​
Grafik: pixabay.com / TheDigitalArtist
​

von Dr. Marius Mertens, CISO & Jana Dornemann

Das Internet bietet uns die Möglichkeit, schnell und einfach auf eine riesige Menge verschiedener Daten zuzugreifen. So groß diese Chance ist, geht mit der Nutzung des Internets auch immer ein gewisses Risiko einher. Schnell können beim Surfen Schadprogramme auf dem PC ausgeführt und somit Viren auf den Rechner geschleust oder auf einer gefälschten Anmeldeseite Passwörter gestohlen werden.

Wenn man sich beim Surfen an einige wichtige Regeln hält, kann man diese Gefahr aber zumindest begrenzen. Eine wichtige Rolle spielt das digitale Zertifikat auf den Serversystemen. Es dient dazu, verschlüsselt mit den Systemen zu kommunizieren und diese Systeme zu identifizieren.

Wie funktioniert das Server-Zertifikat?

Serverbetreiber sollten ein digitales Zertifikat nutzen, um die Vertrauenswürdigkeit ihres Servers nachzuweisen. Dafür beantragt man die Überprüfung bei einem Zertifikatsaussteller. Dieser überprüft bestimmte Eigenschaften der Identität des Betreibers (z.B. Name und URL) und stellt anschließend das Zertifikat aus.

Welches Zertifikat ist für Administrator:innen geeignet?

Wir empfehlen ein gültiges Zertifikat aus der Hierarchie [1]  des DFN-Vereins zu nutzen.
Eine Prüfung auf die Hierarchie ist einfach durchzuführen und erhöht die Sicherheit stark.
Damit diese Prüfmöglichkeit funktioniert, müssen serverseitig ausschließlich Zertifikate der gewählten Hierarchie verwendet werden. Um dies zu gewährleisten, sollten die Empfehlungen verbindlich umgesetzt werden.

Weitere Informationen dazu findet ihr in der Datei Empfehlungen zur Auswahl digitaler Zertifikate auf Serversystemen vom CISO.

Und hier findet ihr alle Informationen zur Beantragung eines Serverzertifikats.

Was heißt das für die User?

Die Verwendung eines digitalen Zertifikats ist schön und gut. Es hilft aber nur, wenn wir als User auch überprüfen, dass es sich bei der Gegenstelle um das gewünschte System handelt.

Ein häufiger Anwendungsfall dafür ist die Identifikation von Websites anhand ihrer URL. Angreifer nutzen Tippfehlerdomains oder ähnlich lautende Namen, um vorzutäuschen, dass es sich um die gewünschte Website handelt (z.B. uni-dulsburg-essen.de statt uni-duisburg-essen.de). Das bloße Vorhandensein eines Zertifikats hilft bei der Identifikation in diesem Zusammenhang nicht weiter, da auch für die Tippfehlerdomain ohne Probleme ein gültiges Zertifikat beantragt werden kann. Deshalb ist es immer wichtig, auch die URL zu prüfen. Dass das aber nicht immer so einfach und eindeutig ist, zeigt das obige Beispiel.

Wenn ein Zertifikat vom DFN-Verein genutzt wird, ist das schonmal ein Zeichen dafür, dass es sich wahrscheinlich auch um das gewünschte oder zumindest ein vertrauenswürdiges System handelt. Ein solches Zertifikat erhalten nämlich nur Mitglieder des DFN-Vereins.

So könnt ihr das Zertifikat auf einer Website abfragen:

​
​

Trotzdem heißt es immer die Augen offen zu halten und bei Unsicherheiten lieber einmal zu viel als zu wenig beim Support nachfragen.

Außerdem ist es sinnvoll, regelmäßig das Behören-IT-Sicherheitstraining zu durchlaufen, um das eigene Wissen aufzufrischen.

Last but not least: Auch ein persönliches Zertifikat für E-Mails und PDF-Dokumente erhöht die Sicherheit für die gemeinsame Zusammenarbeit.
Wie’s funktioniert, lest ihr hier.