Fehlerhafte Software:Wie Dell seine Kunden gefährdet

Fehlerhafte Software: Dell-Produktion in einem chinesischen Werk in Chengdu, Sichuan.

Dell-Produktion in einem chinesischen Werk in Chengdu, Sichuan.

(Foto: IMAGO)

Der Computerhersteller hat Laptops mit einem Daten-Schloss ausgestattet - und den Schlüssel gleich mitgeliefert. Nun hat Dell ein Problem.

Von Helmut Martin-Jung

So hatte es sein sollen: Wird im Browser ein kleines Schloss in der Adresszeile angezeigt, ist die Verbindung sicher. Man ist mit der richtigen Seite etwa seiner Bank oder einem Online-Shop verbunden, und die Übertragung der Daten findet verschlüsselt statt. Doch leider wird dieses System inzwischen oft missbraucht und, schlimmer noch, von Firmen, die es eigentlich besser wissen sollten, fahrlässig umgesetzt.

Jüngstes Beispiel ist der PC-Hersteller Dell. Auf einigen Laptops hat Dell ein sogenanntes Root-Zertifikat abgespeichert, wenn man so will eine Art Schloss. Das Dumme: Den Schlüssel hat Dell gleich dazugelegt, vergleichbar mit dem Hausschlüssel unterm Blumentopf. Warum das schlimm ist? Wer sich ein bisschen auskennt, kann Schloss und Schlüssel aus dem Datenverkehr extrahieren und dann alles im Klartext mitverfolgen, was die Nutzer scheinbar sicher und verschlüsselt übertragen. Angreifer können sich damit auch als jemand ausgeben, der sie gar nicht sind - also etwa als Bank oder als Online-Shop. Da kann einem schnell das Konto leergeräumt werden.

Wem das alles bekannt vorkommt, der liegt richtig, denn schon Anfang des Jahres leistete sich Lenovo, größter PC-Hersteller der Welt, einen ähnlichen Fauxpas. Auch hier im Fokus: Ein Zertifikat samt dazugehörigem Schlüssel. Doch während es bei Lenovo darum ging, ungefragt Werbung einzublenden, wofür die Firma lächerliche 250 000 Dollar erhalten hatte, stand bei Dell offenbar der gute Wille im Vordergrund.

Schnell reagiert

Den Nutzern sollte die Pannenhilfe erleichtert werden, indem die technischen Daten des jeweiligen Gerätes übertragen wurden. So konnten die Support-Mitarbeiter im Falle des Falles gleich darauf zugreifen. Und Dell hat - anders als damals Lenovo - auch schnell reagiert und einen Weg gezeigt, wie man das Zertifikat los wird. Für alle, die sich damit weniger auskennen, gibt es ein Update, das diesen Job übernimmt.

Nicht nur durch Fälle wie diese ist das System der Zertifizierung im Internet in Misskredit geraten. Es wurde entwickelt, um Vertrauen zu schaffen, denn wenn von Rechner zu Rechner kommuniziert wird, sollte man sich ja darauf verlassen können, dass es auch der richtige Rechner ist, dem man da seine Daten sendet. Das Problem mit dem Vertrauen: Man muss der Einrichtung vertrauen, die das Zertifikat ausgestellt hat.

Doch tummeln sich mittlerweile leider Zertifizierungsstellen im Netz, die nicht vertrauenswürdig sind, wie zum Beispiel die chinesische; es wurden auch schon Zertifikate gestohlen oder welche gefälscht. Dies alles zeige, "dass das Vertrauen in Online am Zerbrechen ist", sagt Kevin Bocek von der Sicherheitsfirma Venafi, die auf die Verwaltung von Zertifikaten spezialisiert ist.

Das Problem mit solchen Sicherheitslücken: Es gibt zwar Updates, ob die Nutzer diese auch einspielen, ist eine ganz andere Frage. Viele halten es für eine theoretische Gefahr - bis das Geld weg ist. Oder kein Wasser mehr aus dem Hahn kommt. Als die Sicherheitsfirma Duo Security im Netz nach Rechnern suchte, die über die Zertifikatslücke angreifbar waren, stießen sie auf das Steuerungssystem einer Wasseraufbereitungsanlage in Kentucky.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: