Für die Betreiber von Web-Shops steht viel auf dem Spiel. Haben sie bis dahin die Sicherheitsschlüssel nicht aktualisiert, werden massenweise Seitenaufrufe ins Leere laufen. „Shops, die noch SHA-1 nutzen, könnten erhebliche Umsatzeinbrüche drohen“, warnt etwa Oliver Dehning, Leiter Sicherheit beim Eco Verband der deutschen Internetwirtschaft. Ein Check mit der Spezial-Suchmaschine Censys zeigte Mitte Februar, dass noch immer knapp 350.000 öffentlich erreichbare Server im frei erreichbaren Teil des Internets auf die veraltete Sicherheitstechnik setzen. Die Dunkelziffer, die auch Rechner in Unternehmen einschließt, die zur internen Identifikation ebenfalls Zertifikate benötigen", liegt nochmals weit darüber.
„Große Konzerne installieren in Ihrer IT im Laufe der Zeit Zig-Millionen von Zertifikaten“, sagt Kevin Bocek, „und wissen vielfach am Ende überhaupt nicht mehr, welche das sind und auf welchen Rechnern sie genutzt werden.“ Bocek ist Vice President Security Strategy beim amerikanischen IT-Spezialisten Venafi, der unter anderem auf das Zertifikate-Management spezialisiert ist. Die internen Zertifikate sind zwar weniger sicherheitskritisch als die über das öffentliche Internet ausgetauschten ID-Schlüssel. Ärger bereiten die veralteten Codes aber dennoch, wenn die vielfach auch für interne Anwendungen genutzten Browser plötzlich auch den Aufruf beispielweise des Unternehmenstelefonbuchs, der Kundendatenbank oder der Lagerverwaltung Fehler- oder Warnmeldungen anzeigen.
„Für eine Übergangsphase lassen sich auch die neuen Browser zwar noch so konfigurieren, dass sie zumindest die 'internen' SHA-1-Zerttifikate tolerieren“, sagt Venafi-Experte Bocek. Aber es sein nur eine Frage der Zeit, bis die Browser-Entwickler auch dieses Schlupfloch dicht machten, warnt Bocek: „Wer sich nicht jetzt daran macht, alle alten Zertifikate zu finden und zu ersetzen, bei dem streiken spätestens dann die internen Browser-Anwendungen.“
Denn es gibt längst sicherere Kryptoverfahren. Nur haben Webseitenbetreiber den Austausch der Identifikationsverfahren wegen des immensen Aufwandes verzögert. Bis die Browser-Entwickler sie nun dazu zwingen, auf die moderneren Codes umzusteigen.
Angst vor der nächsten Mega-Attacke
Für Cyberabwehr-Spezialisten wie Johannes Greil vom Security-Dienstleister SEC Consult geht der Sicherheitsgewinn durch die neuen Identifikationscodes dabei weit über vertrauenswürdigere Online-Verbindungen hinaus: „Die verlässlicheren Identifikationsverfahren machen die Computerwelt insgesamt sicherer“, sagt Greil – und hofft, dass es gelingt, die tickende Bombe im Netz rasch zu entschärfen. Sonst, warnt er, drohe der nächste Hackerangriff „mit Schadprogrammen, die dank perfekt gefälschter Zertifikate unbemerkt auf Millionen Computer eingeschleust werden könnten.“
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Genau dies war Hackern zwischen 2009 und 2012 schon einmal gelungen, als sie sich – dank veralteter Sicherheitsschlüssel in vielen Computern – unbemerkt in die Update-Funktion älterer Windows-Versionen von Microsoft einschalten konnten und die Schadsoftware Flame auf Millionen Windows-Computern installierten.
Das, so der Plan der Browser-Entwickler, soll sich nicht noch einmal wiederholen.