Unbekannte Hacker bringen die Sicherheitsmechanismen des Internet ins Wanken: Sie konnten sich selbst mehr als 500 Web-Ausweise ausstellen und sich mit diesen erbeuteten Zertifikaten als Google, CIA oder Facebook ausgeben. Hinter dem Angriff wird Iran vermutet.

Der Skandal um den niederländischen Zertifikatsaussteller Diginotar weitet sich aus. Am Wochenende wurde bekannt, das weit mehr Web-Seiten von der Hacker-Attacke betroffen sind als bisher vermutet. Zunächst hatte es geheißen, es sei nur ein Google-Zertifikat gefälscht worden. Jetzt haben Ermittler entdeckt, dass die Angreifer sich mehr als 500 Sicherheitszertifikate ausgestellt haben - mit den digitalen Unbedenklichkeitserklärungen munitioniert, konnten sie sich mit fremden Identitäten in den Internetverkehr einklinken, Daten abgreifen und Anwender belauschen. Experten vermuten, die iranische Regierung könnte Drahtzieher des Angriffs sein.

Der Hacker-Einbruch ist deshalb so gefährlich, weil Zertifikatsaussteller wie Diginotar eigentlich für Sicherheit und Vertrauen im Internet sorgen sollen. Die sogenannten SSL-Zertifikate (Secure Socket Layer), die von solchen Unternehmen ausgegeben werden, bestätigen einem Webbrowser die Identität des Betreibers einer Website. Sie sind das Mittel der Wahl, wenn man sich vor ungebetenen Lauschern schützen und geheime Daten übertragen will, beispielsweise beim Online-Banking.

Sandro Gaycken, IT-Sicherheitsforscher an der FU Berlin, sieht in der Cyber-Attacke "eine Katastrophe". Er sagt: "Man muss den Zertifizierungsstellen vertrauen können, sonst kollabiert dieser ganze Vertrauensmechanismus". Interessant seien die Zertifikate für staatliche Autoritäten, Nachrichtendienste, aber auch kriminelle Organisationen. So interessant sogar, dass es manchmal ganz reguläre Einbrüche in die Gebäude solcher Unternehmen gibt. Für die Betroffenen sind solche Pannen peinlich: "Die Zertifizierer melden so etwas sehr ungern, versuchen eher, das zunächst diskret und hintenrum zu regeln, bevor es jemand merkt."

Verdunkelung bei Diginotar

Genau so scheint man auch bei Diginotar versucht zu haben, den Vorfall unter den Teppich zu kehren. Einem Bericht (PDF) des auf Sicherheitsüberprüfungen spezialisierten Unternehmens Fox-IT zufolge drangen die Hacker bereits am 17. Juni in die Systeme von Diginotar ein. Der Einbruch sei zwei Tage später entdeckt worden, es seien aber offenbar keine Maßnahmen ergriffen worden. Erst nachdem am 27. August in einem Google-Forum auf möglicherweise gefälschte Zertifikate hingewiesen wurde, kam der Fall an die Öffentlichkeit.
Der Angreifer hatte so Zeit, weitere Software zu installieren und weitere Server zu übernehmen. Erst Wochen später, am 10. Juli, begann der Eindringling mit seiner eigentlichen Arbeit. In den folgenden zehn Tagen stellte er sich ungestört mindestens 531 gefälschte Zertifikate aus.

Die Liste der betroffenen Web-Seiten lässt einiges über Motivation und Intention der Angreifer erahnen. Betroffen sind unter anderem:


■Populäre Web-Angebote von Google, Yahoo und AOL,
■Geheimdienste wie die amerikanische CIA, der britische MI 6 und der israelische Mossad,
■Update-Web-Seiten von Microsoft, darunter windowsupdate.com und www.update.microsoft.com,
■Seiten, über die der Firefox-Browser und Zusatzmodule für Firefox geladen werden können,
■soziale Netzwerke wie Facebook und Twitter,
■Kommunikationsdienste wie Skype und
■der Anonymisierungsdienst Tor.

Dieser Auszug zeigt, dass der Angreifer seine Opfer von allen Seiten aus durchleuchten wollte. Das gefälschte Tor-Zertifikat macht den Betreibern des Anonymisierungsdienstes Sorgen. Normalerweise wird dieser Dienst von Anwendern genutzt, die ihre Identität schützen, ihren Aufenthaltsort geheim halten wollen. Das System galt bisher als sicher vor Ausspähversuchen. Mit dem gefälschten Zertifikat hätte der Angreifer das trügerische Gefühl der Sicherheit, in dem sich Tor-Nutzer wähnen, ausnutzen können, um sie bei jedem ihrer Schritte im Netz zu beobachten.