Trügerische Sicherheit

Überprüfung in Echtzeit

Der Prüfvorgang läuft in Echtzeit ab, sodass keine spürbaren Verzögerungen im Netz auftreten. Außerdem bleibt die Vertraulichkeit der Daten gewahrt, weil Scip zwar den Content-Scanner in die Lage versetzt, die Inhalte zu prüfen, diese aber nicht öffentlich zugänglich macht. So lässt sich eine weitere Sicherheitslücke schließen. Sie entsteht dann, wenn Firewall-Systemen eine verschlüsselte Kommunikation vorgegaukelt wird, auch wenn diese gar nicht stattfindet. Das soll den Zugriff auf Rechner und Ports ermöglichen, die normalerweise gesperrt sind. Diese SSL-Connect-Methode verwendet unter anderem der AOL-Instant-Messenger.

Das schwächste Glied in der Sicherheitskette ist die unzureichende Überprüfung der digitalen Zertifikate, die als Beleg für die "wahre" Identität eines Webservers dienen. Die meisten Web-Browser verfügen über eine vorgegebene Liste mit vertrauenswürdigen "Certificate Authorities" (CA). Der Internet Explorer beispielsweise vertraut sage und schreibe 109 solcher CA. Alle Zertifikate einer solchen Zertifizierungsstelle werden ohne explizite Meldung akzeptiert. Ein Benutzer kann selbst dann eine verschlüsselte Verbindung zum betreffenden Webserver aufbauen, wenn ein Zertifikat abgelaufen ist oder manipuliert wurde. Nur wenige Zertifizierungsstellen bauen in ihre Certificates einen Link ein, der auf die "Certificate Revocation List" (CRL) verweist. Sie enthält die Seriennummern von Certificates, außerdem das Datum, an dem sie für ungültig erklärt wurden. Anhand dieser Listen können Clients, etwa Web-Browser, automatisch den Status eines Zertifikats überprüfen.

Der einzige Ausweg besteht darin, eine zentrale Instanz einzurichten - eine so genannte "Enterprise Validation Authority" (EVA). Sie überwacht den Aufbau einer verschlüsselten Verbindung und lässt nur solche zu, die den firmeneigenen Sicherheitsrichtlinien entsprechen (zu EVA siehe den Kasten auf Seite 16). Der Scip-Proxy ist in der Lage, die Rolle einer solchen Enterprise Validation Authority zu übernehmen und Zertifikate daraufhin zu überprüfen, ob sie noch gültig sind. Das System greift dazu auf die Certificate Revocation List (CRL) zurück. Zusätzlich unterstützt Scip das "Online Certificate Status Protocol" (OCSP), über das ein Client online bei einer Zertifizierungsstelle anfragen kann, ob ein Zertifikat in Ordnung ist. OSCP ist allerdings noch relativ neu, deshalb wird es derzeit von wenigen CA unterstützt. Die Informationen, die es bei den Abfragen über den Status von Zertifikaten erhält, legt Scip in einer eigenen lokalen Datenbank ab.