Thought Leadership
Vertrauenswürdige Webseiten sind die Grundlage für eine sichere Online-Kommunikation und damit für das digitale Business. Wie wichtig dieser Zusammenhang ist, zeigte sich im Frühjahr dieses Jahres: Cyberkriminelle bauten für Corona-Soforthilfe-Anträge gefälschte Webseiten, die denen der Landesbehörden täuschend ähnlich waren. Einige Antragsteller trugen dort ahnungslose ihre Daten ein.
Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab, die eigentlich für notleidende Selbstständige oder Unternehmen gedacht waren. Hunderte von Fake-Webseiten kursierten über mehrere Wochen im Netz; tausende von Antragstellern waren vom Datenmissbrauch betroffen.
Technische Maßnahmen im Fokus
Wie lässt sich das Netz sicherer machen? Die Browserhersteller setzen bei diesem Thema vor allem auf technische Maßnahmen. Schwerpunkt ist der verschlüsselte Datentransfer zwischen Webseiten und dem Computer des Internet-Nutzers. Umgesetzt wird dies durch den Einsatz von SSL-/TLS-Zertifikaten. Zusätzlich zu einer verschlüsselten Kommunikation bieten sie einen weiteren Vorteil: Sie können über die Echtheit des Webservers und damit über die Identität des Webseitenbetreibers informieren.
Die maximalen Laufzeiten von Webseitenzertifikaten wurden in den vergangenen Jahren immer kürzer. Noch bis 2015 galt eine Gültigkeitsdauer von bis zu fünf Jahren. Diese verringerte sich zunächst auf drei, dann auf zwei Jahre. Seit 1. September dürfen Zertifikate maximal 13 Monate (397 Tage) gültig sein. Die Browserhersteller versprechen sich davon mehr Sicherheit. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der Browserhersteller, dass sie gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen.
Studien widersprechen Argumentation der Browseranbieter
Dies erhöht jedoch für Nutzer das Risiko, Opfer von Phishing-Attacken zu werden. Eine aktuelle Studie der RWTH Aachen University kommt zu dem Ergebnis, dass für ein Optimum an Internet-Sicherheit nicht nur technische Maßnahmen notwendig sind, sondern auch ein Identitäts-Check bei Zertifikaten.
Aktuelle Studien kommen jedoch zu ganz anderen Schlussfolgerungen. Laut einer Untersuchung der RWTH Aachen nutzte jede zweite (49,4 Prozent) der 2018 entdeckten Phishing-Webseiten das HTTPS-Protokoll. Mit dem Hypertext Transfer Protocol Secure (HTTPS) lassen sich Daten verschlüsselt übertragen. Eine Verschlüsselung allein ist also kein Kennzeichen sicherer Webseiten. Dass kürzere Zertifikatslaufzeiten die Sicherheit verbessern, wird durch die Analyse ebenfalls nicht bestätigt. Im Gegenteil: Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen.
Zertifikate mit Identitätsprüfung im Vorteil
Entscheidend ist vielmehr der eingesetzte Zertifikatstyp. Das geringste Sicherheitsniveau besitzt der sogenannte Domain-Validated-Typ (DV). DV-Zertifikate basieren auf einem vollautomatisierten Domain-Check, eine Identitätsprüfung findet nicht statt. Dies nutzen Cyberkriminelle für ihre Zwecke aus. Einer Studie des Sicherheitsdienstleisters Venafi zufolge hatten 85 Prozent der nachgebauten, kriminellen Webseiten ein DV-Zertifikat.
Erheblich mehr Sicherheit gegen Fake-Webseiten und Datenklau bieten sogenannte organisationsvalidierte und erweitert validierte Zertifikate. Diese OV- und EV-Typen beinhalten zusätzlich zum Domain-Check eine gründliche Identitätsprüfung. In der Studie der RWTH Aachen betrug der Anteil der gefälschten Webseiten mit EV-Zertifikat lediglich 0,4 Prozent.
Attraktivität identitätsgeprüfter Zertifikate wird abnehmen
Wer für mehr Sicherheit im Internet sorgen will, sollte deshalb die Verbreitung von Zertifikaten mit einem höheren Sicherheitsniveau fördern. Der Schritt der Browserhersteller, die Laufzeiten von Webseitenzertifikaten zu verkürzen, kann genau das Gegenteil bewirken.
Denn im Vergleich zu DV-Zertifikaten erfordern OV-/EV-Zertifikate einen höheren Aufwand, der jetzt in immer kürzeren Abständen notwendig ist. Der Mehraufwand für Webseitenbetreiber bei Laufzeitverkürzungen lässt sich zwar durch automatisierte Prozesse vermeiden, doch kann dies in der Regel nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht die Gefahr, dass viele Onlineservice-Anbieter aufgrund des höheren Aufwands eher zu DV-Zertifikaten tendieren.
Verbraucherschutz in Europa stärken
Für weniger Internet-Sicherheit sorgt zudem die fehlende Anerkennung sogenannter qualifizierte Webseitenzertifikate (QWACs) durch die Browserhersteller. QWACs wurden bereits 2014 von der EU-Kommission eingeführt. Sie basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA). Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Website-Betreibers. Jedoch werden bis heute die QWACs in den gängigsten Browsern in großen Teilen weder verarbeitet, noch angezeigt.
Der Bitkom fordert deshalb in einem jüngst erschienenen Positionspapier, dass die Browserhersteller endlich die QWACs verarbeiten und anzeigen. Wichtig dabei ist eine eindeutige Visualisierung zum Beispiel durch das “EU Trust Mark Logo”. Verbraucher könnten dann sofort erkennen, ob eine vertrauenswürdige Webseite vorliegt oder nicht – ein wichtiger Beitrag für den Verbraucherschutz und Internet-Sicherheit in Europa.
