Internetsicherheit Tickende Zeitbombe im Netz

Seite 2/2

Zögerlichen Shops drohen Umsatzeinbußen

Für die Betreiber von Web-Shops steht viel auf dem Spiel. Haben sie bis dahin die Sicherheitsschlüssel nicht aktualisiert, werden massenweise Seitenaufrufe ins Leere laufen. „Shops, die noch SHA-1 nutzen, könnten erhebliche Umsatzeinbrüche drohen“, warnt etwa Oliver Dehning, Leiter Sicherheit beim Eco Verband der deutschen Internetwirtschaft. Ein Check mit der Spezial-Suchmaschine Censys zeigte Mitte Februar, dass noch immer knapp 350.000 öffentlich erreichbare Server im frei erreichbaren Teil des Internets auf die veraltete Sicherheitstechnik setzen. Die Dunkelziffer, die auch Rechner in Unternehmen einschließt, die zur internen Identifikation ebenfalls Zertifikate benötigen", liegt nochmals weit darüber.

„Große Konzerne installieren in Ihrer IT im Laufe der Zeit Zig-Millionen von Zertifikaten“, sagt Kevin Bocek, „und wissen vielfach am Ende überhaupt nicht mehr, welche das sind und auf welchen Rechnern sie genutzt werden.“ Bocek ist Vice President Security Strategy beim amerikanischen IT-Spezialisten Venafi, der unter anderem auf das Zertifikate-Management spezialisiert ist. Die internen Zertifikate sind zwar weniger sicherheitskritisch als die über das öffentliche Internet ausgetauschten ID-Schlüssel. Ärger bereiten die veralteten Codes aber dennoch, wenn die vielfach auch für interne Anwendungen genutzten Browser plötzlich auch den Aufruf beispielweise des Unternehmenstelefonbuchs, der Kundendatenbank oder der Lagerverwaltung Fehler- oder Warnmeldungen anzeigen.

„Für eine Übergangsphase lassen sich auch die neuen Browser zwar noch so konfigurieren, dass sie zumindest die 'internen' SHA-1-Zerttifikate tolerieren“, sagt Venafi-Experte Bocek. Aber es sein nur eine Frage der Zeit, bis die Browser-Entwickler auch dieses Schlupfloch dicht machten, warnt Bocek: „Wer sich nicht jetzt daran macht, alle alten Zertifikate zu finden und zu ersetzen, bei dem streiken spätestens dann die internen Browser-Anwendungen.“

Denn es gibt längst sicherere Kryptoverfahren. Nur haben Webseitenbetreiber den Austausch der Identifikationsverfahren wegen des immensen Aufwandes verzögert. Bis die Browser-Entwickler sie nun dazu zwingen, auf die moderneren Codes umzusteigen.

Angst vor der nächsten Mega-Attacke

Für Cyberabwehr-Spezialisten wie Johannes Greil vom Security-Dienstleister SEC Consult geht der Sicherheitsgewinn durch die neuen Identifikationscodes dabei weit über vertrauenswürdigere Online-Verbindungen hinaus: „Die verlässlicheren Identifikationsverfahren machen die Computerwelt insgesamt sicherer“, sagt Greil – und hofft, dass es gelingt, die tickende Bombe im Netz rasch zu entschärfen. Sonst, warnt er, drohe der nächste Hackerangriff „mit Schadprogrammen, die dank perfekt gefälschter Zertifikate unbemerkt auf Millionen Computer eingeschleust werden könnten.“

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Genau dies war Hackern zwischen 2009 und 2012 schon einmal gelungen, als sie sich – dank veralteter Sicherheitsschlüssel in vielen Computern – unbemerkt in die Update-Funktion älterer Windows-Versionen von Microsoft einschalten konnten und die Schadsoftware Flame auf Millionen Windows-Computern installierten.

Das, so der Plan der Browser-Entwickler, soll sich nicht noch einmal wiederholen.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%