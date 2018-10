Berlin (ots) -Google und andere Anbieter von Internetbrowsern forcieren aktuellden Einsatz sogenannter SSL-Zertifikate. Diese ermöglichen einenverschlüsselten Datentransfer zwischen dem Computer desInternet-Nutzers und Webseiten. So warnt der Google-Browser Chromevor unverschlüsselten Seiten mit dem Hinweis "Nicht sicher". Umsowichtiger wird es für Unternehmen und Behörden, die eigenen Webseitenmit SSL-Zertifikaten zu schützen oder bestehende Zertifikate zuaktualisieren. Zahlreiche Zertifizierungsstellen (CertificationAuthorities, abgekürzt: CA) bieten Varianten von SSL-Zertifikaten an.Im behördlichen und geschäftlichen Umfeld empfehlen dieIT-Sicherheitsexperten der Bundesdruckerei Zertifikatstypen mitIdentitätsnachweis. "Eine Webseite ist erst dann vertrauenswürdig undsicher, wenn die Identität des Inhabers geprüft und bestätigt wurde",sagt Dr. Kim Nguyen, Geschäftsführer der Bundesdruckerei-TochterD-TRUST, einem der größten Zertifikatsanbieter im EU-Raum.SSL-Zertifikate werden von externen Zertifizierungsstellenverschiedener EU-Staaten ausgegeben. Dazu zählt auch dieZertifizierungsstelle "Let's Encrypt", deren Geschäftsmodell auf derAusgabe kostenloser Zertifikate basiert. Bei diesen Zertifikaten wirdjedoch die Identität des Seiteninhabers nicht überprüft. Somit könnenauch Cyberkriminelle leicht an Zertifikate kommen und mit gefälschtenWebseiten Datenmissbrauch betreiben. Das Bundesamt für Sicherheit inder Informationstechnik (BSI) warnt seit Jahren vor solchen"gefälschten Zertifikaten".Die europäische "Verordnung über elektronische Identifizierung undVertrauensdienste" (eIDAS) bezeichnet besonders vertrauenswürdigeZertifizierungsstellen als qualifizierte Vertrauensdiensteanbieter.Für diesen Status müssen Vertrauensdiensteanbieter die verschärftenEU-Vorgaben umsetzen und werden regelmäßig von den nationalenAufsichtsbehörden kontrolliert. Nguyen: "QualifizierteVertrauensdiensteanbieter sind die europäische Antwort auf die Frage:Wie lässt sich Vertrauen und Sicherheit in unsicheren Netzenherstellen?"SSL-Zertifikate lassen sich in die folgenden Typen undSicherheitsniveaus unterteilen (siehe auch Grafik).1. Domainvalidierte ZertifikateAm weitesten verbreitet ist die Domain-Validierung (DomainValidation, abgekürzt: DV). Sie bietet die niedrigsteSicherheitsstufe. Die Zertifizierungsstelle prüft bei diesemZertifikatstyp per E-Mail, ob der Auftraggeber auch Inhaber derDomain ist. Die Identität des Antragstellers wird nicht überprüft.Cyberkriminelle können also leicht DV-Zertifikate für ihregefälschten Webseiten erhalten. DV-Zertifikate gibt es kostenlos oderzu günstigen Preisen bei Zertifizierungsstellen und Webhostern.2. Organisationsvalidierte ZertifikateBei organisationsvalidierten SSL-Zertifikaten (OrganizationValidation, abgekürzt: OV) findet zusätzlich zum Domaincheck eineIdentitätsprüfung der Organisation statt. Der Inhaber der Domainweist sich durch Dokumente wie einen Handelsregisterauszug aus. Sowird ein Missbrauch weitgehend ausgeschlossen. OV-Zertifikateerfüllen hohe Sicherheitsanforderungen und sind daher für Webseitenvon Unternehmen und Behörden erste Wahl. Sie werden vonkostenpflichtigen Zertifizierungsstellen und Webhostern vergeben.3. Erweitert validierte ZertifikateDas höchste Sicherheitsniveau bieten sogenannte erweitertvalidierte Zertifikate (Extended Validation, abgekürzt: EV).Zusätzlich zum Domaincheck und zur Organisationsvalidierung erfordernsie einen individuellen Identitätsnachweis des Antragstellers. Dabeiwird geprüft, ob diese Person tatsächlich bei der Organisationangestellt ist und ein EV-Zertifikat erwerben darf. Diese Zertifikatesorgen für Sicherheit auf Online-Banking-Niveau. Zum Einsatz kommensie entsprechend vor allem bei Banken und Versicherungen sowieeinigen Online-Shops. Wie OV-Zertifikate werden sie vonkostenpflichtigen Zertifizierungsstellen und Webhostern vergeben.4. QWACsEine besondere Form der EV-Zertifikate sind die qualifiziertenWebseitenzertifikate (Qualified Website Authentication Certificates,abgekürzt: QWACs). Technisch entsprechen sie den EV-Zertifikaten,hinzu kommt eine besonders hohe Rechtsverbindlichkeit im gesamtenEU-Raum. Diese basiert auf der eIDAS-Verordnung. "QualifizierteWebseitenzertifikate sind für Anwendungen mit den höchstenSicherheitsanforderungen interessant. Dazu gehört Banking gemäß derneuen EU-Zahlungsrichtlinie PSD2, aber auch die digitale Vernetzungvon Registern bei Behörden", erläutert Nguyen. QWACs dürfen nur vonqualifizierten Vertrauensdiensteanbietern mit Sitz in der EUherausgegeben werden. In Europa ist D-TRUST aktuell einer der wenigenAnbieter von QWACs.Gemeinsam mit anderen Browser-Anbietern plant Google, dievisuellen Hinweise, an denen der User den Zertifikatstyp und damitdas Sicherheitsniveau erkennt, weitestgehend zu entfernen. Das sindzum Beispiel ein grünes Vorhängeschloss oder der Organisationsname ingrüner Schrift. Auf der IT-Sicherheitsmesse it-sa vom 9. bis 11. Oktober inNürnberg berät die Bundesdruckerei auf ihrem Stand (Halle 10)Organisationen bei der Zertifikatsauswahl. Weitere Infos gibt esunter www.bundesdruckerei.de.