Mit einer äußerst offensiven Aufforderung sorgte die kasachische Regierung unlängst für einige Aufregung: Die Internetnutzer des Landes wurden kurzerhand dazu aufgefordert, ein Programm zu installieren, um weiter das Netz nutzen zu können. Wer hinter solch einer Aufforderung eine bösartige Absicht vermutet, hat natürlich recht, verbarg sich dahinter doch nichts anderes als ein sogenanntes Root-Zertifikat, mit dem staatliche Überwacher sämtliche verschlüsselte Kommunikation des Browsers mitlesen konnten – von privaten Nachrichten über Account-Informationen bis zu Passwörtern.

Reaktion

In einer gemeinsamen Erklärung stellen sich nun Mozilla und Google klar gegen solche Manipulationen: Man werde niemals tolerieren, dass irgendeine Organisation – staatlich oder nicht – die Datensicherheit der Nutzer dermaßen kompromittiere, versichert Parisa Tabriz, Senior Engineering Director für Chrome. Bei Mozilla betont man wiederum generell den Wert von Verschlüsselung für die Integrität des Webs – und wie wichtig es ist, die eigenen Nutzer zu schützen.

Entsprechend greifen die Browserhersteller zu einer ungewöhnlichen Maßnahme: Sowohl Firefox als auch Chrome blockieren mittlerweile das betreffende Root-Zertifikat komplett. Damit ist auch die Überwachung des Datenverkehrs nicht mehr möglich. Bei Apple hat man sich dieser Initiative mittlerweile angeschlossen und ebenfalls entsprechende Anpassungen beim Safari vorgenommen.

Ausnahme

Umso überraschender kommt da die Stellungnahme von Microsoft: Der Hersteller von Internet Explorer und Edge verweist darauf, dass das Zertifikat manuell von den Nutzern installiert werden musste. Entzieht man diesem nun das Vertrauen, würde das heißen, dass die User gar keinen Zugriff mehr auf das Internet haben. Entsprechend habe man sich also gegen diese Maßnahme entschieden.

Derzeit sind solche Überlegungen allerdings Theorie: Laut Medienberichten hat Kasachstan die Überwachung des Internetverkehrs vorerst wieder gestoppt. Der Schaden ist damit allerdings bereits angerichtet, Nutzer, die das betreffende Zertifikat installiert haben, haben damit wohl auch den staatlichen Überwachern ihre Logins bereits übermittelt. Zur Schadensbegrenzung hilft dann nur mehr, sämtliche Passwörter zu ändern oder gar Accounts zu wechseln. Zudem könnte die kasachische Regierung natürlich ihre Spionageaktivitäten jederzeit wieder starten, wie Mozilla und Google betonen – weswegen man auch jetzt zu dieser Maßnahme greift. (apo, 22.8.2019)