Die Zeiten, in denen Cyberkriminelle aufgrund massiver Rechtschreibfehler erkannt werden konnten, sind längst vorbei. Insbesondere Pharming-Seiten, die sich als seriöse Webseiten ausgeben, um Benutzernamen und insbesondere Bankverbindungsdaten abzugreifen, sind kaum mehr von der Originalseite zu unterschieden und stellen ein großes IT-Sicherheitsrisiko dar. Auch das HyperText Transfer Protocol Secure (HTTPS), welches als Kommunikationsprotokoll eine Verschlüsselung des Transports der eingegebenen Daten vornimmt, so dass ein Dritter auf diese nicht zugreifen kann, hilft bei diesem Phänomen des Pharming und Phishings nicht immer weiter.

13 Abs. 7 TMG verpflichtet aber Diensteanbieter für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass neben einem unerlaubten Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen auch verhindert wird, dass das Telemedium gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Die Einhaltung dieser IT-sicherheitsrechtlichen Regelung wird bislang dann angenommen, wenn eine Website-Verschlüsselung via https-Verbindungen erfolgt.

Seit dem 01.07.2016 können nach der eIDAS Verordnung (VO (EU) 910/2014) Webseiten vom BSI nun neu zertifiziert werden und daraufhin den Status als qualifizierter Vertrauensdienstleister erhalten. Für den Nutzer ist dies an einem neuen Logo (blaues Vorhängeschloss mit Europasternen und goldenem Häkchen) erkennbar.1https://www.heise.de/newsticker/meldung/Elektronische-Signaturverordnung-eIDAS-ist-gestartet-wie-geht-es-weiter-3252396.html (zuletzt aufgerufen: ...continue) Nun hat das Bundesamt für Sicherheit in der Informationstechnik erstmals einem Unternehmen den  Qualifikationsstatus als Vertrauensdiensteanbieter im Bereich Webseiten-Authentifizierung verliehen. Mittels des „D-Trust qualified EV SSL ID“ können im Zuge der Websiteverschlüsselung qualifizierte Zertifikate erstellt werden mit denen die Identität des Websitebetreibers eindeutig sichergestellt werden kann.2https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/DTrust_20032017.htmliiii;iiiijsessionid=0769C8F28117CEC090FF5599F7ACEA49.1_cid369 ...continue)

Bislang galten https-Verbindungen mit einer SSL bzw. TLS Verschlüsselung als ausreichend sicher. Wird eine Website mit https-Verschlüsselung aufgerufen, so wird zunächst eine SSL bzw. TLS-Verbindung zum Server aufgebaut, im Gegenzug erhält der Nutzer das Serverzertifikat. Aus diesem Zertifikat kann die URL des OCSP-Responders gewonnen werden. Dieser Responder soll daraufhin herausfinden, ob der aufgerufene Server mitsamt seinem Zertifikat gültig ist, ist also eine Art Zertifizierungsstelle. Problematisch ist hierbei insbesondere, dass die Verbindung zwischen OCSP-Responder und Nutzer zumeist im http-Format und damit unverschlüsselt übertragen wird. Zudem kann der Responder als Zertifizierungsstelle die Browserhistorie des Nutzers analysieren, auch wenn dieser durchgängig https Verbindungen genutzt hat.3Braukmann, DuD 2015, 440 (443). Eine große Gefahr stellen auch sogenannte „Man-in-the-middle“ (MITM) Angriffe dar. Hierbei gibt sich ein Angreifer als der Betreiber der eigentlich aufgerufenen Seite aus und versucht dem Nutzer ein falsches Zertifikat zu senden. Damit die Fälschung nicht erkannt wird, wird zudem eine SSL-Verbindung zum Server des „echten“ Websitebetreibers aufgebaut. Die Datenpakete können also zwischen der Weiterleitung vom Nutzer an den „echten“ Websitebetreiber entschlüsselt und ausgewertet werden, ohne dass dies auf den ersten Blick auffällt.4Petrilic/Manny, DuD 2017, 88 (89).

Mit der neuen qualifizierten Website-Authentifizierung sollen einheitliche, EU-weite Standards für die Schaffung von sicheren Zertifikaten. Die Anforderungen, die ein solches Zertifikat beinhalten muss, sind in Anhang IV zur eIDAS-Verordnung aufgezählt. Entscheidend ist insbesondere die Nennung des Anbieternamens und ggfs. der Registernummer bei juristischen und natürlichen Personen (VO (EU) 910/2014 Anhang IV b, c). Dies soll insbesondere die oben genannten MITM-Angriffe verhindern. Grundsätzlich soll hierdurch eine Möglichkeit geschaffen werden die Identität von Betreibern von Web- und Kommunikationsanwendungen eindeutig nachzuweisen.5http://de.newskitchen.eu/2017/03/21/erster-vertrauensdiensteanbieter-gemas-eidas-verordnung-qualifiziert/ (zuletzt aufgerufen: 28.03.2017)

Referenzen   [ + ]

1. https://www.heise.de/newsticker/meldung/Elektronische-Signaturverordnung-eIDAS-ist-gestartet-wie-geht-es-weiter-3252396.html (zuletzt aufgerufen: 28.03.2017
2. https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/DTrust_20032017.htmliiii;iiiijsessionid=0769C8F28117CEC090FF5599F7ACEA49.1_cid369 (zuletzt aufgerufen: 28.03.2017
3. Braukmann, DuD 2015, 440 (443).
4. Petrilic/Manny, DuD 2017, 88 (89).
5. http://de.newskitchen.eu/2017/03/21/erster-vertrauensdiensteanbieter-gemas-eidas-verordnung-qualifiziert/ (zuletzt aufgerufen: 28.03.2017)