Die Vielbeschäftigten, die ihre Bankgeschäfte am Computer erledigen, der Firmenmitarbeiter, der sich von unterwegs aus ins Firmennetzwerk einwählt, die Kunden von Online-Versendern - sie alle vertrauen darauf, dass ihre Daten sicher sind, wenn das kleine Schloss in der Statuszeile des Internetbrowsers angezeigt wird. Es symbolisiert, dass eine gesicherte Verbindung aufgebaut wurde. Daten, die hierüber übertragen werden, sind verschlüsselt und mit vertretbarem Aufwand nicht zu knacken. Doch was ist, wenn das System selbst attackiert wird? Genau das passiert in immer größerem Maße, wie das Ponemon Institute, ein in der Branche bekannter amerikanischer Thinktank, und die IT-Beratungsfirma Venafi in einer Studie festgestellt haben: IT-Verantwortliche in aller Welt sehen das Vertrauenssystem, das durch Verschlüsselung und Sicherheitszertifikate geschaffen wurde, an seiner Belastungsgrenze.
Erst diese Woche deckte der Internetkonzern Google wieder einen gravierenden Missbrauch des Zertifizierungssystems auf. Mit einem Zertifikat weist eine Webseite, etwa die einer Bank, nach, dass sie tatsächlich zum Angebot dieser Bank gehört - das Schloss erscheint. Google aber stieß auf Seiten, die sich fälschlicherweise, aber mit echten Zertifikaten, als solche von Google ausgaben. Verantwortlich war eine chinesische Zertifizierungsstelle. Es wurden bei Zertifizierungsstellen aber auch schon gültige Zertifikate gestohlen. Die NSA arbeitete ebenfalls mit gestohlenen Zertifikaten, um so Sabotagesoftware als unbedenklich zu tarnen.
Deutsche Unternehmen sind besonders im Fokus der Angreifer
Besonders im Fokus der Angreifer ist Deutschland: Alle fast 600 Firmen, die im Rahmen der Studie befragt wurden, haben im vergangenen Jahr solche Angriffe erlebt und äußerten sich entsprechend besorgt. Besonderes Kopfzerbrechen bereiten den IT-Verantwortlichen der Unternehmen, von denen über die Hälfte mehr als 5000 Mitarbeiter beschäftigen, mobile Geräte wie Smartphones und Tablets. Diese, sagt Kevin Bocek, oberster Sicherheitsforscher bei Venafi, würden als "Einfallstor für Angreifer" gesehen. Nicht zu Unrecht, so Bocek, allein auf einem Smartphone seien an die 270 verschiedene Schlüssel und Zertifikate hinterlegt.
Die Angreifer schieben sich dabei meist mit sogenannten man-in-the-middle-Attacken in den Kommunikationsweg. Wenn sie sich dabei mit einem gültigen Zertifikat als scheinbar legitim ausweisen können, steigen die Chancen für die Angreifer, dass sie sensible Daten wie etwa Zugangspasswörter oder Kreditkarten-Nummern abgreifen können.
Pro Firma existieren im Durchschnitt fast 20 000 Schlüssel und Zertifikate. Für ein einziges Zertifikat werden auf Untergrund-Marktplätzen im Internet 1000 Euro bezahlt. Doch 35 Prozent der Befragten wissen nicht, wo diese wichtigen Informationen im Firmennetz lagern - etwa genauso viele wie bei der Befragung ein Jahr zuvor. Die Firmen haben also aus der Erkenntnis, wie gefährlich es sein kann, wenn solche sicherheitsrelevanten Daten gestohlen werden, keine Schlüsse gezogen. Das Risiko aber ist hoch: Unternehmen zahlen durchschnittlich 48 Millionen Euro, wenn sie Opfer einer solchen Attacke geworden sind.
Venafi-Experte Bocek empfiehlt als Gegenmaßnahme, die Schlüssel und Zertifikate in Unternehmen peinlich genau zu managen, "die Sicherheitsverantwortlichen sollten immer wissen, welchen Zertifikaten man trauen kann". Dazu müssten die vorhandenen Daten ständig überwacht und auf ihre Reputation hin geprüft werden. Bei hochkritischen Daten empfiehlt es sich für Unternehmen, sich um eine andere Absicherung zu kümmern, die für eine abhörfeste Ende-zu-Ende-Verschlüsselung sorgt.