Coloures-pic - Fotolia

Apple und Microsoft stellen den Profit vor die Privatsphäre

Apple und Microsoft stören sich wenig um die Vertrauenswürdigkeit der chinesischen Internetagentur CNNIC. Damit gefährden sie alle Internetnutzer.

Das China Internet Network Information Center (CNNIC) ist die Organisation, die für die „Große Firewall Chinas“ verantwortlich ist, und untersteht der chinesischen Regierung. Zudem ist das CNNIC auch eine „vertrauenswürdige“ Zertifizierungsstelle, was bedeutet, dass ihm alle Browser, Smartphones und Tablets standardmäßig vertrauen und dass es eigene digitale Zertifikate und kryptographische Schlüssel herausgeben kann, die dem Datenschutz und der Authentifizierung dienen.

Schlüssel und Zertifikate bilden die Grundlagen der Cybersicherheit und müssen angemessen geschützt werden. Sie ermöglichen die Autorisierung all der Ressourcen, die heute eine IP-Adresse haben – ob Server, Anwendungen oder Geräte aus dem Internet der Dinge (IoT) – und werden von Servern und Sicherheitsanwendungen nativ als vertrauenswürdig eingestuft. Dieses blinde Vertrauen nutzen jedoch Cyberkriminelle aus, um Opfer zu überwachen oder sich als diese auszugeben und auf diese Weise Unternehmen anzugreifen und deren Daten zu stehlen.

Es ist hinreichend bewiesen, dass das CNNIC Schlüssel und Zertifikate missbraucht hat, um Man-in-the-Middle-Angriffe durchzuführen. Dabei stellte die Organisation Zertifikate aus, um verschlüsselten Datenverkehr abzufangen, so dass die E-Mails, Kontakte und Passwörter der betroffenen Nutzer von den Angreifern mitgeschnitten werden konnten. Auch wurde nachgewiesen, dass das CNNIC eine Reihe falscher Zertifikate für google.com ausgestellt hat. Da das CNNIC bereits standardmäßig in allen großen Root Stores aufgeführt war, stuften nahezu alle gängigen Browser und Betriebssysteme diese missbräuchlich verwendeten Zertifikate als vertrauenswürdig ein. Dies veranlasste schließlich sogar das Repräsentantenhaus der Vereinigten Staaten, im Juni 2015 Anfragen an die CEOs von Apple, Google, Microsoft und Mozilla zu stellen. Deren Reaktionen auf das Problem fielen jedoch höchst unterschiedlich aus.

Nach den beschriebenen Vorfällen setzten Google und Mozilla das CNNIC auf die schwarze Liste, um den Schutz ihrer Nutzer zu gewährleisten, und gaben ein entsprechendes Statement heraus. Apple ignorierte das Thema zunächst und entschloss sich dann im Juli 2015 verspätet die Vertrauenswürdigkeit des CNNIC auf bestimmte Sites zu beschränken. Es verging also erst einmal einige Zeit, und als Apple dann endlich Maßnahmen ergriff, waren es nur Teilmaßnahmen, da nur einige CNNIC-Sites geblockt wurden, andere dagegen nicht. Microsoft hat sich überhaupt nicht geäußert und führt das CNNIC weiterhin als vertrauenswürdige CA (Stand 13. November 2015).

Unglücklicherweise werden diese und viele andere Entscheidungen über das Fundament der Internet-Sicherheit – das durch digitale Zertifikate gelegt wurde – ohne Wissen des durchschnittlichen Nutzers getroffen und ohne dass dieser etwas daran ändern kann. Ganz gleich, ob Parlamentsabgeordneter oder Kunde in irgendeinem Laden – das Smartphone vertraut der chinesischen Regierung, und es gibt wenig, was man dagegen tun kann. Dies stellt das gesamte Vertrauenssystem infrage, das vor zwanzig Jahren geschaffen wurde, als Voraussetzung für ein funktionsfähiges Internet.

Und es ist nicht nur das CNNIC. Jedes Land kann Zertifikate ausstellen, denen unsere Mobil- und Business-Geräte vertrauen, darunter mehr als 200 verschiedene CAs. All diese CAs werden gleichermaßen als vertrauenswürdig eingestuft, trotz der Tatsache, dass sie anfällig für Missbrauch sein könnten.

Welche Auswirkungen dieses Problem künftig haben wird, ist unbekannt. Unsere Online-Welt ist abhängig von Vertrauenssystemen – das heißt, von digitalen Zertifikaten und kryptographischen Schlüsseln –, doch jetzt stellt sich zunehmend heraus, dass diese Systeme missbraucht werden. Jeder hat heutzutage ein Smartphone und die meisten Leute sind entweder Apple- oder Microsoft-Nutzer, einschließlich Politiker.

„Dies stellt das gesamte Vertrauenssystem infrage, das vor zwanzig Jahren geschaffen wurde, als Voraussetzung für ein funktionsfähiges Internet.“

Kevin Bocek, Venafi

Wir haben zwar bereits erlebt, wie mithilfe von Zertifikaten Netzwerke von Regierungsbehörden gehackt werden können – Stuxnet oder Flame –, doch im Großen und Ganzen ist das gefährdete Vertrauen in Zertifikate immer noch ein unbeachtetes Problem.

Diese Schwachstelle hat Auswirkungen auf alle Unternehmen und Einzelpersonen. Bei Unternehmen könnte geistiges Eigentum bedroht sein. Deshalb brauchen wir ein Immunsystem für das Internet, das uns helfen kann, manipulierte Zertifikate zu ermitteln und zu erkennen, was vertrauenswürdig ist und was nicht. Alle Unternehmen und Organisationen, alle IT-Sicherheits- und Betriebsteams weltweit müssen die nötigen Schritte zum Schutz ihrer Schlüssel und Zertifikate einleiten und sich bewusst werden, dass ihnen die Zertifizierungsstellen dabei nicht helfen können. Wenn Milliarden weiterer Geräte mit dem Internet verbunden und IoT-Geräte immer gebräuchlicher werden, wird es umso wichtiger, die Schlüssel und Zertifikate zu schützen, die zur Authentifizierung, Validierung und zur Überwachung privilegierter Zugriffe benötigt werden.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close