Der Datendiebstahl über manipulierte Webseiten gehört zu den größten Sicherheitsbedrohungen im Internet. Allein zwischen Mitte März und Mitte April 2018 ermittelte ein US-Forscherteam über 170.000 sogenannte Phishing-Webseiten (PDF). Über eine E-Mail werden Internetnutzer auf eine Webseite gelockt und dazu verleitet, persönliche Daten oder Passwörter einzugeben. Die Webseite, auf die verlinkt wird, sieht einer vertrauenswürdigen Seite, zum Beispiel der einer Bank oder eines E-Commerce-Anbieters, meist zum Verwechseln ähnlich.
Foto: Fascinadora - shutterstock.com
Der Unterschied liegt in der Identitätsprüfung
Secure-Sockets-Layer (SSL)-Zertifikate sind ein Instrument, um diesen Missbrauch einzudämmen. Sie ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internetnutzers und Webseiten. Zusätzlich können SSL-Zertifikate über den Besitzer der Webseite informieren. Je nach Sicherheitsniveau lassen sich drei Zertifikatstypen unterscheiden.
Bei der einfachen Domain-Validierung (DV) bestätigt das SSL-Zertifikat, dass die jeweilige Domain und das Zertifikat eine Einheit bilden. Es wird keine Aussage über den Inhaber der Domain oder der Webseite getroffen.
Anders bei den organisationsvalidierten Zertifikaten (Organization Validation, OV). Hier muss der Domain-Inhaber seine Identität gegenüber einer dritten, unabhängigen Instanz nachweisen. Dies geschieht im Unternehmensumfeld in der Regel durch Vorlage eines Handelsregisterauszugs oder eines Gewerbenachweises.
Das höchste Sicherheitsniveau bieten sogenannte erweitert validierte Zertifikate (Extended Validation, EV). Zusätzlich zum Domain-Check und zur Organisationsvalidierung erfordern sie einen individuellen Identitätsnachweis des Antragstellers. Dabei wird geprüft, ob diese Person tatsächlich bei der Organisation angestellt ist und ein EV-Zertifikat erwerben darf.
Entsprechend enthalten OV- und EV-Zertifikate konkrete Informationen über den Besitzer der Webseite und darüber, welche Ausgabestelle die Angaben verifiziert hat. Auch visuell konnten Internetnutzer bisher eindeutig erkennen, ob eine Webseite identitätsgeprüft ist. Sichtbar war dies an der Kombination aus grünem Vorhängeschloss und grünem Unternehmensnamen in der Adresszeile des Browsers.
Foto: Bundesdruckerei GmbH
Browser kennzeichnen Verschlüsselung nicht mehr
Google und andere Browser-Hersteller haben visuellen Hinweise über die Verschlüsselung der Verbindung kürzlich abgeschafft. Begründet wird dieser Schritt damit, dass verschlüsselte Webseiten immer mehr zum Standard werden. Das Internet sei "standardmäßig" sicher (safe by default). Deshalb sei es nicht mehr notwendig, auf die SSL-Verschlüsselung hinzuweisen, sondern nur noch auf ihr Fehlen.
Google Chrome zum Beispiel warnt vor unverschlüsselten Webseiten mit dem Hinweis "Nicht sicher". Verschlüsselte Webseiten sind jetzt durch ein graues Vorhängeschloss gekennzeichnet. Zwischen den verschiedenen Stufen des Identitätsnachweises wird kein Unterschied mehr gemacht. Bei OV- und EV-Zertifikaten in der Browser-Darstellung fehlt die Positivfarbe Grün ebenso wie der Unternehmensname in grüner Schrift.
Skeptiker von identitätsgeprüften Zertifikaten verweisen zum einen auf deren geringe Verbreitung. Ihr Anteil an den weltweit ausgestellten SSL-Zertifikaten beträgt knapp sechs Prozent. Zum anderen wird bezweifelt, dass ein sicherer Identitätsnachweis von Webseiten möglich ist. Einem britischen Sicherheitsforscher ist es beispielsweise gelungen, für ein nicht existierendes Unternehmen ein Zertifikat mit Identitätsnachweis zu erhalten. Ein amerikanischer Sicherheitsforscher bekam ein EV-Zertifikat auf einen bereits existierenden Unternehmensnamen ausgestellt. Die Namenskollision wurde bei der Verifizierung nicht bemerkt. Beide EV-Zertifikate hätten für Phishing-Zwecke genutzt werden können.
Sicherheitsvorfälle bei SSL-Zertifikaten
Haben identitätsgeprüfte Zertifikate damit ihren Wert verloren und keine Zukunft mehr? Nein, denn von den 170.000 entdeckten Phishing-Webseiten des amerikanischen Forscherteams waren 6.020 mit SSL-Zertifikaten ausgestattet. Lediglich elf gefälschte Webseiten besaßen ein identitätsgeprüftes OV- oder EV-Zertifikat, das ist ein Anteil von 0,2 Prozent. Die restlichen 99,8 Prozent (6.009 Phishing-Webseiten), enthielten ein DV-Zertifikat ohne Identitätsprüfung. Identitätsgeprüfte Webseiten sind also oft sicherer, als solche ohne Identitätsnachweis.
Browser-Hersteller in der Pflicht
Laut einer Umfrage des Marktforschungsinstituts Forrester (PDF) unter 105 IT-Entscheidern, wünschen sich Unternehmen eine eindeutige Darstellung von identitätsgeprüften Webseiten im Browser-Interface. Auf die Frage, welche Funktionen SSL-Zertifikate für die eigene Unternehmenswebseite bieten sollen, antworten 93 Prozent der Befragten, dass die bestätigte Organisationsidentität für Kunden klar erkennbar sein müsse. Dafür sind nach Meinung der Befragten auch die Browser-Hersteller verantwortlich. Für 88 Prozent sollten Webseiten mit und ohne Identitätsprüfung unterschiedlich im Browser-Interface angezeigt werden.