Ausführliche Erklärung zu SSL-Zertifikaten
Das Internet ermöglicht Einkäufe, Bankgeschäfte oder Behördengänge bequem von zu Hause aus.
Doch es birgt zwei Gefahren: das Internet ist völlig anonym, und der Datenverkehr kann abgehört werden.
Das jeweils für ein oder mehrere Jahr/e ausgestellte, verlängerbare qualifizierte SSL-Zertifikat
schafft Abhilfe - es identifiziert den Geschäftspartner und verschlüsselt gleichzeitig die gesendeten Daten.
Was ist ein SSL-Zertifikat, wie funktioniert es - und wofür braucht man es?
Das Internet wächst stetig und mit ihm die beinahe grenzenlosen Möglichkeiten, die es bietet.
Virtuelle Shops, Auktionshäuser, Spielcasinos und Geldinstitute sind inzwischen bereits Routine,
Privatpersonen können ihre Steuererklärungen in digitaler Form abgeben (Unternehmen werden vom
Gesetzgeber zunehmend dazu verpflichtet), das elektronische Handelsregister ist in der Umsetzung -
die Zeiten, in denen das WorldWideWeb lediglich eine Art riesiges Nachschlagewerk für Informationen
und eine rein militärische Kommunikationsplattform des Kalten Krieges war, sind längst vorbei.
Stattdessen übernimmt es zusehends die Geschäfte des Alltags. Darunter auch solche delikater Natur.
Es gibt Bereiche, in denen Vertraulichkeit oberstes Gebot ist. Wer beispielsweise am Geldautomaten
seine Bankgeschäfte tätigt, möchte nicht, dass ihm jemand über die Schulter schaut oder gar
die Geheimnummer stibitzt. Niemand käme auf den Gedanken, seine Einkommensteuer am Schwarzen Brett
des Finanzamts zu veröffentlichen. Wer irgendwo Bücher oder CDs erwirbt, möchte sichergehen,
dass allein der Verkäufer das Entgelt bekommt - und niemand anders unrechtmäßig die bezahlten Euro
abzweigt. Im realen Leben lässt sich das alles mit entsprechender Sorgfalt, gesundem
Menschenverstand und angemessenem latenten Misstrauen einigermaßen problemlos bewerkstelligen.
Doch was ist mit dem digitalen, uferlosen, dazu noch vollkommen anonymen Internet? In
Chaträumen nehmen die Personen wie selbstverständlich andere Identitäten an und erzählen fantastische
Lebensgeschichten. Organisierte Betrüger locken ahnungslose Bankkunden auf täuschend echt
gemachte, nur leider gefälschte Webseiten und versuchen so, an die PINs und TANs des Nutzers zu
kommen,
um mit ihnen sein Girokonto leer zu räumen. Drahtlose Netzwerke, sogenannte Wireless-LAN, offenbaren
jedem, der einen eigenen Computer dazwischenhält, was gesendet wird - die Funksignale sind
durchweg im Klartext, also unverschlüsselt, werden wie binäre Morsezeichen weithin hörbar wie eine
Rundfunksendung öffentlich ausgestrahlt und laden zum Raub der Identität förmlich ein.
Muss das so sein?
Nein. Der erste Schritt zur Datensicherheit war 1994 die Einführung von „HyperText Transfer
Protocol Secure“. Der Anwender erkennt es in der Adresszeile seines Browserfensters: dort
steht vor der Domain bzw. dem eingegebenen Webseitennamen nicht mehr „http“, sondern „https“,
je nach Hersteller meist kombiniert mit einem symbolischen Vorhängeschloss oder mit
auffallender Farbe unterlegt. HTTPS funktioniert - weil die nötigen Protokolle in der Browsersoftware
bereits werkseitig eingebaut sind - auf praktisch allen internetfähigen Computern
und macht zweierlei: es verschlüsselt die zu übermittelnden Daten meist auf 128- oder 256-bit-Stufe,
ohne zusätzliche Software auf dem Rechner zu benötigen, und prüft, ob der
Partner tatsächlich derjenige ist, der er vorgibt zu sein. Diese „Authentifizierung“ erschwert
Phishingattacken durch das Umlenken auf nachgebaute Webseiten natürlich ungemein.
Konsequenterweise wickeln gerade Geldinstitute den vollständigen Internetbankingverkehr rigoros
über HTTPS-Server ab, Auktionshäuser zumindest die Anmeldung des Nutzers, während
die Daten der Transaktionen zur Erhöhung der Rechengeschwindigkeit ohne codierte Zusatzmaßnahmen
übermittelt werden. Andere Shops wiederum überlassen es dem Anwender, ob er sich
verschlüsselt über HTTPS oder unverschlüsselt über HTTP einloggt.
