GlobalSign findet keine Hinweise auf von Hackern gefälschte Zertifikate

GlobalSign hat die Untersuchung eines angeblichen Angriffs des als „Comodo-Hacker“ bekannt gewordenen 21-jährigen Iraners abgeschlossen. Das belgische Unternehmen bestätigte einen Einbruch in einen Server, der seine Website hostet. Es seien aber keine Anzeichen dafür entdeckt worden, dass gefälschte SSL-Zertifikate ausgestellt wurden.

„Der kompromittierte Server war immer isoliert von unserer restlichen Infrastruktur und hostet nur die GlobalSign.com-Website“, teilte das Unternehmen mit. Man werde aber erst frühestens ab Dienstag wieder SSL-Zertifikate ausstellen und Aufträge von Kunden ausführen. „Wir entschuldigen uns für diese Verzögerung.“

GlobalSign wurde bei seinen Ermittlungen nach eigenen Angaben von Fox-IT und dem Cyber Defence Institute Japan unterstützt. „Die Tatsache, dass bisher keine Beweise für einen Einbruch gefunden wurden, schließt nicht die Möglichkeit aus, dass der Hacker GlobalSign doch kompromittiert hat“, schreibt Kaspersky-Mitarbeiter Dennis Fisher in einem Blogeintrag. „Es bedeutet nur, dass die Untersuchung keine konkreten Hinweise gebracht hat.“

In der vergangenen Woche hatte „Comodo-Hacker“ die Verantwortung für einen Einbruch bei DigiNotar übernommen, einem in den Niederlanden ansässigen Herausgeber von SSL-Zertifikaten. Als Folge des Angriffs wurden mehr als 500 gefälschte Zertifikate ausgestellt, unter anderem für Google, Facebook und Microsoft.

Zudem behauptete der Hacker, er habe sich Zugang zu den Systemen von vier weiteren Zertifikatsausstellern – sogenannten Certificate Authorities – verschafft. Namentlich erwähnte er GlobalSign und das in Israel ansässige StartCom.

SSL-Zertifikate werden für die Authentifizierung von Websites verwendet, sollen also gewährleisten, dass ein Nutzer mit der von ihm gewünschten Seite verbunden ist. Gefälschte Zertifikate lassen sich dazu missbrauchen, Anwender auf manipulierte Seiten umzuleiten. Gleichzeitig wird damit das Vertrauen in die Herausgeber zerstört.