Im Darknet gibt es offenbar einen schwunghaften Handel mit gestohlenen TLS- und SSL-Zertifikaten. Das klingt so abstrakt – was bedeutet diese Meldung in der Praxis?

Um zu verstehen, was es mit gestohlenen Zertifikaten auf sich hat, lohnt der Vergleich mit gestohlenen Passwörtern. Wenn der Online-Betrüger Fritz Fake das Passwort von Hans Meier stiehlt, kann er sich im Internet als Hans Meier ausgeben. Je nachdem, wofür das Passwort gilt, kann er zum Beispiel in Meiers Namen teure Luxusgüter einkaufen oder sein Bankkonto einsehen. Meiers Bankguthaben von – sagen wir – 6.000 Euro bildet die Obergrenze der möglichen Beute.

Stiehlt Fritz Fake statt dessen das Zertifikat einer Bank, dann kann er sich im Internet als diese Bank ausgeben. Die Bank verwaltet auf den Konten ihrer Kunden vielleicht 600 Millionen Euro – die Obergrenze der möglichen Beute liegt also ungleich höher.

Um an dieses Geld zu kommen, könnte der Betrüger eine gefälschte Online-Filiale der Bank eröffnen. Mit einer gezielten Phishing-Kampagne lockt er dann Kunden auf seine Seite. Mit Hilfe der gestohlenen Zertifikate sieht die gefälschte Bankseite nicht nur täuschend echt aus, sie wird auch von der Software des Kunden als echt bestätigt. Kunden geben in der Folge dort ihre Passwörter und TAN-Nummern ein. Diese fängt der Betrüger ab und löst damit bei der echten Bank echte Überweisungen aus. (Zum Glück ist das nur ein fiktives Beispiel.)

In dem Film “Der Clou” von 1974 baut Robert Redford ein gefälschtes Wettbüro auf, um einen reichen Gangster um einen großen Haufen Geld zu erleichtern. Der Aufwand ist immens, die Beute aber auch. Würde heute ein ähnlicher Betrug durchgeführt, dann würden gestohlene Zertifikate darin ganz bestimmt eine wichtige Rolle spielen. Vielleicht sehen wir ja demnächst ein Remake, das sich um Internet-Betrügereien dreht.

Gestohlene TLS- und SSL-Zertifikate eröffnen Cyberkriminellen eine Vielzahl von lukrativen Möglichkeiten, die weit über das hinausgehen, was gestohlene Passwörter ermöglichen. Zertifikate eignen sich besonders dazu, im Zusammenspiel mit anderen Angriffstechniken größere betrügerische Unternehmungen aufzuziehen. Heute nutzt fast jedes Unternehmen, das im Internet Geschäfte abwickelt, entsprechende Zertifikate. Dass diese in großer Zahl im Darknet gehandelt werden, ist ein ernstes Alarmsignal. Unternehmen sollten überprüfen, ob ihre Zertifikate wirklich sicher sind und ob gegebenenfalls zusätzliche Sicherheitsmaßnahmen erforderlich sind. Wir beraten Sie dabei gerne!

Das Unternehmen Venafi hat eine Studie zu diesem Thema veröffentlicht.