Sicherheitsexperten warnen: Zertifikatwarnungen werden häufig einfach ignoriert

In einer Studie haben Sicherheitsexperten festgestellt, dass Zertifikatwarnungen, wie sie bei dem verschlüsselten Zugriff auf Internetseiten mit SSL auftreten, wenn Unstimmigkeiten entdeckt werden, von Benutzern häufig einfach ignoriert werden.

Dies wird unter anderem darauf zurückgeführt, dass die Meldungen der Browser für die Benutzer nicht leicht verständlich sind. Die Benutzer selbst beschäftigen sich jedoch auch zu wenig mit den angezeigten Fehlermeldungen und lesen diese meist gar nicht vollständig. So bestätigten in der Studie mindestens 55% der Personen die SSL-Warnmeldungen.

Die Meldungen weisen jedoch z.B. auf mögliche Spionageversuche hin. So kann die Fehlermeldung, dass der Name der Internetseite nicht mit dem Namen im Zertifikat übereinstimmt, beispielsweise bedeuten, dass der Datenverkehr umgeleitet wird und somit trotz Verschlüsselung mitgelesen werden kann (Man-in-the-Middle-Angriff).

Sie als Besucher von Internetseiten sollten sich daher die Zertifikatwarnungen genau ansehen, bevor Sie diese bestätigen. Kontaktieren Sie im Zweifelsfall den Anbieter und erfragen Sie, ob es sich um einen Fehler handelt. Denn mit jeder bestätigten Zertifikatwarnung gehen Sie das Risiko ein, dass Ihre Daten mitgelesen werden.

Sicherlich werden Zertifikatwarnungen mittlerweile auch deshalb so leichtfertig bestätigt, da sie zum Alltag im Internet gehören. Durch technische oder organisatorische Fehler tauchen sie immer wieder auch bei seriösen Seiten auf, ohne dass ein Angriff vorliegt. So erhalten Sie beispielsweise beim Aufruf des Social-Networks Xing unter der deutschen Domain einen SSL-Fehler: https://www.xing.de. Auch Microsoft kann sich von solchen Pannen nicht freisprechen. Das Zertifikat des Internetportals www.sicher-im-netz.de lief z.B. vor einigen Monaten durch organisatorische Fehler ab. Dadurch war es kurzzeitig ungültig, was bei den Besuchern ebenfalls zu einer Zertifikatwarnung führte.