IT-Sicherheit

Digitales Zertifikat

Der Echtheitsnachweis im Datenverkehr

von 08.08.2019
digitales zertifikat
Das digitale Zertifikat ist der Personalausweis der Online-Welt © Clker-Free-Vector-Images – Pixabay

Ein digitales Zertifikat erhöht die Sicherheit im Datenverkehr enorm und ist nicht nur bei der E-Mail-Verschlüsselung, sondern auch im Netz selbst oder bei VPN-Verbindungen relevant. 
Wir verraten, worum es sich bei einem digitalen Zertifikat genau handelt, wo es zum Einsatz kommt und weshalb Unternehmen, die bislang darauf verzichtet haben, jetzt nachrüsten sollten.

digitales zertifikat

Das digitale Zertifikat ist der Personalausweis der Online-Welt.
© Clker-Free-Vector-Images – Pixabay

Digitales Zertifikat – nur echt von der Zertifizierungsstelle

Per Definition handelt es sich dabei um einen Datensatz, der die Identität von Objekten oder Personen bestätigt und selbige durch kryptografische Verfahren überprüfen kann. Vereinfacht gesagt: das digitale Zertifikat ist so etwas wie der Personalausweis der Online-Welt. Digitale Zertifikate werden von einer entsprechenden Zertifizierungsstelle (Certification Authority) ausgestellt und werden von Rechnern auch nur in diesem Fall als „echt“ erkannt beziehungsweise eingestuft. Sowohl Betriebssysteme als auch Browser greifen dazu auf eine Liste vertrauenswürdiger Zertifizierungsstellen zurück.
Auch Format und Inhalt sind in diesem Zusammenhang klar geregelt. Öffentliche Schlüssel können mittels des Zertifikats eindeutig einem bestimmten Besitzer zugewiesen werden und enthalten unter anderem Informationen zu dessen Namen sowie zum Herausgeber, dem Verwendungszweck und der Gültigkeit.
Die Zertifizierungsstellen inklusive ihrer Rechenzentren unterliegen dabei gesetzlichen Rahmenbedingungen, die Bestandteil des Vertrauensdienstegesetzes sind.

Einsatzmöglichkeiten des digitalen Zertifikats

Digitale Zertifikate spielen beim Thema Verschlüsselung eine große Rolle. Das kann sich sowohl auf die E-Mail-Verschlüsselung, als auch auf die Verschlüsselung im Netz beziehen. Eben überall dort, wo die Feststellung der Identität des Kommunikationspartners und die Quelle der Information von hoher Relevanz sind. Grundlage dafür bilden die kryptographischen, asymmetrischen Verfahren mit öffentlichen und privaten Schlüsseln. Der legitime Besitz dieser Schlüssel wird durch das Zertifikat bestätigt.
Die Zertifikate finden vornehmlich in den folgenden Bereichen Anwendung:

  • Verschlüsselung von Webseiten mit dem Https-Protokoll
  • E-Mails nach dem S/MIME-Standard zu signieren und zu verschlüsseln
  • Digitale Signatur, um Dokumente als unverfälscht ansehen zu können
  • Identitätsprüfung bei Systemanmeldung; wenn sich zwei Rechner verbinden und vertraulich miteinander kommunizieren möchten (zum Beispiel über VPN), sichert ein Zertifikat noch weiter ab, als es ein Passwort vermag

Inhalt eines Zertifikats

Wie bereits erwähnt, gelten auch hier strikte Vorgaben. Viele Inhalte sind daher also Pflicht, nur wenige optional. Im Einzelnen müssen folgende Informationen enthalten sein:

  • Versions- und Seriennummer
  • Algorithmen, die für die Erstellung verwendet wurden
  • Name des Ausstellers sowie Inhabers
  • Gültigkeitsdauer
  • Verwendungszweck
  • Öffentlicher Schlüssel
  • Rolle der entsprechenden Zertifizierungsstelle

Sicherheitsaspekte

Digitale Zertifikate verhindern sogenannte „Man in the Middle“-Angriffe, für die asymmetrische Verfahren besonders anfällig sind. Ein Beispiel: Person A möchte Person B vertrauliche Informationen via E-Mail zukommen lassen. Person C möchte an genau diese Informationen gelangen und gibt sich mit Hilfe einer gefälschten E-Mail-Adresse als Person B aus. Sie teilt Person A ihren öffentlichen Schlüssel mit. Person A fällt auf den Trick herein, verschlüsselt und versendet die Informationen, die Person C dann abfängt und mit ihrem privaten Schlüssel öffnet.
Zertifikate können genau das verhindern. Sie schützen den Schlüssel vor Manipulation und überprüfen genau, von dem der (öffentliche) Schlüssel kommt. In unserem Beispiel würde Person A also eindeutig erkennen, dass er nicht mit Person B, sondern mit Person C kommuniziert.
Aber Vorsicht: Trotz aller Sicherheitsmechanismen kann ein digitales Zertifikat ebenso gefälscht werden wie ein Personalausweis. Gibt sich ein Cyberkrimineller glaubhaft als eine andere Person oder ein Unternehmen aus, kann er bei bei einer illegitimen Zertifizierungsstelle ein Zertifikat unter der falschen Identität beantragen. In diesem Zusammenhang ist es also wichtig, Browser, Betriebssysteme und andere Sicherheitstools regelmäßig zu aktualisieren, damit selbige auf gültige Listen der Zertifizierungsstellen zugreifen.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen