Expertenkommentar zum Thema “Gefälschte Sicherheitszertifikate bei Google”

“Es war keine große Überraschung, als Google Anfang letzter Woche bekannt gab, dass gefälschte Sicherheits-Zertifikate in einigen Google-Domänen kursieren – ausgestellt von dem ägyptischen Unternehmen MCS Holdings und von der Hauptzertifizierungsstelle in China, dem China Internet Information Center (CNNIC)”, erklärt Kevin Bocek, VP Security Strategy and Threat Intelligence bei Venafi. “Venafi hat dies bereits vor einigen Monaten vorhergesehen, als Lu Wei, bekannt als Chinas Türsteher im Web, zum Kopf von CNNIC benannt wurde.”

“CNNIC hat überall die Hände im Spiel – bei allen Browsern, Smartphones und Tablets”, fährt Bocek fort. “Sogar Laptops und Handys ‘gehorchen’ der chinesischen Regierung, die täglich Cyber-Spionage gegen US-amerikanische Unternehmen und Regierungsstellen begeht. Das ist zutiefst erschütternd. Noch erschütternder ist allerdings die Tatsache, dass dieselben Geräte zertifiziert sind – von über 200 verschiedenen Zertifizierungsstellen aus der ganzen Welt. Diese Entdeckung sollte ein erneuter Weckruf sein, dass man Zertifizierungsbehörden nicht blind vertrauen kann. Es müssen neue Schritte eingeleitet werden, um der schutzlosen Aussetzung der Geräte vor nicht-vertrauenswürdigen oder gefährdeten Zertifizierungsstellen entgegenzuwirken. Zudem sollten alle jemals ausgestellten Zertifikate überprüft werden, um herauszufinden, wie viele nicht autorisierte Zertifikate unter falschem Namen, von Unternehmen oder sogar Regierungsstellen, vergeben wurden. Eine Sache ist sicher: Dieser Vorfall ist nur die Spitze des Eisbergs. Es gibt sicherlich eine enorme Anzahl nicht autorisierter Zertifikate, die in betrügerischer Absicht entweder erworben oder vergeben wurden, mit dem Ziel Spoofing und Man-in-the-Middle-Angriffe durchzuführen.”