Cyber-Klau von Passwörtern Google, Skype und Co: Hacker-Angriff aus Iran

Albtraum für Irans Opposition: Mit gestohlenen Sicherheitszertifikaten könnte die iranische Regierung versucht haben, Passwörter ihrer Bürger im großen Stil auszulesen.

Von Johannes Kuhn

Die Furcht vor einer "Facebook-Revolution" hat offenbar auch bei den iranischen Sicherheitsbehörden Spuren hinterlassen: Dem Bericht einer amerikanischen IT-Sicherheitsfirma zufolge sollen iranische Hacker versucht haben, mittels falscher Sicherheitszertifikate Passwörter von Internetnutzern auszuspionieren.

PC-Sicherheit

Die sieben Computer-Todsünden

Dabei handelte es sich um gefälschte SSL-Zertifikate für Googles E-Mail-Dienst Gmail, Yahoos Login-Seite, den Internet-Telefoniedienst Skype, Seiten von Microsoft und des Firefox-Herstellers Mozilla, wie die IT-Sicherheitsfirma Comodo mitteilt.

SSL-Zertifikate werden dazu verwendet, Verbindungen zu Webseiten zu verschlüsseln. Comodo gibt solche Zertifikate aus, arbeitet aber dabei mit Partnerunternehmen zusammen - einer dieser Firmen wurden offenbar neun solcher Online-Dokumente gestohlen.

Diese ermöglichen es Angreifern, Internetnutzern eine Falle zu stellen: Sie könnten beispielsweise die Seite von Google täuschend echt nachbauen und dem Surfer mit dem SSL-Zertifikat vorgaukeln, dass er sich in einer sicheren Umgebung befindet. In Wahrheit speichert die präparierte Seite allerdings die eingegebenen Nutzernamen und Passwörter, führt also eine Phishing-Attacke durch.

In der Regel haben solche Angriffe finanzielle Ziele und richten sich gegen Online-Banking-Kunden oder Internet-Shopper. In diesem Fall hätten alle betroffenen Domainnamen mit Kommunikationsdiensten zu tun, sagte Comodo-Chef Melih Abdulhayoglu dem Branchendienst Cnet: "Da steckt überhaupt keine finanzielle Motivation dahinter."

Konzertierter Passwortklau

Die Spur des Angreifers führt Medienberichten zufolge nach Iran: Der Diebstahl sei am 15. März von IP-Adressen in Teheran durchgeführt worden. Dahinter, so spekulieren nun Internet-Sicherheitsexperten, könnte eine großangelegte Aktion des iranischen Sicherheitsapparates stehen.

Das Szenario sieht so aus: Um möglichst viele Nutzer statt zu renommierten Diensten wie Google oder Yahoo auf falsche Seiten zu locken, könnten die iranischen Sicherheitsbehörden den Webverkehr im Land einfach umleiten. Dies ist deshalb möglich, weil die iranischen Internetprovider sich entweder in Staatshand befinden oder den dortigen Behörden den Durchgriff erlauben müssen. Der Endnutzer würde eine Umleitung nicht einmal bemerken - das Sicherheitszertifikat suggeriert dem Browser, sich auf einer legitimen Seite zu befinden.

Comodo weigert sich, den Namen des Partnerunternehmens zu nennen, von dessen Servern die Zertifikate offenbar gestohlen wurden. Es soll sich im südeuropäischen Raum befinden.

Es ist nicht der einzige unklare Aspekt der Angelegenheit: So ist nicht bekannt, ob eine mögliche Phishing-Aktion tatsächlich ausgeführt und persönliche Passwörter geklaut wurden. Die gestohlenen Zertifikate wurden inzwischen deaktiviert.

Und auch ob die iranische Regierung wirklich hinter der Aktion steht, lässt sich nur schwer beweisen: Die Herkunft von Angriffen lässt sich normalerweise sehr einfach verschleiern, der Server, von dem die Attacken gekommen sein sollen, ist derzeit inaktiv.