Interview mit Frank Steinfeldt, Verisign

Mit EV-SSL-Zertifikaten gegen das Handtaschen-Missverständnis

ITB: Seit der Internet-Explorer-Version 7 wird das URL-Feld im Browserfenster bei SSL-gesicherten Transaktionen mitunter grün, wenn die Identität des Websitebetreibers von einem Trustcenter bestätigt wird und rot, wenn Phishing-Gefahr besteht. Wie ist denn die Resonanz seitens der Unternehmen? Sind entsprechende Zertifikate gefragt?

Steinfeldt: Ja, absolut – ganz besonders im Finance Sector ist das Feedback enorm. Der Grund dafür liegt sicher darin, dass besonders im Bereich des Online-Bankings durch erfolgreiche Phishing-Angriffe auf ahnungslose und unerfahrene Endbenutzer sowohl ein erheblicher Schaden im finanziellen Sinne, aber auch im Hinblick auf das Image der Banken angerichtet wurde. Aber auch in anderen Wirtschaftsbereichen, wo Online-Applikationen und die abgesicherte Übermittlung von Daten relevant sind, reagiert man allmählich mit immer größerem Interesse. Es ist wie mit vielen neuen Technologien – die Größeren beginnen meistens zuerst mit deren Einführung, und die kleineren folgen, sobald sie eine kritische Masse erreicht haben und als Standard akzeptiert sind.

ITB: Es soll User geben, die das Schloss zur Kennzeichnung einer sicheren Verbindung im Browser für eine Handtasche halten. Versteht das Gros der Internetnutzer die Symbolik und die Farbbotschaften überhaupt?

Steinfeldt: Die einfachste und vermeintlich verständlichste Symbolik kann natürlich nur dann wirksam sein, wenn sie visuell auch wahrnehmbar ist. Ganz konkret auf Ihr Beispiel bezogen: Es kam fast immer die Reaktion »Was für ein Schloss?« oder »Wo finde ich den Organisationsnamen?« Es war also klar, dass sich das Schloss nicht an einer optimalen Position im Blickfeld des Anwenders befindet, zu klein ist, und letztlich gar nicht klar ist, dass es sich hierbei auch um einen Identitätsnachweis handelt und nach welchem Standard dieser erstellt wurde.

ITB: Was ändert sich denn alles in optischer Hinsicht?

Steinfeldt: Der Organisationsname wird durch den Browser direkt aus dem Zertifikat ausgelesen und erscheint ohne Klicken durch den User deutlich sichtbar in der Adresszeile. Im Abstand von etwa fünf Sekunden wird dieser im Wechsel mit dem Namen der Zertifizierungsstelle angezeigt. Somit wird auch der Wahl der Zertifizierungsstelle zukünftig noch mehr Bedeutung zukommen. Je nachdem, wem die Endbenutzer am meisten vertrauen, werden die Unternehmen dann ihre Zertifizierungspartner aussuchen.

ITB: Und mit der neuen Symbolik kommen die Browsernutzer klar?

Steinfeldt: Wir sind fest davon überzeugt, dass der neue Internet Explorer 7 und als nächstes auch Firefox in der Version 3 standardmäßig dieser Aufgabe deutlich besser nachkommen. Die Farbe Grün kann nicht fehlgedeutet werden. Diese Farbe steht international für »Du darfst gehen«. Das bedeutet, der Enduser wird selbst ohne Aufklärung kaum einer Fehlinterpretation unterliegen. Allerdings ist es hier wie bei einer Ampel - einen Kontrollblick würden wir immer noch empfehlen. Denn Eines dürfte uns allen klar sein: 100-prozentige Sicherheit wird es niemals geben. Das Schloss ist als Symbol geblieben, aber mehr in das Zentrum der Aufmerksamkeit in die Adresszeile gerückt. Der entscheidende Zertifikatsinhalt, den es bei Zertifikaten vieler CAs schon immer gab, aber nicht automatisch gezeigt wurde, wird direkt in der Adresszeile angezeigt. Weitere Details bis zur Adresse und Handelsregisternummer finden sich deutlich intuitiver nach weiterem »nachklicken«. Rot ist die Farbe für gemeldete Phishing-Sites und als warnende Signalfarbe ebenso unmissverständlich. Microsoft bietet mit dem IE7 heute bereits einen sehr effektiven Phishing-Reporting-Service.

ITB: Am SSL-Protokoll selbst hat sich ja nichts grundlegend geändert. War allein die neue Farbgebung das, worauf die Online-Branche gewartet hat?

Steinfeldt: Die Art und Weise, wie sich die Identität dem Enduser mit diesem neuen Zertifikatstyp darstellt, bleibt nicht auf die grüne Adresszeile beschränkt. Letztlich geht es beim Browser-CA-Forum, das sich aus Browserherstellern und Zertifizierungsstellen zusammensetzt, auch um einen Authentifizierungs-Industriestandard. Die Ausweiskomponente führte neben der sicheren Verbindung bisher eher ein Schattendasein, was das Bewusstsein darüber anging. Als Beispiel möchte ich nur einmal Domain-authentifizierte Zertifikate nennen, welche maximal dem Website-Betreiber und Zertifikatsinhaber das bestehende Nutzungsrecht einer Domain bestätigt. Dadurch weiß der Endbenutzer noch lange nicht, mit wem er dort Daten austauscht und ob es sich hierbei um ein eingetragenes Unternehmen handelt. Das Problem dabei ist für den Consumer, dass so ein Zertifikat in bisherigen Browser-Versionen auch fehlermeldungsfrei ohne Popup funktioniert, solange die Certificate Authority im Browser als anerkannt hinterlegt ist. Weiter gehende Informationen müssen mühsam über das Schloss »erklickt« werden. Das war in der Praxis zu kompliziert. Bewährt hatte sich in der Vergangenheit jedoch das SSL-Protokoll an sich, sowie der Aufbau des X509-Standards. Da sich an den rein technischen Spezifikationen rund um das Zertifikat herum nichts geändert hat, konnte man auch eine Abwärtskompatibilität sicherstellen.

ITB: Wie ausgeprägt ist die Sensibilität der Internetnutzer zu dieser Thematik?

Steinfeldt: Durch die Tatsache bedingt, dass sie sich machtlos gegenüber Phishing-Betrugsversuchen fühlen und sind, ist die Sensibilität ziemlich hoch. Es ist ja auch so: Die Verantwortung liegt definitiv nicht nur auf Seiten der Unternehmen. Ohne ein gewisses Maß an Vorsicht seitens der Endanwender sowie der damit auch verbundenen regelmäßigen Sicherheitsupdates auf ihren Systemen nützen selbst jegliche Sicherheitsmaßnahmen der Anbieter nichts.

ITB: Welche Kosten sind mit dem Zertifikat verbunden?

Steinfeldt: Die jährlichen Kosten für diesen Zertifikatstyp liegen in Abhängigkeit von Stückzahl und Version bei uns zwischen 400 und 1.595 Euro. Die Kosten sind also in etwa doppelt so hoch wie die der Standardzertifikate. Den etwas höheren Zeit- und Geldaufwand sind diese Zertifikate jedoch alle Mal wert, geben sie doch dem Enduser durch einfache und intuitive Mittel deutlich transparentere Informationen über ihren Geschäftspartner preis. Das sollte es uns zukünftig ermöglichen, das Wort Vertrauen wieder in einem Satz mit Online-Transaktionen zu nennen ohne dabei zu erröten.