Bei der Verbindung über HTTPS-Server kommt SSL ins Spiel. SSL steht für „Secure Sockets Layer“
und lässt sich leidlich mit „Sichere Verbindungsebene“ übersetzen. Vereinfacht dargestellt
passiert Folgendes: über die bestehende Leitung schiebt sich zuerst eine zweite Verbindung namens
„SSL Record Protocol“. Dieses reine Aufzeichnungsprotokoll sorgt für die Verschlüsselung
zwischen beiden Computern und prüft, ob die Daten, die auf der einen Seite eingegeben werden, genau
so auf der anderen Seite wieder herauskommen, indem es in regelmäßigen Abständen aus den gesendeten
Daten Prüfziffern errechnet, dort anfügt und den Wert an beiden Enden der Verbindung abgleicht.
Bevor die ersten Daten ausgetauscht werden, übermittelt das „SSL Handshake Protocol“
(benannt nach dem Händeschütteln zur Begrüßung) die persönlichen Identifikationsdaten der
Teilnehmer und handelt sowohl das Fragmentierungs- als auch das Verschlüsselungsverfahren aus, das
während der Verbindung verwendet werden soll. Mit anderen Worten: beide Rechner
einigen sich auf den Code und die einheitliche Größe der zu übermittelnden Datenpakete. Von nun an
fließen durch symmetrische Algorithmen (sprich Sender und Empfänger benutzen ein
und dieselbe Vorgehensweise zum Ver- und Entschlüsseln) codierte Informationshäppchen, die der
empfangende Computer jeweils decodiert, zusammensetzt und für den Nutzer lesbar macht.
Beim „Handshake“ tritt das SSL-Zertifikat in Erscheinung. Es ist eine Art digitaler Personalausweis,
der von einer Zertifizierungsstelle (englisch: Certificate Authority oder „CA“)
ausgegeben wird und einen öffentlich zugänglichen Signaturprüfschlüssel einer bestimmten Person oder
Organisation zuordnet. Diese Zuordnung wird von der Zertifizierungsstelle
beglaubigt, indem sie das Zertifikat ihrerseits ebenfalls mit ihrer digitalen Unterschrift versieht.
Mit anderen Worten: verwendet jemand im Internet einen gewissen Code, so
lässt sich daraus anhand der Zusammensetzung eindeutig herleiten und bestätigen, wer er ist.
Da der Frage, ob eine solche Identifizierung ausreicht und ob eine digitale Unterschrift im Rechtsverkehr
zur Bestätigung der Willenserklärung anzuerkennen ist, auch aus
juristischer Sicht eine außerordentliche Bedeutung zukommt - schließlich soll das Internet keinen
„Rechtsfreien Raum“ darstellen - regelt in der Bundesrepublik Deutschland
das Signaturgesetz von 2001 gemeinsam mit der Signaturverordnung alle Fragen rund um SSL-Zertifikate
und digitale Unterschriften.
Regulierungsbehörde und Oberste Zertifizierungsstelle ist die Bundesnetzagentur, die ihrerseits
bereits weitere akkreditierte (also staatlich geprüfte und mit Gütezeichen
versehene) Zertifizierungsstellen ernannt hat - hauptsächlich die Kammern von Rechtsanwälten, Notaren,
Steuerberatern und Wirtschaftsprüfern, aber auch privatrechtliche
Unternehmen wie die Deutsche Telekom, die Deutsche Post oder die DATEV erhielten eine Zulassung.
Wer sich als privater „Zertifizierungsdienstanbieter“ - so die korrekte Bezeichnung - auf dem Markt
etablieren will, hat die Aufnahme seines Geschäftsbetriebs bei der
Bundesnetzagentur anzuzeigen, benötigt aber ansonsten keine weiterführenden Genehmigungen. Er muss
jedoch nachweisen, dass er die erforderliche Zuverlässigkeit und Fachkunde besitzt, ebenfalls eine
Haftpflichtversicherung mit einer Deckung von mindestens 250.000 Euro je Schadensfall.
Darüber hinaus ist in einem umfassenden Konzept zu dokumentieren, dass er die notwendigen
Sicherheitsmaßnahmen, etwa gegen unbefugtes Eindringen in die Datenbänke oder gegen das Verfälschen
der Zertifikate, eingeplant, getroffen und auch vollständig umgesetzt hat. Dazu zählen nicht nur
die ergriffenen technischen, baulichen und organisatorischen Einrichtungen, sondern auch die
eingesetzte Soft- und Hardware einschließlich der Unbedenklichkeitsbescheinigungen ihrer Hersteller,
der Aufbau und Ablauf des Zertifizierungsverfahrens, Notfallpläne oder die Zuverlässigkeitsprüfung
der Mitarbeiter, beispielsweise durch die Einsichtnahme in deren Führungszeugnisse.
Ein solcher Anbieter darf elektronische Bescheinigungen ausstellen, welche die Identität einer
natürlichen oder juristischen Person anhand eines eindeutig zugeordneten Signaturprüfschlüssels bestätigen.
