In einer Untersuchung hat der russische Antivirenhersteller Kaspersky eine hundertprozentige Zunahme von unzuverlässigen digitalen Zertifikaten festgestellt.

Diese werden von Cyberkriminellen hergestellt und verfolgen das Ziel, Malware in Firmennetzwerke einzuschleusen. Damit sollen Informationen gestohlen oder Computersysteme sabotiert werden können. Zu diesem Zweck werden zuverlässige, bekannte Zertifikate imitiert, um damit die wahre Herkunft und Funktionsweise schadhafter Software zu verschleiern. Gegenwärtig gebe es mehr als 6000 dieser gefälschten Zertifikate.

Digitale Zertifikate sind quasi der moderne Nachkomme des Briefsiegels. Es sind Datensätze, durch die beispielsweise Identitäten von verschlüsselten Websiten oder E-Mail-Absendern sichergestellt werden können. So wie ebenjene Wachssiegel Auskunft darüber erteilten, wer der Absender einer Pergamentrolle war. Sie enthalten Informationen, die ein Browser durch kryptografische Prozesse, also Entschlüsselungsverfahren, eindeutig einem Absender oder einer Website zuordnen kann. Dies können sogenannte Hashsums, also Prüfsummen, oder andere Verschlüsselungsmechanismen sein. Damit kann man beispielsweise sicherstellen, dass es sich bei einer E-Banking-Website wirklich um eine solche handelt und man nicht etwa auf eine Scammail reingefallen ist. 

Ein weiterer Einsatzort für digitale Zertifikate sind zum Beispiel auch E-Tickets. Durch ein Prüfmuster im Strich- oder QR-Code stellt ein Scanner sicher, dass dasselbe Ticket nicht zweimal verwendet wird. Entwickelt werden diese Zertifikate von IT-Unternehmen, die diese dann an andere Unternehmen weiterverkaufen.

Surft ein Benutzer beispielsweise auf eine «faulen» Website, erhält er eine Meldung: Diese Website enthält ein nicht vertrauenswürdiges Zertifikat. Wollen Sie auf der Seite bleiben? Dies kann auch der Fall sein, wenn der Browser dieses Zertifikat nicht kennt. Lädt der Benutzer das besagte Zertifikat herunter, erscheint diese Meldung bei späteren Besuchen nicht mehr. Dem Zertifikat wird nun vertraut. Entspricht der Name auf einem Zertifikat nicht jenem des Ausstellers, ist das Gültigkeit des Zertifikats abgelaufen oder wird dem Hersteller nicht vertraut, erhält der Benutzer ebenfalls eine Warnung. Er kann dann selber entscheiden, ob er diesem Zertifikat Vertrauen schenken mag oder nicht. 

Die gefälschten Zertifikate zielen darauf ab, dass ein Benutzer diesem vertraut und dass keine Warnung angezeigt wird. So kann Malware in ein Netzwerk geschleust werden und finanziellen oder technischen Schaden anrichten. 

PCtipp empfiehlt folgende Vorsichtsmassnahmen:

1. Halten Sie Ihren Virenscanner aktuell.

2. Wird die Zertifizierungsstelle als nicht vertrauenswürdig eingestuft (dies wird angezeigt), sollte ein Zertifikat nur dann installiert werden, wenn man sicher ist, dass der unbekannten Zertifizierungsstelle vertraut werden kann. Im Zweifelsfalle sollte man auf eine Installation verzichten

3. Ein Zertifikatsname alleine sagt nichts aus. Zertifikate sollten nur installiert werden, wenn der Browser nach der Überprüfung der Hashsumme nicht Alarm schlägt.

4. Achten Sie bei Websiten mit Logins (z.B. E-Banking, Webmail, Facebook) darauf, dass nach dem HTTP auch ein S steht. Also HTTPS. Dies zeigt an, dass die Seite zertifiziert und abgesichert ist.

5. Wenn Sie eine E-Mail mit digitaler Signatur erhalten, suchen Sie auf der E-Mail nach einem Icon «Signatur überprüfen» und lassen Sie Ihren E-Mail-Client die Überprüfung durchführen. So stellen Sie sicher, dass es sich beim Absender nicht um einen Betrüger handelt.

6. Auch wenn es schwerfällt: Wenn eine Zertifikatsmeldung angezeigt wird, lesen Sie sie genau durch. Dadurch fallen Ihnen die typischen Merkmale gefälschter Zertifikate immer schneller auf.

7. Befürchten Sie, bereits ein unzuverlässiges Zertifikat heruntergeladen zu haben, können Sie ein oder mehrere Zertifikate aus Ihrem Zertifikate-Speicher löschen. Wie das geht, können Sie den Bildern auf der Linken Seite entnehmen.