03. Februar 2012
Posted in Internet News

Eine aktuelle Reuters-Meldung hat es in sich: Das US-Sicherheitsunternehmen VeriSign wurde Opfer mehrerer erfolgreicher Hacker-Angriffe. Nicht gestern und nicht vorgestern, sondern irgendwann im Jahr 2010. Die Informationen von VeriSign stammen auch nicht aus einer Pressemitteilung, sondern aus einem Pflichtbericht an die US-Börsenaufsicht SEC vom Oktober 2011.

Laut diesem Bericht wurde das VeriSign-Management selbst erst im September 2011 über die Angriffe informiert. Doch das für den SEC-Bericht zuständige Management "glaubt nicht", dass die Angriffe die Sicherheit "unseres Domain Name Name System Network" verletzt haben könnten.

Na, das ist aber gut zu hören! Denn VeriSign ist für den Betrieb von zwei der 13 Root Server des Internet zuständig und verwaltet die zentralen Datenbanken (Registries) der Top Level Domains .com, .net, .gov, .name, .cc, .tv sowie (im Auftrag) von .edu und .jobs. Von der Zertifikatvergabe etwa für SSL-Verbindungen - dieser Geschäftsbereich wurde just im Jahr 2010 an Symantec verkauft - ganz zu schweigen.

Reuters zitiert dazu die Reaktion des früheren Top-Anwalts des US-Nachrichtendienstes NSA und stellvertretenden Heimatschutzministers Stewart Baker "Oh my God" (...) "das könnte es den Leuten erlauben, fast jedes Unternehmen im Internet zu imitieren". Womit der Jurist zumindest schon den Aspekt der möglichen SSL-Problematik ziemlich klar herausgearbeitet hat.

Doch die Mitteilung ist eigentlich zu ernst, um Scherze darüber zu machen. Die Meldung von Reuters, offenbar ein Zufallsfund, Monate nach der Pflichtveröffentlichung, weist auf mehrere wirklich bedeutsame Probleme hin. Angefangen bei der internen Kommunikation bei VeriSign: Wenn bei einem Unternehmen, das schon seit Jahrzenten zentrale Steuerungsaufgaben im Internet im Auftrag der US-Regierung ausübt, erfolgreiche Hacker-Angriffe erst mit einem Jahr Verzug der Unternehmensleitung bekannt werden, dann liegt entweder ein schweres Problem in der Unternehmenskommunikation vor, oder VeriSign hat im SEC-Bericht die Unwahrheit gesagt.

Verständlich wäre es, wenn eine solche Nachricht verschleppt würde, denn solche Berichte zehren an der Reputation und VeriSign ist hauptsächlich von den Einnahmen im Registry-Geschäft abhängig. Doch die Hacker-Angriffe tangieren die Sicherheit und Stabilität des Internet und das wiederum ist die Kernaufgabe der Internet-Verwaltung ICANN, die vom Auftragnehmer VeriSign offenbar auch nicht informiert wurde.

Während also die ICANN gegen den Widerstand der verschiedensten Kreise Internet-Gott spielt und neue Top Level Domains en masse produzieren will, geben sich bei VeriSign die Hacker die Klinke in die Hand.

Das mag eine verzerrte und übetrriebene Darstellung sein. Aber das eigentliche Problem ist es, dass diese Übertreibung nicht widerlegt werden kann, solange das Unternehmen keine besseren Informationen liefert. Reuters gibt dazu an, dass VeriSign mehrere Interview-Anfragen abgewiesen hat. Führende Mitarbeiter teilten aber der Nachrichtenagentur unter der Hand mit, dass sie selbst nicht mehr von den Vorfällen wissen als das, was im SEC-Bericht steht.

Das ist wirklich nicht viel. Vor allem, wenn man bedenkt, dass im gleichen Bericht sowie in allen anderen Pflichtberichten des Unternehmens die Gefahr von Hacker-Angriffen als eine der wichtigsten, die Existenz des Unternehmens bedrohenden Gefahren geschildert wird.