GlobalSign schließt Untersuchung des Hackerangriffs ab
Die Behauptung eines Hackers, er habe die Zertifizierungsstelle unter seiner Kontrolle, erwies sich als falsch. Bei dem Einbruch machte der Angreifer nur wenig Beute.
- Ronald Eikenberg
Bei dem im September gemeldeten Hackerangriff auf die Zertifizierungsstelle (Certificate Authority, CA) GlobalSign wurden keine Zertifikate missbräuchlich ausgestellt, wie aus dem jetzt veröffentlichten Untersuchungsbericht hervorgeht. Der Angreifer hatte demnach lediglich Zugriff auf einen Webserver des Unternehmens, der sich an einem anderen Ort als die kritische CA-Infrastruktur befindet und nicht mit ihr verbunden ist.
Lediglich den privaten Schlüssel des auf www.globalsign.com ausgestellten SSL-Zertifikates konnte der Angreifer erbeuten – neben den ohnehin öffentlich zugänglichen Inhalten. Das Zertifikat wurde daraufhin von der CA für ungültig erklärt.
Dies deckt sich mit der Stellungnahme, die GlobalSign kurz nach dem Entdecken des Einbruchs veröffentlicht hatte. Im Rahmen der Untersuchung hat die CA unter anderem das Sicherheitsunternehmen Fox-IT zu Rate gezogen, das schon den Einbruch bei der niederländischen Zertifizierungsstelle DigiNotar analysiert hat. Im Fall DigiNotar gelang es dem Hacker, gültige Zertifikate für prominente Domains wie Google.com auszustellen. Er hatte behauptet, weitere CAs unter seiner Kontrolle zu haben.
GlobalSign hat seine CA-Infrastruktur im Zuge der Untersuchung sicherheitshalber für neun Tage vom Netz genommen. Damit hat das Unternehmen weitaus professioneller reagiert als DigiNotar – die niederländische CA hatte zunächst versucht, den Einbruch zu vertuschen.
Um künftige Angriffe zu vereiteln hat GlobalSign den kompromittierten Server abgesichert und auch die Sicherheit seiner CA-Infrastruktur durch neue Hardware und der Installation eines zusätzlichen Systems zur Angriffserkennung (Intrusion Detection System, IDS) weiter ausgebaut. (rei)