DigiNotar-Panne führt zu schwerwiegenden Sicherheitsbedenken

EDRi-gram-Unterseite
Nein


Dieser Artikel ist auch verfügbar auf:
Englisch: DigiNotar breach leads to grave security concerns

Ein Einbruch in die Computersysteme der niederländischen Zertifizierungsstelle DigiNotar führte zu schweren Bedenken über die Sicherheit der Internetnutzer im Iran sowie die Kommunikationsschienen der niederländischen Regierung.

Nachdem gefälschte Zertifikate aufgetaucht waren, hat hat die niederländische Regierung am 2. September 2011 den von DigiNotar ausgestellten Zertifikaten das Vertrauen entzogen. Die Regierung hat die BürgerInnen angewiesen, sich nicht mehr auf Seiten, die diese Zertifikate benutzen, einzuloggen, solange die Zertifikate nicht erneuert wurden. Inzwischen hat sich herausgestellt, dass die vertrauliche Kommunikation von Hunderttausenden IranerInnen über Gmail abgefangen worden ist.

Im Juni 2011 sind die Server von DigiNotar gehackt und in den Wochen danach gefälschte Zertifikate ausgestellt worden. Obwohl einige dieser Zertifikate für ungültig erklärt wurden, hat DigiNotar den Hack verschwiegen. Nur wenige Wochen danach gab DigiNotar den Einbruch bekannt. Zuvor hatte ein Iraner, der bei dem Versuch, sich bei Gmail einzuloggen eine Warnung wegen eines nicht authentischen DigiNotar-Zertifikats für Google erhalten hat, den Vorfall in einem Forum gepostet. Am 29. August 2011 wurde dann die niederländische Regierung informiert.

DigiNotar hat die gefälschten Google Zertifikate zurückgezogen und ein niederländisches Sicherheitsunternehmen mit der Untersuchung der Angelegenheit beauftragt. Der Untersuchungsbericht zeigt, dass DigiNotar grundlegende Sicherheitsbestimmungen nicht beachtet und über seine Systeme Hunderte von falschen Zertifikaten ausgegeben hat. Weiters hat sich herausgestellt, das die gefälschten Google-Zertifikate seit 27. Juli 2011 im Umlauf waren. Aktive missbräuchliche Verwendung konnte zwischen dem 4. und 29. August 2011 beobachtet werden. Es ist anzunehmen, dass Hunderttausende Google-Sessions im Iran mit Hilfe dieser Zertifikate abgefangen worden sind.

DigiNotar vergibt unterschiedlich Zertifikate, einschließlich der behördlichen PKI-Overheid-Zertifikate, die üblicherweise von der niederländischen Regierung für deren Websites verwendet werden, sowie "einfache" Zertifikate. Nachdem nicht ausgeschlossen werden konnte, dass auch gefälschten Regierungszertifikate im Umlauf sind, hat sich die Niederländische Regierung dazu entschlossen, Zertifikate von anderen Behörden zu verwenden.

Der Vorfall bei DigiNotar lässt auch die Frage nach der Sicherheit und Zuverlässigkeit des Zertifikatsystems im allgemeinen aufkommen. Global betrachtet stellen Hunderte von Unternehmen solche Zertifikate aus. Die Kontrolle über diese Unternehmen ist beschränkt. Und sie können ihre Zertifikate solange verkaufen, wie sie die Bedingungen der Browserhersteller erfüllen.

Es besteht keine Garantie, dass all diese Unternehmen ausreichende Maßnahmen ergreifen, um Einbrüche in ihre Systeme verhindern bzw. diese verfolgen zu können. Diese sollte daher ein Alarmzeichen für alle Regierungen und Organisationen rund um den Erdball sein, aktiv an der Entwicklung besserer und robusterer Zertifikatsysteme zu arbeiten.

(Ein Beitrag von Marjolein van der Heide – EDRi-Mitglied Bits of Freedom, Niederlande)

* Message about rogue certificate (28.08.2011)
* Schreiben der niederländischen Regierung zum Fall DigiNotar (Niederländisch, 5.09.2011)
* Interim report from Fox-IT about the DigiNotar Certificate Authority breach (5.09.2011)