Wie digitale Zertifikate der niederländischen Regierung zum Verhängnis wurden.

Es begann im Iran. Als ein iranischer User ein nicht funktionierendes digitales Zertifikat meldete als er sein Gmail-Konto abrufen wollte, stellte Google fest, dass die Zertifikate der in den Niederlanden ansässigen Firma DigiNotar gefälscht und auf verschiedene Domains angewandt wurden. Google sperrte daraufhin alle DigiNotar-Zertifikate in seinem Browser Chrome, wie Google hier bekannt gab. Mozilla mit seinem Browser Firefox verlautbarte die Sperre daraufhin ebenso hier.

Die gefälschten Zertifikate von DigiNotar in Beverwijk, einer Firma im Besitz des amerikanischen Vasco-Konzerns mit Hauptsitz in der Schweiz, wurden ähnlich einer Phishing-Attacke verwendet; einer sogenannten Man-in-the-Middle-Attacke. Man kann sich das etwa so vorstellen: Ein User meldet sich auf einer Website an, beide zertifizieren sich wer sie sind und können vertraulich Informationen austauschen. Man erkennt solche Verbindungen durch das https in der Adresszeile des Browsers. Bei den Zertifikaten der Betrüger setzt sich ein dritter Rechner ein, der entweder die Daten sammelte oder zu falschen Websites umleitete. Dass die gefälschten Zertifikate gerade im Iran auftauchten lässt freilich aufgrund des bekannt verbrecherischen und vor Demonstrationen gleichzeitig verängstigten Mullah-Regimes Schlimmes vermuten. Aber eben nur vermuten. Ein Bekennerschreiben existiert bereits, wie die Futurezone hier berichtet.

Dass die iranischen Probleme Auswirkungen auf die gesamte Internet-Abwicklungen der niederländischen Regierung haben, liegt daran, dass Seiten wie der belastingdienst – einer Seite des Finanzministeriums, in der jeder Niederländer und jede Niederländerin Steuererklärungen machen kann – oder DigiD – einer Seite mit der man eine Authentifizierung beantragen kann, die auf jeder Website der niederländischen Behörden gilt – ausschließlich mit digitalen Zertifikaten der Firma DigiNotar arbeiten. Ohne Backup, d.h. ohne weitere Zertifikatsmöglichkeiten anderer Anbieter.

Die öffentliche Kritik in den Niederlanden ist sehr heftig, die Medien berichten ausführlich. Zum Einen wird die Regierung dafür kritisiert nur auf einen Anbieter gesetzt zu haben. Andererseits und vor allem wird aber die Firma DigiNotar kritisiert. Nicht nur Google und Mozilla ärgern sich darüber, dass ein Hack bei DigiNotar seitens der Firma niemandem gemeldet wurde. Auch der niederländischen Regierung offenbar nicht.

Eine Firma, die auf digitale Zertifikate spezialisiert ist, kann freilich nur überleben, wenn man dieser Firma vertraut und glaubt, dass sie sicher ist. Das wusste DigiNotar freilich auch und entschied sich die Angelegenheit nicht öffentlich zu machen. Denn ein schlechter Ruf ist das Schlimmste, das der Firma passieren konnte. Am Ende ging das freilich nach hinten los, dank eines aufmerksamen Iraners.

Diejenigen, die jetzt in den Niederlanden ihre Steuererklärungen abgeben wollen oder andere Behördenwege online abwickeln wollen, haben vorerst das Nachsehen. Denn im Moment geht eher nichts mehr. Die Regierung hat verlautbaren lassen, dass die Bürger_innen mit dem Einloggen auf Regierungs-Sites erstmal warten sollen. Neue Zertifikate auf allen Websites zu implementieren dauert Zeit. Und kostet Steuergeld.

Gibt es Lehren aus dieser Angelegenheit? Zum Einen wird klar, dass öffentliche Websites von Regierungsstellen immer ein Notszenario brauchen. Werden Zertifikate in einem Browser nicht mehr bewilligt, muss man schnell umschalten können. In den Niederlanden wird zudem die Forderung laut, dass Datenlecks und Hacks prinzipiell gemeldet werden müssen. Und dann gibt es das Problem, dass eine Regierung einer einzigen privaten Firma vertraut und beauftragt und ihr somit eine Monopolstellung gibt. Eine Firma übrigens die, wenn es Probleme gibt, an alles Andere interessiert ist als an einer Aufklärung. Sie kehrt das Problem lieber unter dem Teppich und hofft einfach, dass nichts passiert. Doch wenn dann ein iranischer Bürger stutzt…

In Österreich soll bekanntlich die Bürgerkarte zukünftig stärker eingesetzt werden, vergleichbar mit dem niederländischen Dienst DigiD. Auch hier ist es – soweit mir bekannt – eine einzige Firma, die Zertifikate ausstellt. Es würde sich jedenfalls eine Recherche mal lohnen, egal ob von politischer, von NGO- oder von journalistischer Seite.

2 Gedanken zu „Wie digitale Zertifikate der niederländischen Regierung zum Verhängnis wurden.“

  1. Was mich bei diesen digitalen Zertifikaten am meisten stört ist, dass bei betroffenen Geschäftsfällen ein Riesen Sicherheits-TamTam gemacht wird, das mit der realen Wirtschaft gar nix zu tun hat (schon mal mit der Kreditkarte der Mama einkaufen gegangen), und in Wahhrheit ist es genau so (un-) sicher, wie alles andere im Geschäftsleben.

    Oder: Ich kann bei Vielen Unternehmen online Verträge abschliessen, kündigen kann ich sie aber nur mehr mit Fax und Kopie des Reisepasses.

    Völlig vermurxt das alles.

  2. Was mich bei diesen digitalen Zertifikaten am meisten stört ist, dass bei betroffenen Geschäftsfällen ein Riesen Sicherheits-TamTam gemacht wird, das mit der realen Wirtschaft gar nix zu tun hat (schon mal mit der Kreditkarte der Mama einkaufen gegangen), und in Wahhrheit ist es genau so (un-) sicher, wie alles andere im Geschäftsleben.

    Oder: Ich kann bei Vielen Unternehmen online Verträge abschliessen, kündigen kann ich sie aber nur mehr mit Fax und Kopie des Reisepasses.

    Völlig vermurxt das alles.

Schreibe einen Kommentar