Der geschenkte Gaul und die Sicherheit

Freitag, 25. Februar 2005, 23.14 Uhr

Sie kennen sicherlich das Sprichwort, dass man einem geschenkten Gaul nicht ins Maul schauen darf. So sehr dieses Sprichwort im Alltag gilt, so gefährlich wird es, wenn es um vitale Dinge wie Gesundheit und Sicherheit geht. Wer hier spart, spart am falschen Ende, Geiz ist dann nicht geil, sondern gefährlich – und einem geschenkten Gaul sollte man unbedingt ins Maul schauen.

Daran musste ich kürzlich denken, als ich beim Newsservice „Slashdot“ das Angebot der Firma Start.com las, SSL-Zertifikate zu verschenken. Wenn man sich die Preise anschaut, die Firmen wie Verisign oder Trustcenter für ihre Zertifikate nehmen, scheint das auf den ersten Blick ein reizvolles Angebot zu sein. Da wird so mancher Serverbetreiber, der gern eine SSL-Verschlüsselung anbieten, aber die marktüblichen Preise nicht bezahlen will, ins Grübeln kommen und am Ende zugreifen.

Doch Vorsicht! Wer sich auf so ein Angebot einlässt, der sägt am Ast auf dem er sitzt. Machen wir uns an einem Beispiel klar, welche Funktion ein SSL-Zertifikat überhaupt hat. Das dient nämlich nicht einfach nur dazu, wie Start.com behauptet, den Datenfluss zwischen zwei Servern zu verschlüsseln.

Wenn ich behaupte, ich sei eigentlich Clint Eastwood, dann werden Sie mir das wohl nicht glauben. Auch dann nicht, wenn ich Ihnen einen Zettel zeige, auf dem diese Behauptung von meinem Freund Peter bestätigt wird. Warum sollen Sie Peter schließlich mehr vertrauen als mir? Wenn ich dagegen behaupte, ich heiße Dr. Giesbert Damaschke und zeige Ihnen zur Bestätigung meinen Personalausweis, dann glaubt mir sogar die Polizei.

Wo ist der Unterschied zwischen dem Zettel dem Personalausweis?

Klare Sache: Peter ist eine Ihnen völlig unbekannte Privatperson, bei der es keinen Grund gibt, warum Sie ihr vertrauen sollten. Der Ausweis wurde dagegen vom Einwohnermeldeamt München ausgestellt – und wenn man deutschen Ämtern nicht mehr trauen kann, wem dann?

Jetzt setzen wir an meine Stelle den Webserver einer Online-Bank, der Zettel wird ein Zertifikat und aus Freund Peter wird Start.com: Würden Sie dieser Bank glauben, dass sie auch tatsächlich die Bank ist, die zu sein sie vorgibt, und dass Sie bedenkenlos Ihre Zugangsdaten übermitteln können? Also ich würde das nicht tun. Einer Firma, die so leichtfertig mit SSL-Zertifikaten um sich wirft, traue ich keinen Mausklick weit. Wer garantiert mir denn, dass am anderen Ende der Datenleitung kein Betrüger ist, der sich mal eben rasch ein Zertifikat bei Start.com besorgt hat? Bei der Ausstellung der Zertifikate überprüft Start.com nämlich keine Angaben, sondern erzeugt einfach das gewünschte Zertifikat. Mit einem Start.com-Zertifikat könnte ich also auch problemlos belegen, dass ich Clint Eastwood bin.

Und nicht nur ich traue Start.com-Zertifikaten nicht – Ihr Browser tut dies auch nicht. Der vertraut von Haus aus nämlich nur den Zertifikaten seriöser Firmen. Wenn Sie auf eine Webseite geraten, die eine SSL-Verschlüsselung aufbauen will und dazu ein Start.com-Zertifikat bereit hält, warnt Sie Ihr Browser. Sie können diese Warnung natürlich ignorieren – aber dann können Sie auf SSL, Sicherheit und verschlüsselten Datentransport gleich ganz verzichten und Ihre Daten sind keinen Pfifferling mehr wert.

Und die Moral von der Geschicht‘: Vertrauen sie dem billigen Jakob nicht. Schauen Sie dem Gaul ins Maul – und investieren Sie in die Sicherheit Ihrer Produkte. Wenn Sie als Webserverbetreiber eine SSL-Verschlüsselung anbieten möchten, dann benutzen Sie dazu ein Zertifikat einer seriösen Firma. Und vertrauen Sie keiner Webseite, die von Ihnen die Installation obskurer Zertifikate verlangt!


Ihr Kommentar Name (erforderlich):

Mail (wird nicht publiziert) (erforderlich):

Website: