Startseite > Security > D-Trust sieht Beispiel für mangelnde digitale Souveränität Europas

Website-Zertifikate: Browser-Hersteller schwächen Verbraucherschutz

D-Trust sieht Beispiel für mangelnde digitale Souveränität Europas

22. September 2020, 7:30 Uhr | Jörg Schröper

Fortsetzung des Artikels von Teil 1

Studie widerspricht Argumentation der Browser-Anbieter

Bei der Internet-Sicherheit konzentrieren sich die Browserhersteller auf die technischen Aspekte. Im Mittelpunkt steht dabei der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Kürzere Laufzeiten verringerten laut den Browser-Herstellern allgemein das Zeitfenster, in denen TLS-Zertifikate gefährdet sind oder missbraucht werden können. Langfristig erhoffen sich die Browser davon, dass sie gänzlich auf die Zertifikatvalidierung verzichten können, um die Geschwindigkeit der Browser zu beschleunigen. Dies erhöht jedoch nach Ansicht von Nguyen für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden.

Unterstützt wird dieses Argument durch eine aktuelle Studie der RWTH Aachen University (https://www.usenix.org/system/files/soups2019-drury.pdf ). Deren Ergebnisse verdeutlichen, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten. Laut der Studie nutzten 49,4 Prozent der in 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. HTTPS-Webseiten übertragen die Daten verschlüsselt und signalisieren dem User damit Sicherheit. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, bestätige die Analyse ebenfalls nicht. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen. Auch bei der ausgewählten Methode der Identitätsprüfung gibt es ein eindeutiges Ergebnis: 84,6 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten. Hingegen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung.

Die EU-Kommission hat deshalb bereits 2014 in der Verordnung über elektronische Identifizierung und Vertrauensdienste das qualifizierte Webseitenzertifikat (QWAC) definiert. Ziel ist es, in ganz Europa eine sichere und vertrauenswürdige elektronische Kommunikation zu etablieren.

Allerdings erkennen die Browser-Hersteller QWACs bislang nicht an: Diese besonders sicheren Website-Zertifikate werden weder verarbeitet, noch im Browser angezeigt. Jetzt kommen zusätzlich die kürzeren Laufzeiten hinzu, die den Trend hin zu Zertifikaten ohne Identitätsnachweis verstärken. „Das Vorgehen von Google und Co. beim Umgang mit Website-Zertifikaten zeigt, dass eine starke Abhängigkeit der digitalen Sicherheitsinfrastrukturen in Europa von den Browser-Herstellern besteht", so Nguyen.

Es gelte nun, die digitale Souveränität Europas zu stärken. Browser-Hersteller müssten endlich die Verarbeitung und Anzeige der QWACs unterstützen. Wichtig wäre es laut ihm zudem, den Sicherheitsstatus der QWACs verlässlich zu visualisieren, zum Beispiel durch das „EU Trust Mark Logo“. Diese Lösungsvorschläge werden auch vom Digitalverband Bitkom geteilt, der jüngst ein umfangreiches Positionspapier (https://www.bitkom.org/Bitkom/Publikationen/Unabhaengigkeit-der-Vertrauensdienste-von-Browser-und-Betriebssystemherstellern) zum Thema veröffentlichte.

Weitere Informationen über die unterschiedlichen Typen von Zertifikaten sowie eine Infografik finden Interessierte unter https://www.bundesdruckerei.de/.