Mit kostenlosen digitalen Zertifikaten will das Open-Source-Projekt «Let’s Encrypt» den Datenverkehr im Web sicherer machen. Dass mehr Sicherheit im Internet insgesamt nottut, zeigen u.a. Mängel bei Bezahl-Systemen.
«Für Verschlüsselung soll man nichts bezahlen müssen», sagte der an dem Projekt beteiligte Entwickler Roland Shoemaker von der US-Organisation Electronic Frontier Foundation (EFF) am Montag auf einem Hacker Kongress des CCC (Chaos Computer Club) in Hamburg. Shoemaker kritisierte bei der Präsentation, dass die Vielzahl von 1600 Zertifizierungsstellen auf Dauer keine sinnvolle Lösung seien – nur zwei von diesen verlangen keine Gebühren.
Zertifizierungsstellen sollen garantieren, dass die Datenübertragung mit einem Web-Dienst wie einem Online-Shop oder einem Webmail-Anbieter vor dem Ausspähen durch Dritte gesichert ist. Dazu wird ein digitaler Schlüssel ausgetauscht, bei dem die Zertifizierungsstelle gewährleistet, dass dieser tatsächlich von dem Anbieter des Web-Dienstes stammt. Internet-Nutzer erkennen die verschlüsselte Verbindung an der Kennung «https» für das gesicherte Übertragungsprotokoll.
«Das Internet ist ein übler Ort», sagte Shoemaker. Ohne eine gesicherte Datenverbindung komme es immer wieder zu Manipulationen und Attacken. Zertifikate von «Let’s Encrypt» können seit Anfang Dezember von allen Web-Anbietern genutzt werden, bis auf weiteres noch in einer Testphase («Public Beta»).
Bisher wurden nach Angaben Shoemakers 270.000 Zertifikate für 440.000 Internet-Adressen ausgegeben. «’Let’s encrypt‘ wird dazu führen, dass die Verschlüsselung von Web-Verbindungen dramatisch zunimmt», sagte CCC-Sprecher Frank Rieger..
CCC kritisiert Mängel technischer Systeme
Cyberkriminelle nutzen nach Einschätzung des CCC immer raffiniertere Möglichkeiten für Angriffe auf den Geldbeutel von Internet-Nutzern. «Sie werden zunehmend kreativer und benutzen eine größere technische Expertise», sagte am Montag CCC-Sprecher Frank Rieger der Deutschen Presse-Agentur auf dem Hacker-Kongress in Hamburg.
Der CCC kritisiert, dass technische Systeme oft Mängel aufweisen, die Kriminellen die Arbeit erleichtern. Zwei Berliner IT-Experten demonstrierten am Sonntagabend massive Sicherheitslücken beim Bezahlen mit EC-Karten und Prepaid-Karten.
Vor mehreren tausend Teilnehmern zeigten Karsten Nohl und Fabian Bräunlein von der Firma Security Research Labs (SRLabs), wie die PIN-Ziffernfolge nach Eingabe durch Kunden ausgelesen werden kann. Außerdem überwiesen sie live auf der Bühne des Hamburger Kongresszentrums 15 Euro auf die Prepaid-Karte eines Mobilfunkanbieters und leiteten einen Zahlungsbetrag auf ein anderes Konto um.