Der Diginotar-SSL-Gau und seine Folgen

Der SSL-GAU rund um den niederländischen Zertifikatsanbieter Diginotar hatte das Potenzial zu einer "internationalen Krise", gegen die die fortlaufenden Sicherheitsangriffe auf Sony "wie Peanuts" zu bewerten wären, erklärte Stefan Ritter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf dem CAST-Forum zu Public Key-Infrastrukturen. Ein Vertreter der Zertifikatsherausgeber präsentierte unterdessen neue Maßnahmen, die die Gefahr eindämmen sollen.

"Die eigentlich für uns völlig uninteressante Firma" war als Zertifikatsanbieter Dienstleister für Notare und die niederländische Regierung und operierte als Zwischen-CA für die staatliche PKI-Overheid (Obrigkeit), die unter anderem die Zertifikate für die elektronische Identifikation aller Bürger der Niederlanden ausgibt. Eine unglaubliche Fülle von Schwachstellen bei Diginotar führte dazu, dass über den Zertifikatsprovider über 500 falsche SSL-Zertifikate in Umlauf kamen.

Der Leiter des Computernotfallteams des Bundes (CERT-Bund) bewertete diesen Vorgang als extrem gefährlich, weil die Niederlande über eine sofortige Schließung von Diginotar praktisch den elektronischen Kontakt zur Bevölkerung verloren hätte. Außerdem franste der Fall aus, als die Diginotar-Kunden zu KPN Getronic wechselten, das ebenfalls Sicherheitsprobleme hatte und seine Zertifikatsangebote für zwei Wochen vom Netz nehmen musste. Eine internationale Dimension erreichte der Fall auch dadurch, dass sich ein Hacker zu den Sicherheitseinbrüchen bei Diginotar bekannte, der behauptete, weitere Zertifikatsanbieter kompromittiert zu haben.

Angesichts des Ausmaßes, in dem zertifikatsbasierte Verfahren eingesetzt werden (SSL/TLS, Code-Signing, Authentifikation, gesicherte E-Mail usw.) zwinge der Fall zum Umdenken bei PKI-Systemen, erklärte Ritter. Zwar sei das Code-Signing von Malware bisher eher selten, dennoch habe das BSI bereits neun Zertifikate gefunden, die von Malware benutzt wurden.

Axel Treßel von T-Systems präsentierte die vom Zusammenschluss der Zertifikatsanbieter CAB-Forum zusammengestellte Liste von Minimalanforderungen, die die CAs bis zum 1.07.2012 erfüllen müssen. Insbesondere dürfen Zertifikate dann maximal 5 Jahre, ab dem 1.4.2015 nur noch 39 Monate gültig sein. Außerdem muss vor Ausgabe eines Zertifikates mit unabhängigen Quellen überprüft werden, ob der Antragsteller, also die Person oder Organisation existiert. Ferner verpflichten sich die Provider zu einem jährlichen Risk-Assessment und stichprobenhaft vierteljährlich die Zertifikate zu prüfen. Auch die Anforderungen an einen 24*7 zur Verfügung stehenden Sperrdienst wurden erhöht.

In der zweiten Jahreshälte 2012 will die europäische Union die sogenannte eSignatur Directive veröffentlichen, mit der sichere, grenzüberschreitende elektronische Identifikations- und Authentifizierungsprozesse standardisiert werden. Im Zentrum der Directive steht die übergreifende Zusammenarbeit der Zertifikatsdienste-Provider auf europäischer wie auf internationaler Ebene. (ju)