TeleTrusT und Microsoft tun was gegen Phishing. Die Lösung ist so einfach, man hätte schon viel früher darauf kommen können. Und so falsch, dass man besser nie darauf gekommen wäre. Das Schlangenöl des Tages: Extended-Validation-Zertifikate. Das sind besondere SSL/TLS-Serverzertifikate.

SSL/TLS erfüllt mehrere Funktionen. Eine davon ist der Identitätsnachweis für die Endpunkte des gesicherten Kanals zum Schutz vor Man-in-the-Middle-Angriffen. Dazu muss wenigstens einer der beteiligten Kommunikationspartner über ein kryptographisches Zertifikat verfügen und dessen Besitz beim Verbindungsaufbau nachweisen. Das funktioniert in beide Richtungen. In der Praxis nutzt man im Web in der Regel Serverzertifikate, die clientseitig verifiziert werden. So braucht man nur ein Zertifikat pro Website statt eines pro Nutzer.

Wie so viele Sicherheitsmechanismen löst SSL/TLS keine Probleme, sondern verlagert sie nur dorthin, wo man glaubt, besser mit ihnen umgehen zu können. In diesem Fall auf denjenigen, der das Zertifikat prüfen muss. SSL/TLS löst allerlei Probleme, aber nur unter der Randbedingung, dass das Serverzertifikat bei jeder Verbindung gewissenhaft und korrekt geprüft wird. Ist diese Bedingung nicht erfüllt, wird das Protokoll wertlos, die Verbindung ist dann nicht sicherer als eine ohne SSL/TLS.

Genau an dieser Stelle setzen Phishing-Angriffe an. SSL/TLS verhindert solche Angriffe im Rahmen seiner Möglichkeiten, das heißt so zuverlässig, wie die Randbedingungen erfüllt sind, das Zertifikat geprüft wird. Diese Aufgabe liegt allein beim Nutzer, und dort scheitert SSL/TLS. Andernfalls hätten wir von Phishing nie etwas gehört, denn alle Banken setzen im Web SSL ein.

Was ändert nun Extended Validation daran? Wenig. Sehr wenig. Der Nutzer erhält genau ein Bit an zusätzlicher Information, übermittelt als Farbcode in der URL-Zeile: »Die Angaben in diesem Zertifikat wurden besonders gründlich geprüft.« Oder anders gesagt: »Das stimmt aber wirklich!« Dieses Bit nützt ihm wenig. Vor allem, wenn er das Zertifikat gar nicht genau prüft. Oder nicht mal merkt, dass kein Zertifikat ist, wo eines sein sollte. Oder er sich von einer Phishing-Mail einreden lässt, etwas sei abgestürzt, er müsse seine Daten neu eingeben, ach, und wegen das Absturzes könne gerade kein Zertifikat angezeigt werden. In all diesen Situationen hilft Extended Validation nicht. Eine empirische Untersuchung gibt es dazu auch, obwohl sie eigentlich überflüssig ist.

Extended Validation mag ein interessantes Geschäftsmodell für die Verkäufer von Zertifikaten sein. Gegen Phishing hilft es nicht. Soll es wohl auch gar nicht:

»Phishing, der „Passwort-Raub“, hat sich in kürzester Zeit zu einer der größten Bedrohungen für das Vertrauen in online-basierte Geschäftsmodelle entwickelt.«

Zu diesem Bedrohungsmodell passt Extended Validation allerdings hervorragend. Fragt sich nur, ob man wirklich das Vertrauen erhöhen möchte, ohne die Risiken zu mindern.