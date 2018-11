zu Teil 9: Zertifikate und Sicherheitsstufen

Die vorangegangenen Beiträge schilderten, wie sichere E-Mail-Kommunikation mit Hilfe von Webclients im öffentlichen Internet umgesetzt werden kann. Die Verschlüsselung wurde mit Hilfe von öffentlichen Zertifikaten realisiert. Für den privaten Unternehmensbereich kann die IT-Administration selbstsignierte Zertifikate einsetzen, um beispielsweise von einem Mitarbeiter persönliche Anmeldeinformationen abzufragen. Diese Zertifikate müssen nicht von einer vertrauenswürdigen Zertifizierungsstelle überprüft werden. Wegen der kostenlosen Anwendung sind viele Unternehmen versucht, selbstsignierte SSL-Zertifikate (Bild 49) anstatt der von einer vertrauenswürdigen Zertifizierungsstelle ausgestellten und überprüften Zertifikate zu verwenden.

Selbstsignierte Zertifikate können aber auch zur Gefahr werden. Die meisten Browser zeigen eine Sicherheitswarnung an und empfehlen dem Benutzer das Abbrechen der Verbindung. Eine Meldung wie in Bild 50 haben Sie sicherlich auch schon auf dem Bildschirm gehabt:

Die Nachricht wird im ersten Schritt bis »1.« angezeigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt an dieser Stelle, nicht weiter zu surfen. Ein Maus-Klick auf »Go to your Start page« bzw. »Zurück zur Startseite« ist ratsam.

Falls Sie allerdings sicher sein können, dass keine Gefahr besteht, klicken Sie auf Details. Keine Gefahr besteht bei isolierten, lokalen Webseiten wie des Intranets oder Webseiten zur Administration eines Geräts wie beispielsweise einem Router oder einer IP-Kamera.

Mit dem Klick auf »Details« wird der Text bis »2.« angezeigt. Die gesamte Meldung wie im Screenshot ist nun sichtbar. Der Benutzer muss noch auf »Go on to the webpage« bzw. »Laden der Webseite fortsetzen« klicken, um den Ladevorgang fortzuführen. Beim Mozilla Firefox verhält sich der Ablauf ähnlich.

Risiko der Verwendung von selbstsignierten Zertifikaten

Potentielle Nutzer werden durch die Sicherheitswarnungen vertrieben, weil sie befürchten, Schadcode herunterzuladen oder persönliche Anmeldeinformationen in fremde Hände zu geben. Der Ruf des Web-Dienstes und damit die Akzeptanz bei den Mitarbeitern werden durch die Warnmeldung geschwächt. Stellen Sie sich ein Mitarbeiterportal vor, das Verbesserungsvorschläge sicher weiterleiten soll. Neben der Vertraulichkeit Ihrer getätigten Eingaben, erwarten Sie ein stabil funktionierendes Portal. Der Aufwand für die Eingabe Ihrer brillanten Idee soll sich schließlich lohnen.

Viele Unternehmen raten ihren Angestellten, die Warnungen einfach zu ignorieren. Obwohl die Webseiten sicher sind, kann dies gefährliches Surfverhalten nach sich ziehen. Mitarbeiter, ...

