Verisign-„Hack“ rüttelt an den Grundfesten des Internet

Schneier: „System komplett kaputt“

Inzwischen ist das in den Fachkreisen gut rundgegangen: In die Firma „Verisign“ ist von unbekannten Hackern eingebrochen worden, so wird das zumindest in einem unbestätigten Bericht der Nachrichtenagentur Reuters verbreitet (*). Was genau dabei weg kam, sagt einem keiner. Beides ist gleichermaßen beunruhigend.

Verisign ist so eine Firma, die keiner kennt, der nicht viel mit Computern zu tun hat. Ihre Zentrale ist in Dulles in Virginia, das Unternehmen hatte im Dezember 1048 Mitarbeiter, ist auf der NASDAQ gelistet und so weiter. Auf jeden Fall kein Riesenkonzern. Und doch ist Verisign einer der wichtigsten Knotenpunkte im Netz. Die Firma stellt so genannte „Zertifikate“ bereit, anhand derer man erkennen kann, was im Internet vertrauenswürdig ist oder nicht. Ist die Bank-Webseite, mit der ich gerade kommuniziere, wirklich die Webseite meiner Bank? Schicke ich meine Emails gerade über eine sichere Verbindung, oder lauscht da jemand mit? Ist der neue Druckertreiber wirklich vom Hersteller meines Druckers, oder ist er ein geschickt getarntes Trojanisches Pferd? In all solchen Fragen helfen „Zertifikate“ den Programmen und ihren Anwendern weiter.

„Zertifikaten“, die von vertrauensvollen Institutionen wie Verisign ausgegeben werden, denen vertraut man auch. Viele Betriebssysteme und Web-Browser werden firmenseitig so ausgeliefert, dass sie bei Verisign-Zertifikate ganz automatisch alles Misstrauen fahren lassen und dem Benutzer auch keine lästigen Fragen à la „Wollen Sie dieses Programm wirklich installieren?“ mehr stellen (die er sowieso im Zweifel nicht kompetent beantworten kann).

Zertifikate sind so gut wie nicht fälschbar. Aber: Man kann sie klauen.

Und das ist jetzt das Problem. Vielleicht stimmt die Meldung ja und Zertifikate sind tatsächlich weggekommen. Das wäre überhaupt nicht das erste Mal in der Branche. Den Reuters-Leuten verweigerte Verisign der Meldung zufolge Gespräche zum Thema, man betonte aber, dass offenbar kein Zugang zu den zentralen Servern hergestellt worden sei … also, mal abwarten, kann sich noch alles als falscher Alarm herausstellen. Zur aktuellen Entwicklung steht auf der Verisign-Firmenseite bestimmt demnächst auch mal was. Heute, Stand 5. Februar, aber noch nicht (*).

Viel wichtiger: Einbrüche unter Zuhilfenahme weggekommener Zertifikate haben in den vergangenen Monaten immer mal wieder eine Rolle gespielt. Eine wachsende Rolle. Immer mal wieder ist Schad-Software auf Computer gespeist worden, immer mal wieder rutschten schädliche Webseiten durch die Viren- und Sicherheitsscanner, weil sie Zertifikate trugen. Der Internet-Sicherheitsexperte Bruce Schneier hat dazu hier eine kleine Sammlung von Links zusammengestellt (und die Kommentar-Sektion untendrunter ist ebenfalls sehr aufschlussreich).

Und Schneier beendet seinen Blogeintrag mit einer saftigen Schlussfolgerung. Zitat: „Sind wir jetzt endlich soweit, dass wir akzeptieren, dass das System der Sicherheitszertifikate komplett kaputt ist?“ Also mit anderen Worten: Trägt die zentrale Sicherheitsstruktur, auf die wir uns heute im Netz verlassen, nicht mehr? Das ist doch mal ein Debattenthema.

__

(*) UPDATE vom 6.2.: Wir haben bei Verisign mal gefragt, und heute morgen kommt die Antwort. Von der Mutterfirma Symantec, der allerdings nur einen Teil von Verisign gehört. Ist auch noch etwas kryptisch. „Symantec nimmt die Sicherheit und die korrekte Funktionalität seiner Systeme sehr ernst. Die Vertrauenssicherheitssysteme (SSL) und die User-Authentifizierung (VIP) und andere Produktionssysteme, die Symantec gekauft hat, wurden nicht bei dem Einbruch kompromittiert“. Immerhin, das ist die Bestätigung eines Einbruchs bei Verisign (die ist übrigens auch in den Quarterly Filings der Firma Symantec nachzulesen), und zugleich das Dementi einer „Kompromittierung“ von SSL, VIP und „anderen Produktionssystemen“. Das sind aber nur die Teile, die Symantec gehören.

Zu den anderen Teilen erklärt Verisign – und zwar die andere Hälfte von Verisign, die nicht Symantec gehört – „wir glauben nicht, dass das Domain Name System (DNS) kompromittiert worden ist“. Starke Dementis klingen irgendwie auch anders.

Festzuhalten ist folgender Zwischenstand: Eine klare Aussage darüber, was bei dem „Hack“ passiert ist und was weggekommen ist, ist bisher nicht zu bekommen, stattdessen juristisch feingeschliffene, unvollständige Erklärungen. Und das ist bei einer so wichtigen Einrichtung wie Verisign nicht gerade vertrauenserweckend.