Anzeige

Website

Vertrauenswürdige Webseiten sind die Grundlage für eine sichere Online-Kommunikation und damit für das digitale Business. Wie wichtig dieser Zusammenhang ist, zeigte sich im Frühjahr dieses Jahres: Cyberkriminelle bauten für Corona-Soforthilfe-Anträge gefälschte Webseiten, die denen der Landesbehörden täuschend ähnlich waren. Einige  Antragsteller trugen dort ahnungslose ihre Daten ein.

Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab, die eigentlich für notleidende Selbstständige oder Unternehmen gedacht waren. Hunderte von Fake-Webseiten kursierten über mehrere Wochen im Netz; tausende von Antragstellern waren vom Datenmissbrauch betroffen. 

Technische Maßnahmen im Fokus

Wie lässt sich das Netz sicherer machen? Die Browserhersteller setzen bei diesem Thema vor allem auf technische Maßnahmen. Schwerpunkt ist der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Umgesetzt wird dies durch den Einsatz von SSL-/TLS-Zertifikaten. Zusätzlich zu einer verschlüsselten Kommunikation bieten sie einen weiteren Vorteil: Sie können über die Echtheit des Webservers und damit über die Identität des Webseitenbetreibers informieren. 

Die maximalen Laufzeiten von Webseitenzertifikaten wurden in den vergangenen Jahren immer kürzer. Noch bis 2015 galt eine Gültigkeitsdauer von bis zu fünf Jahren. Diese verringerte sich zunächst auf drei, dann auf zwei Jahre. Seit 1. September dürfen Zertifikate maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der  Browserhersteller, dass sie gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen.

Studien widersprechen Argumentation der Browseranbieter

Dies erhöht jedoch für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden. Eine aktuelle Studie der RWTH Aachen University kommt zu dem Ergebnis, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten.

Aktuelle Studien kommen jedoch zu ganz anderen Schlussfolgerungen. Laut einer Untersuchung der RWTH Aachen nutzte jede zweite (49,4 Prozent) der 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. Mit dem Hypertext Transfer Protocol Secure (HTTPS) lassen sich Daten verschlüsselt übertragen. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. 

Zertifikate mit Identitätsprüfung im Vorteil

Entscheidend ist vielmehr der eingesetzte Zertifikatstyp. Das geringste Sicherheitsniveau besitzt der sogenannte Domain-Validated-Typ (DV). DV-Zertifikate basieren auf einem vollautomatisierten Domain-Check, eine Identitätsprüfung findet nicht statt. Dies nutzen Cyberkriminelle für ihre Zwecke aus. Einer Studie des Sicherheitsdienstleisters Venafi zufolge hatten 85 Prozent der nachgebauten, kriminellen Webseiten ein DV-Zertifikat. 

Erheblich mehr Sicherheit gegen Fake-Webseiten und Datenklau bieten sogenannte organisationsvalidierte und erweitert validierte Zertifikate. Diese OV- und EV-Typen beinhalten zusätzlich zum Domain-Check eine gründliche Identitätsprüfung. In der Studie der RWTH Aachen betrug der Anteil der gefälschten Webseiten mit EV-Zertifikat lediglich 0,4 Prozent. 

Attraktivität identitätsgeprüfter Zertifikate wird abnehmen

Wer für mehr Sicherheit im Internet sorgen will, sollte deshalb die Verbreitung von Zertifikaten mit einem höheren Sicherheitsniveau fördern. Der Schritt der Browserhersteller, die Laufzeiten von Webseitenzertifikaten zu verkürzen, kann genau das Gegenteil bewirken. 

Denn im Vergleich zu DV-Zertifikaten erfordern OV-/EV-Zertifikate einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht die Gefahr, dass viele Onlineservice-Anbieter aufgrund des höheren Aufwands eher zu DV-Zertifikaten tendieren.

Verbraucherschutz in Europa stärken

Für weniger Internet-Sicherheit sorgt zudem die fehlende Anerkennung sogenannter qualifizierte Webseitenzertifikate (QWACs) durch die Browserhersteller. QWACs wurden bereits 2014 von der EU-Kommission eingeführt. Sie basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA). Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Website-Betreibers. Jedoch werden bis heute die QWACs in den gängigsten Browsern in großen Teilen weder verarbeitet, noch angezeigt. 

Der Bitkom fordert deshalb in einem jüngst erschienenen Positionspapier, dass die Browserhersteller endlich die QWACs verarbeiten und anzeigen. Wichtig dabei ist eine eindeutige Visualisierung zum Beispiel durch das "EU Trust Mark Logo". Verbraucher könnten dann sofort erkennen, ob eine vertrauenswürdige Webseite vorliegt oder nicht - ein wichtiger Beitrag für den Verbraucherschutz und Internet-Sicherheit in Europa.

Kim Nguyen, Geschäftsführer
Kim Nguyen
Geschäftsführer, D-TRUST

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Okt 07, 2020

Phishing ist das häufigste Sicherheitsproblem

Proofpoint, ein Next- Generation Cybersecurity- und Compliance-Unternehmen,…
Malware
Okt 03, 2020

Emotet in verschlüsselten Anhängen

Die Cyberkriminellen hinter dem Banking-Trojaner Emotet unternehmen viel, um mit…
SSL
Sep 11, 2020

SSL: Von der defensiven zur offensiven Waffe

Die massenhafte Einführung bestimmter Technologien wird immer von Bemühungen begleitet,…

Weitere Artikel

Authentifizierung

Airlock erweitert IAM um eigene Zwei-Faktor-Authentifizierung

Die Schweizer Sicherheitsplattform der Ergon Informatik AG, der Airlock Secure Access Hub, erhält das Update 7.3 für das Customer Identity and Access Management (IAM). Dieses implementiert eine integrierte Zwei-Faktor-Authentifizierung (2FA), um die…
Passwort-Eingabe

Passwort-Richtlinien - Schutz oder Risiko ?

Während sich das BSI von lang gehegten Passwortregeln wie der Angabe einer exakten Mindestlänge verabschiedet, stellen sich Unternehmen sowie Sicherheitsexperten die Frage: „Wann schaden Passwort-Richtlinien mehr als sie nützen?“ Wenn es um die sichere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!