Jahre um 20 Prozent.

Zertifikatsmissbrauch zerstört das Vertrauen

Das Internet wurde ursprünglich ohne Sicherheitsmechanismen programmiert und baut auf dem gegenseitigen Vertrauen der User auf. Zwar haben sich die Protokolle verfeinert, aber dieser Grundsatz gilt in gewissem Umfang immer noch. Sicherlich gibt es mittlerweile sehr gute Sicherheitsmechanismen, aber ganz ohne Vertrauen kommt das Internet nicht aus.

In diese Kerbe schlagen nun zunehmend Hacker und Cyberkriminelle. Sie versuchen, das Fehlen eines „Immunsystems“, das die Richtigkeit eines Zertifikats beweist, für ihre Zwecke auszunutzen. Sie eignen sich illegal Zertifikate und Schlüssel an und versuchen damit, vertrauliche Informationen von und für Dritte auf ihre Rechner umzuleiten.

Ob der Man-in-the-Middle-Angriff auf den Iran im Jahr 2011, der Hack von Sony Pictures Ende 2014 oder die Attacken auf US-amerikanische Krankenversicherungen Anfang 2015: sie alle hatten den Missbrauch von Zertifikaten und Schlüsseln als Basis. Und es ist sehr einfach, es gibt mehr als Tausend Trojaner, die dafür entwickelt wurden, um Zertifikate zu stehlen und sich über Netzwerke zu verbreiten.

Inzwischen dürfte ihre Zahl noch einmal deutlich zugenommen haben. IT-Sicherheitsexperten von Intel Security haben dem Handel mit gestohlenen Zertifikaten für die kommenden Jahre bereits einen rasanten Anstieg vorausgesagt, bereits jetzt werden Zertifikate für 1.000 Euro auf russischen Untergrundmärkten verkauft. Derweil gehen die Marktanalysten von Gartner davon aus, dass Netzwerkattacken durch SSL/TLS im Jahr 2017 bereits 50 Prozent aller Cyberangriffe ausmachen werden.

Diese verstecken sich im verschlüsselten Datenverkehr der meisten Unternehmen und viele wollen oder können diesen nicht richtig verschlüsseln, so dass Cyber-Kriminelle einen großen Vorteil daraus ziehen. Dazu kommt noch das unsachliche Verhalten von eigentlich legitimen Unternehmen: Beispielsweise nutzten Lenovo und GoGo Man-in-the-Middle-Angriffe, um Werbung zu schalten und Datenströme zu manipulieren.

Zertifikate sichern – Vertrauen erhalten

Sollte sich diese Entwicklung fortsetzen, wie von den Experten prognostiziert, wäre das Vertrauen in eine sichere und private Internetkommunikation nachhaltig gestört. Dies käme mehr als ungelegen. Schon seit Jahren ist der gesamte Alltag Prozessen der Digitalisierung und Vernetzung unterworfen – zahlreiche neue Märkte warten auf ihre Erschließung.

Eine Möglichkeit, das Vertrauen der Verbraucher in das Internet zu erhalten und langfristig zu stabilisieren, liegt in der Förderung des Vertrauens in das Verschlüsselungssystem der Zertifikate. Deren Reputation wird man in den kommenden Jahren aber nur sichern können, wenn es gelingt, ihren Missbrauch einzudämmen.

* Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi.

(ID:43461624)