Schlüsseldienste im Visier

Haftung von Zertifizierungsstellen für falsch ausgestellte SSL-/TLS-Zertifikate

Wissen | Recht

Im Zusammenhang mit der Adware „Superfish“ fiel auf, dass Zertifikate für verschlüsselte Datenkommunikation gefälscht werden können. Schon 2011 gelang es Hackern, die Zertifizierungsstellen DigiNotar und Comodo anzugreifen. Wofür müssen die Betreiber solcher Stellen im Zweifelsfall geradestehen? Wie sieht es mit der Haftung von Softwareanbietern aus? Die neue EU-Signaturverordnung schafft hier eine ungewohnte Rechtslage.

Verschlüsselung soll im weltweiten Datennetz dafür sorgen, dass Kommunikationsinhalte geheim bleiben und Unbefugte weder Inhalte noch deren Herkunft unbemerkt manipulieren. Das TLS-Protokoll (Transport Layer Security), das nach seinem Vorgänger auch „SSL“ (Secure Sockets Layer) genannt wird und insbesondere im Web bei der HTTPS-Kommunikation eingesetzt wird, nutzt von Zertifizierungsstellen ausgestellte digitale Zertifikate, mit denen Website-Betreiber sich ausweisen.

Der Fall, der im Februar dieses Jahres das Vertrauen von Internet-Anwendern in TLS-Zertifikate erschütterte [1], betraf allerdings keine Zertifizierungsstelle: Der Hersteller Superfish hatte seine gleichnamige Adware in die Lage versetzt, sich in die Kommunikation zwischen PC und Internet einzuklinken und in die aufgerufenen Webseiten in Echtzeit Werbung einzublenden. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige
Anzeige