Authentifizierung und Malware-Scans

VeriSign-Siegel für vertrauenswürdige Webseiten

Das Unternehmen VeriSign hat im Rahmen des Parallels Summit mit "VeriSign Trust" ein Siegel vorgestellt, mit dem es die Vertrauenswürdigkeit von Webseiten bestätigt. Davon profitieren sollen insbesondere kleinere und mittlere Unternehmen, die ohne eigenes SSL-Zertifikat auskommen.

In erster Linie bestätigt das Siegel, dass hinter der Webseite tatsächlich ein legitimes Unternehmen steht. Außerdem verspricht VeriSign tägliche Scans der jeweiligen Webseiten, um so auch vor den Risiken durch sogenannte Injection-Attacken zu schützen. Denn wenn User sich unerwartet Malware einhandeln können, schadet das dem Ruf.

VeriSign Trust ist beispielsweise für Unternehmen gedacht, die externe Warenkorb- und Zahlungslösungen nutzen und daher nicht unbedingt ein eigenes SSL-Zertifikat benötigen. Durch die Authentifizierung des Inhabers wird sichergestellt, dass es sich nicht etwa um eine Phishing- oder anderwärtig betrügerische Seite handelt. Gerade Betreiber kleinerer Seiten sollen dank einem sichtbaren Trusted-Logo von der Bekanntheit des Namens VeriSign als Zertifikatsaussteller profitieren. Der Preis dafür liegt bei knapp 300 Dollar pro Jahr.

Inwieweit VeriSigns Siegel-Grafik für User wirklich ein Vertrauenskriterium sein kann, bleibt freilich abzuwarten. Immerhin haben Cyberkriminelle keine Hemmungen, derartige Logos einfach zu klauen und ihre Seiten mit fremden Federn zu schmücken. Diese Erfahrung mussten vor rund einem Jahr beispielsweise G Data und andere AV-Anbieter in Zusammenhang mit einer Abofallen-Seite machen.

Mit VeriSign Trust stellt der Anbieter auch einen täglichen Malware-Scan in Aussicht. Dadurch sollen Webseiten-Betreiber vor dem potenziellen Rufschaden geschützt werden, der mit Injection-Angriffen verbunden ist. Das sind Attacken, bei denen Hacker in legitime Webseiten Code einschleusen, der die PCs von Besuchern mittels Drive-by-Downloads infizieren soll. Dieses Zusatzfeature soll in weiterer Folge auch auf VeriSigns andere Angebote wie das Secured-Siegel für Seiten mit SSL-Zertikiat ausgedehnt werden.

Damit verfolgt VeriSign einen ähnlichen Schutzansatz, wie ihn auch schon verschiedene AV-Hersteller für die Betreiber von Webseiten bieten. Fraglich erscheint dabei, ob tägliche Scans im schnelllebigen Web noch ausreichen. Denn massive automatisierte Injection-Attacken, durch die binnen kurzer Zeit hunderttausende Webseiten kompromittiert wurden, haben schon im Frühjar 2008 für Aufsehen gesorgt. (pte/hal)