Das „qualifizierte Zertifikat“ geht einen Schritt weiter - es ist im Geschäftsverkehr die höchste
und allgemein anerkannte Form der Identifikation und gilt ausschließlich
für natürliche Personen. Die Vorgehensweise ähnelt in gewisser Weise der notariellen Beglaubigung:
wer ein solches Zertifikat ausstellt, muss den Antragsteller zuvor eindeutig
identifizieren, beispielsweise durch die Vorlage von Personalausweis oder Reisepass, notfalls anhand
seiner Geburtsurkunde. Dieses SSL-Zertifikat kann anstelle des Namens ein
Pseudonym ausweisen, zusätzliche berufsbezogene oder persönliche Angaben enthalten und auf die
Vertretungsmacht für dritte Personen hinweisen - solche Daten sind ebenfalls
anhand geeigneter Unterlagen und Bescheinigungen nachzuweisen, vom Anbieter zu überprüfen und unterliegen
selbstverständlich dem Datenschutz.
Der Antragsteller ist schriftlich darüber zu belehren, dass die elektronische Signatur im Rechtsverkehr
genau die gleichen Folgen hat, wie seine eigenhändige Unterschrift;
dies gilt auch für umfassende Informationen zu den Themen Aufbewahrung und Anwendung der digitalen
Signatur und das richtige Verhalten bei Verlust oder einem vermuteten
Missbrauch zweckdienlicher Sicherheitsmaßnahmen bei Erzeugung und Prüfung einer Unterschrift mögliche
Beschränkungen des qualifizierten Zertifikats nach Art und Umfang die
Notwendigkeit der Neusignatur bei Zeitablauf das Vorhandensein freiwilliger Akkreditierungssysteme
(siehe unten) Beschwerde- und Schlichtungsmöglichkeiten sowie das Verfahren
und die Vorgehensweise zur Sperrung eines Zertifikats mit der Angabe einer Rufnummer.
Diese Belehrung hat der Antragsteller zu unterschreiben.
Danach erhält er einen Datenträger mit seiner digitalen Signatur ausgehändigt - der Empfang ist
ebenfalls schriftlich zu dokumentieren.
Qualifizierte Zertifikate haben eine Gültigkeitsdauer von maximal zwei Jahren - SSL-Zertifikate
durchweg ein Jahr. Sie tragen eine eigene, fortlaufende Nummer, bestätigen
die Zuordnung des Signaturprüfschlüssels zu der identifizierten Person, benennen den verwendeten
Algorithmus, machen Angaben über die exakte Gültigkeitsdauer und über etwaige
Beschränkungen seiner Verwendung sowie Namen und Niederlassungsstaat des Zertifizierungsdiensteanbieters.
Wenn der Inhaber dies verlangt, ist das Zertifikat vom Anbieter
nunmehr rund um die Uhr über das Internet abruf- und nachprüfbar zu halten - damit ist die gewünschte
Identifikation und Verschlüsselung im WorldWideWeb erreicht.
Allerdings endet der Aufgabenbereich des Anbieters nicht mit der Zuverfügungstellung des Zertifikats.
Er ist vielmehr verpflichtet, die Daten und die Unverfälschtheit der Zertifikate jederzeit
nachprüfbar und unveränderbar zu dokumentieren. Dies gilt ebenfalls für seine Geschäftsprozesse:
er muss ein Archiv führen, welches nicht nur grundlegende Dinge wie sein Sicherheitskonzept,
die Führungszeugnisse seiner Mitarbeiter und die Vertragsvereinbarungen (AGBs) mit den Antragstellern
enthält, sondern auch die wesentlichen Fakten der einzelnen Zertifikate. Dazu zählen: die Ablichtung
des Identitätsnachweises, das Pseudonym, der Nachweis über die erfolgte Unterrichtung,
die Übergabebestätigung für den Datenträger, sämtliche Einwilligungen und Bestätigungen,
die sich auf die Zusatzangaben im qualifizierten Zertifikat beziehen, das ausgestellte
Zertifikat mit seinen Informationen, die etwaige Sperrung oder Auskünfte, die im Rahmen des
Datenschutzes an Behörden übermittelt wurden. Diese Angaben sind nach Ablauf eines Zertifikats
weitere zwei Jahre aufzubewahren. Stellt der Anbieter seine Tätigkeit ein, hat er dafür zu sorgen,
dass die Zertifikate von einem anderen Anbieter übernommen werden; ansonsten sind sie zu sperren.
SSL einer Domain zuweisen
Verbinden Sie ganz einfach eine Domain die Sie schützen möchten mit unserem SSL-Zertifikat.
Domain erfolgreich verbunden
So einfach gehts, ab jetzt ist Ihre Domain vor Angriffen von außen geschützt.
Kostenlose Beratung vom Team
+49 (0) 451 / 70 99 70
