Anzeige

Website

Vertrauenswürdige Webseiten sind die Grundlage für eine sichere Online-Kommunikation und damit für das digitale Business. Wie wichtig dieser Zusammenhang ist, zeigte sich im Frühjahr dieses Jahres: Cyberkriminelle bauten für Corona-Soforthilfe-Anträge gefälschte Webseiten, die denen der Landesbehörden täuschend ähnlich waren. Einige  Antragsteller trugen dort ahnungslose ihre Daten ein.

Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab, die eigentlich für notleidende Selbstständige oder Unternehmen gedacht waren. Hunderte von Fake-Webseiten kursierten über mehrere Wochen im Netz; tausende von Antragstellern waren vom Datenmissbrauch betroffen. 

Technische Maßnahmen im Fokus

Wie lässt sich das Netz sicherer machen? Die Browserhersteller setzen bei diesem Thema vor allem auf technische Maßnahmen. Schwerpunkt ist der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Umgesetzt wird dies durch den Einsatz von SSL-/TLS-Zertifikaten. Zusätzlich zu einer verschlüsselten Kommunikation bieten sie einen weiteren Vorteil: Sie können über die Echtheit des Webservers und damit über die Identität des Webseitenbetreibers informieren. 

Die maximalen Laufzeiten von Webseitenzertifikaten wurden in den vergangenen Jahren immer kürzer. Noch bis 2015 galt eine Gültigkeitsdauer von bis zu fünf Jahren. Diese verringerte sich zunächst auf drei, dann auf zwei Jahre. Seit 1. September dürfen Zertifikate maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der  Browserhersteller, dass sie gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen.

Studien widersprechen Argumentation der Browseranbieter

Dies erhöht jedoch für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden. Eine aktuelle Studie der RWTH Aachen University kommt zu dem Ergebnis, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten.

Aktuelle Studien kommen jedoch zu ganz anderen Schlussfolgerungen. Laut einer Untersuchung der RWTH Aachen nutzte jede zweite (49,4 Prozent) der 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. Mit dem Hypertext Transfer Protocol Secure (HTTPS) lassen sich Daten verschlüsselt übertragen. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. 

Zertifikate mit Identitätsprüfung im Vorteil

Entscheidend ist vielmehr der eingesetzte Zertifikatstyp. Das geringste Sicherheitsniveau besitzt der sogenannte Domain-Validated-Typ (DV). DV-Zertifikate basieren auf einem vollautomatisierten Domain-Check, eine Identitätsprüfung findet nicht statt. Dies nutzen Cyberkriminelle für ihre Zwecke aus. Einer Studie des Sicherheitsdienstleisters Venafi zufolge hatten 85 Prozent der nachgebauten, kriminellen Webseiten ein DV-Zertifikat. 

Erheblich mehr Sicherheit gegen Fake-Webseiten und Datenklau bieten sogenannte organisationsvalidierte und erweitert validierte Zertifikate. Diese OV- und EV-Typen beinhalten zusätzlich zum Domain-Check eine gründliche Identitätsprüfung. In der Studie der RWTH Aachen betrug der Anteil der gefälschten Webseiten mit EV-Zertifikat lediglich 0,4 Prozent. 

Attraktivität identitätsgeprüfter Zertifikate wird abnehmen

Wer für mehr Sicherheit im Internet sorgen will, sollte deshalb die Verbreitung von Zertifikaten mit einem höheren Sicherheitsniveau fördern. Der Schritt der Browserhersteller, die Laufzeiten von Webseitenzertifikaten zu verkürzen, kann genau das Gegenteil bewirken. 

Denn im Vergleich zu DV-Zertifikaten erfordern OV-/EV-Zertifikate einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht die Gefahr, dass viele Onlineservice-Anbieter aufgrund des höheren Aufwands eher zu DV-Zertifikaten tendieren.

Verbraucherschutz in Europa stärken

Für weniger Internet-Sicherheit sorgt zudem die fehlende Anerkennung sogenannter qualifizierte Webseitenzertifikate (QWACs) durch die Browserhersteller. QWACs wurden bereits 2014 von der EU-Kommission eingeführt. Sie basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA). Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Website-Betreibers. Jedoch werden bis heute die QWACs in den gängigsten Browsern in großen Teilen weder verarbeitet, noch angezeigt. 

Der Bitkom fordert deshalb in einem jüngst erschienenen Positionspapier, dass die Browserhersteller endlich die QWACs verarbeiten und anzeigen. Wichtig dabei ist eine eindeutige Visualisierung zum Beispiel durch das "EU Trust Mark Logo". Verbraucher könnten dann sofort erkennen, ob eine vertrauenswürdige Webseite vorliegt oder nicht - ein wichtiger Beitrag für den Verbraucherschutz und Internet-Sicherheit in Europa.

Kim Nguyen, Geschäftsführer
Kim Nguyen
Geschäftsführer, D-TRUST

Artikel zu diesem Thema

Phishing
Okt 07, 2020

Phishing ist das häufigste Sicherheitsproblem

Proofpoint, ein Next- Generation Cybersecurity- und Compliance-Unternehmen,…
Malware
Okt 03, 2020

Emotet in verschlüsselten Anhängen

Die Cyberkriminellen hinter dem Banking-Trojaner Emotet unternehmen viel, um mit…
SSL
Sep 11, 2020

SSL: Von der defensiven zur offensiven Waffe

Die massenhafte Einführung bestimmter Technologien wird immer von Bemühungen begleitet,…

Weitere Artikel

Ransomware

Ransomware: „Das Übel an der Wurzel packen“

Sven Moog, Geschäftsführer der COGNITUM Software Team GmbH und Experte für Datensicherheit, über die zuletzt besorgniserregende Steigerung von Ransomware-Attacken und mögliche Ansätze zur Behebung dieses Problems, bevor es überhaupt zum Problem wird.
Schwachstelle

Wachsende Risiken durch Improper Authentication

Bei dem US-amerikanische Hersteller von Fitnessgeräten Peloton ist es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall gekommen. Ein Kommentar von Ben Sadeghipour, Head of Hacker Education bei Hackerone.
Cybersecurity

Warum ein Penetrationstest durchgeführt werden muss

Nahezu jede Woche ist in den Medien von Angriffen auf sensible IT-Systeme zu lesen. Für Unternehmen bedeuten diese sowohl finanzielle Schäden als auch den Verlust von Vertrauen und Ansehen bei ihren Geschäftspartnern und Kunden. Zum Teil sind die…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.