Behörden-Websites: "Keine vertrauenswürdige Verbindung"

„Dieser Verbindung wird nicht vertraut“. Das kam am Dienstag in der Früh, wenn man etwa die Website der Finanzmarktaufsicht FMA in den Browsern Firefox sowie Chrome ansteuerte. Oder aber die Website der österreichischen Datenschutzbehörde. Oder die Website des österreichischen Wissenschaftsministerium. Oder Websites wie meinbrief.at oder e-tresor.at. Wer auf „Ich kenne das Risiko“ klickt, bekommt Folgendes angezeigt: „Selbst wenn Sie der Website vertrauen, kann dieser Fehler bedeuten, dass jemand Ihre Verbindung manipuliert.“ Vertrauen oder nicht, dürften sich jetzt manche Nutzer nach dieser Warnung fragen.

Root-Zertifikat

Die Websites sind jedoch nicht plötzlich unsicher geworden. Nutzer müssen sich auch nicht davor fürchten, dass von ihnen durch den Aufruf der Website heikle Daten gestohlen werden, sondern der Hintergrund ist rasch erklärt: In der Nacht auf Dienstag ist ein sogenanntes Root-Zertifikat von der österreichischen Firma A-Trust ausgelaufen. Dieses sorgt in der Regel dafür, dass die Verbindung als vertrauenswürdig gelistet wird.

Fehlt das Zertifikat in den Stores der Browser-Hersteller, wird der Verbindung eben nicht mehr vertraut. Dadurch lässt sich dann auch für Nutzer nicht mehr feststellen, ob eine Website falsch konfiguriert ist, oder der Nutzer gerade angegriffen wird.

A-Trust, die Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr, verkauft entsprechende Zertifikate um 240 Euro an Unternehmen, darunter eben viele österreichische Behörden. Auch help.gv.at oder sozialversicherung.at waren bis Montag Kunden der A-Trust – bis diese praktisch in letzter Sekunde auf einen anderen Zertifikatsaussteller umgestellt haben, bevor ihre Websites oben genannte Probleme bekommen. A-Trust dürfte wegen dieser Sache am Ende einige Kunden verlieren.

"Bei Microsoft sind wir niemand"

Die futurezone sprach mit dem Geschäftsführer von A-Trust, Michael Butz, über die Problematik. Laut seinen Angaben wäre das betroffene Root-Zertifikat normalerweise weiterhin gültig, wenn die Browser-Hersteller, also etwa Microsoft und Mozilla, das Zertifikat rechtzeitig verlängert hätten. „Wir zahlen viel Geld dafür, dass Wirtschaftsprüfungsunternehmen Gutachten erstellen, damit die Zertifikate verlängert werden“ , erklärte Butz.

Bei Microsoft habe man im November 2014 veranlasst, dass das Zertifikat weiterhin als gültig im dafür vorgesehenen Store gelistet werde, im Februar 2015 sei die Bestätigung von Microsoft gekommen, dass dies geschehen werde, so Butz. Bei Mozilla habe man das Zertifikat bereits ebenfalls im November 2014 angemeldet.

„Das Problem ist, dass wir keine Möglichkeit haben, Druck zu machen, dass unsere Zertifikate rechtzeitig in den Stores der Browser-Hersteller gelistet werden“, erklärt Butz. Obwohl Microsoft etwa schriftlich zugesichert habe, dass es dies erfolgen werde, habe man keine Handhabe gegen das Unternehmen. „Für Microsoft sind wir niemand. In Österreich gibt es bei Microsoft niemanden, der Zertifikats-Know-How hat und wir müssen uns immer an Redmond wenden“, so Butz.

Imageschaden für A-Trust

„Wir sind aber ein viel zu kleines Land, um etwas ausrichten zu können“, sagt Butz. Eine Klage würde man nicht in Betracht ziehen, weil sich durch die Causa zwar ein enormer „Imageschaden“ für A-Trust ergeben würde, der wirtschaftliche Schaden allerdings eher gering ausfallen würde. Wenn etwa hundert Firmen ihre Zertifikate künftig wo anders kaufen, wären das lediglich 24000 Euro Verlust. „Unser Kerngeschäft ist nicht das Ausstellen von SSL-Zertifikaten. Wir überlegen sogar, ob wir mit dem Produkt überhaupt weitermachen sollen, weil sich Kosten und Nutzen etwa in Waage halten“, erklärt Butz, der persönlich am meisten von Microsoft enttäuscht ist: „Bisher hat es bei Microsoft immer funktioniert.“

Der A-Trust-Geschäftsführer sagt auch, dass die Firma ihre großen Kunden, darunter auch diverse Behörden, bereits vor rund einem Jahr zum ersten Mal darüber per Newsletter in Kenntnis gesetzt habe, dass das Zertifikat auslaufen werde. „Allerdings juckt das meist keinen“, erklärt Butz. Verständlich, wenn das alte Zertifikat bei allen Browsern normalerweise weiterhin gültig sein wird und automatisch verlängert wird.

Neues Zertifikat hilft nicht viel

Anfang August habe man die großen Kunden dann darüber informiert, dass das alte Zertifikat möglicherweise nicht mehr bei allen Browser-Herstellern funktionieren werde. „Wir stellen innerhalb von Minuten ein neues Zertifikat aus“, sagt Butz. Blöd ist für die A-Trust dabei allerdings, dass auch das neue Zertifikat vom Browser-Hersteller Mozilla, dessen Browser Firefox bei vielen Österreichern äußerst beliebt ist, noch nicht im Store übernommen wurde – und damit auch das neue Zertifikat zu einer „nicht vertrauenswürdigen Verbindung“ führt.

Das ist jetzt etwa bei der Finanzmarktaufsicht oder bei mein-brief.at passiert. Die beiden Website-Betreiber haben auf das neue A-Trust-Zertifikat umgestellt – um dann zu bemerken, dass auch dies im Browser Firefox zu Problemen führt. Seitens der Finanzmarktaufsicht heißt es, dass das Problem bekannt sei und man derzeit an einer Lösung arbeite. Auf der Website der Finanzmarktaufsicht ist immerhin auch ein Link zum Whistleblower-Hinweisgebersystem zu finden - ein Grund mehr für die Vertrauenswürdigkeit der Website zu sorgen. Für die Behörde selbst scheint das Problem derzeit nicht gravierend zu sein. "Ich kümmere mich nur um wichtige Dinge. Das gehört nicht dazu", so der Pressesprecher.

Update 19. August, 11 Uhr: Die Website des Wissenschaftsministeriums ist seit Mittwoch wieder "vertrauenswürdig". Am späten Vormittag folgten auch die Websites der Datenschutzbehörde und der Finanzmarktaufsicht.