eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Phishing & Co: EV SSL-Zertifikate bieten Online-Käufern und -Händlern Sicherheit

Hinter dem harmlos sportlich klingenden Begriff „Phishing“ verbirgt sich eine der größten Gefahren im Internet. So belief sich allein in Deutschland im Jahr 2010 der durch auf diesem Wege entwendeten, persönlichen Daten verursachte Schaden auf rund 17 Millionen Euro. 

Betrug im Internet: Phishing, Pharming und Spoofing?

Geködert werden arglose Internet-Nutzer meist mit seriös wirkenden E-Mails eines vermeintlich vertrauten Absenders, etwa einer Bank. Meist enthalten diese E-Mails einen Link zu einer gefälschten, der originalen aber stark nachempfundenen Webseite, auf welcher der Nutzer sensible Daten wie Passwörter hinterlegen soll.

Eine weiter entwickelte Methode des Phishing stellt das Pharming dar. Dabei infizieren Kriminelle die Rechner ihrer Opfer gezielt mit einem Virus, der eine Schadsoftware installiert. Diese führt den Nutzer sogar bei der Eingabe einer korrekten Web-Adresse auf eine gefälschte Seite, auf der er ebenfalls unwissentlich seine Daten in die Hände von Betrügern legt. Betroffen von dem Kriminalitätsphänomen sind neben Internet-Nutzern aber auch der Online-Handel, der durch zunehmend verunsicherte und misstrauische Kunden teilweise hohe Umsatzeinbußen hinnehmen muss. Immerhin können Daten auch bei Bestell- und Registrierungsvorgängen im Internet – sprich: auf den Websites herkömmlicher Online-Shops oder Diensteanbietern – „abgephisht“ werden, sollte der Datenaustausch vom Online-Händler beziehungsweise vom Website-Bertreiber nicht speziell gegen Zugriffe durch Unbefugte geschützt worden sein.

EV SSL: Die dritte SSL-Generation schließt Sicherheitslücken der zweiten Generation

Als grundlegende Sicherheitsmaßnahme zum Schutz vor Phishing im World Wide Web gilt die Secure Sockets Layer (SSL)-Technologie. Im Normalfall gewährleistet sie bei Online-Transaktionen durch eine schwer decodierbare Verschlüsselung vertraulicher Informationen Sicherheit, Integrität und Authentizität.

 „Viele der aktuell verwendeten SSL-Schlüssel sind leider veraltet und können so weder die Daten des Konsumenten noch die des Anbieters ausreichend schützen“, erklärt Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG den rapiden Anstieg der durch Phishing entstehenden Schäden. „Betreiber von Webseiten sollten im jedem Fall auf aktuelle und zertifizierte SSL-Techniken setzen. Diese garantieren neben einen Höchstmaß an Sicherheit auch das nötige Kundenvertrauen“. 

Was bringen validierte SSL-Zertifikate?

Aktuell bieten sich hierfür besonders die sogenannten erweitert validierten SSL-Zertifikate (EV SSL) an. Sie gehören der dritten SSL-Generation an und geben dem Anwender durch das grüne Einfärben der Browser-Adressleiste zu erkennen, dass er sich auf der sprichwörtlich sicheren Seite befindet. Das Umstellen auf die EV SSL-Technologie empfiehlt sich schon deshalb, weil nach Einschätzung vieler Fachleute die immer noch weit verbreitete sogenannte zweite SSL-Generation sogar im Vergleich mit der ersten SSL-Generation einen merklichen Rückschritt hinsichtlich der Sicherheit markiert.

Damit lässt sich auch der deutliche Anstieg des durch Phishing verursachten Schadens im Jahr 2007 erklären. Mit 17 Millionen Euro war die Summe genau so hoch wie im Jahr 2010 – wuchs im Vergleich zum Jahr 2006 aber um 7 Millionen Euro an. Das Hauptproblem der zweiten SSL-Generation, der Domain-validierten SSL-Zertifikate (DV SSL), besteht darin, dass hier – dem Namen nach – mit einer Domainvalidierung gearbeitet wird, welche neben dem Abgleich von WHOIS-Einträgen einen automatisierten Verifikationsanruf mit PIN-Eingabe nutzt. Phisher hatten so leichtes Spiel, denn die DV SSL-Zertifikate bescheinigten nur, dass der Domain-Betreiber gleichzeitig Inhaber der Domain ist. Dementsprechend leicht gestaltet es sich, Phishing-Seiten als seriös auszuweisen.

EV-SSL: Die Dritte SSL-Generation

Für die dritte SSL-Generation arbeiteten Zertifizierungsstellen und Browser-Unternehmen innerhalb des CA/Browser Forums (CAB-Forum) eng zusammen. Die daraus resultierende schärfere Validierung verhindert nun, dass Phisher SSL-Zertifikate für ihre kriminellen Zwecke nutzen können. Website-Besucher und Online-Handel profitieren nicht zuletzt von der durch Grünfärbung verbesserten Sichtbarmachung des EV SSL-Zertifikats – eine Funktion, die den anderen SSL-Generationen nicht innewohnt.

Weitere Hinweise zum Schutz Ihrer Daten finden unter "Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten".

Autor:
Christian Heutger
Geschäftsführer der PSW GROUP GmbH & Co. KG