Zertifizierungsstellen im Interview: Comodo
Comodo gehört zu den Pionieren der Verschlüsselung bzw. der Zertifizierungsstellen. Der CA haben wir nicht nur SSL-Zertifikate zu verdanken, sondern auch diverse Engagements die Sicherheit im Web betreffend. Sie lesen heute spannendes rund um die Entwicklung des Sicherheitsanbieters und wir sind mit Melih Abdulhayoğlu, dem Geschäftsführer, ins Gespräch gekommen.
Comodo Group, Inc. – einige Basisdaten
Die Unternehmensgruppe Comodo Group, Inc. stellt neben Software auch SSL-Zertifikate bereit. Den Hauptsitz in Clifton, New Jersey, USA, ergänzen verschiedene Zweigniederlassungen in aller Herren Länder, beispielsweise in der Türkei, in Großbritannien, Rumänien oder China. Mit einem gigantischen Marktanteil von 40,7 % (Stand: April 2016, Quelle: w3techs.com) ist die CA weltweit der größte Aussteller von SSL-Zertifikaten. Die Unternehmensgruppe teilt sich auf in diese Geschäftsfelder:
- Comodo CA Lmtd: die CA stellt SSL- und weitere digitale Zertifikate aus und sitzt in Manchester, GB.
- Comodo Security Solutions, Inc: in diesem Geschäftszweig liegt der Fokus auf dem Entwickeln von Computerschutzsoftware sowie Netzschutzdienstleistungen. Neben Unternehmen sind auch Privatpersonen Zielgruppe. Hauptsitz des Geschäftszweigs ist Clifton, USA.
- DNS.com: in diesem Zweig bietet Comodo eigene DNS-Server an. Hauptsitz ist Louisville Ky, USA.
Neben Comodo SSL sind weitere bekannte Produkte mit der Desktop-Freeware Comodo Internet Security (CIS), der gratis Antivirensuite Comodo Antivirus oder mit Comodo Backup, einem Cloud-basierten Backup-Tool, gegeben.
Mission der Comodo Group, Inc.
„Creating Trust Online“ – mit diesem Slogan wirbt Comodo, und dass sich das Thema Vertrauen durch sämtliche Bereiche bei der Sicherheitsfirma zieht, können Sie gut in unserem Interview nachvollziehen. Dieser Slogan zeigt gleichzeitig die Mission von Comodo: Vertrauen schaffen, Vertrauen gewinnen. In Rekordzeit hat das World Wide Web unsere Art zu kommunizieren revolutioniert, davon ist das Unternehmen überzeugt. Jedoch: mit den Innovationen kommen auch die Risiken. Comodo sieht sich selbst als Unternehmen, das auf Vertrauen basiert: das Vertrauen, dass jedwede digitale Transaktion eine integrierte Schicht an Vertrauen und Sicherheit haben muss.
Heute vertrauen tausende von Firmen und Organisationen Comodos Technologien rund um die Authentifizierung, Validierung und um das Sichern des Wertvollsten, nämlich Informationen. Nicht nur Unternehmen und Organisationen möchte die Sicherheitsfirma ansprechen, sondern auch Privatpersonen. Denn Comodo ist überzeugt: jeder hat das Recht auf eine zuverlässige und sichere Umgebung. Comodo sieht es als seine eigene Aufgabe, ja sogar als Lebenswerk, die technischen Lösungen zum Erreichen dieses Rechts zur Verfügung zu stellen.
Geschichte der Comodo Group, Inc.
Melih Abdulhayoğlu, der bis heute CEO ist, gründete Comodo im Jahre 1998 in Großbritannien; der Hauptsitz zog 2004 in die Vereinigten Staaten. Im Jahr 2001 veröffentlichte Comodo sein erstes E-Mail-Sicherheitszertifikat. 2002 war das Geburtsjahr der Marke „Instant SSL by Comodo„; die Sparte der Low Cost-SSL-Zertifikate war intern geboren. Nur zwei Jahre nach der erstmaligen Ausstellung eines Sicherheitszertifikats, nämlich im Jahre 2003, verdiente sich Comodo die Anerkennung von WebTrust; einem unter anderem CA-prüfenden Verbund der Behörden American Institute of Certified Public Accountants (AICPA) und Canadian Institute of Chartered Accountants (CICA).
Eine neue Zweigniederlassung in Japan eröffnete für Comodo ab 2004 den zweitgrößten SSL-Markt der Welt. Mit der Personal Firewall wollte Comodo ab 2005 mehr für die Sicherheit tun, ergänzend dazu folgte im Jahr 2006 mit Hackerguardian ein effizienter Schutz vor Hackern. Da Authentifizierung ein großes Thema für Comodo ist um Vertrauen zu gewährleisten, wurde das SSL-Zertifikats-Portfolio im Jahre 2007 um die Extended Validation SSL-Zertifikate ergänzt. Seither hat Comodo sämtliche Arten der Validierung im Programm: domain- und organisationsvalidiert sowie Extended Validation, also die erweiterte Validierung mit den branchenhöchsten Sicherheitsstandards.
2008 startete Comodo in der Volksrepublik China, wo heute mehr als 120 der insgesamt über 1.100 Comodo-Mitarbeiter beschäftigt sind. Im selben Jahr überarbeitete der Sicherheitsanbieter die hauseigene Internet Security Suite. Dass sich Comodo auch über die Firmengrenzen hinweg engagiert, zeigte die Initiierung der Gründung des common computing security standards forum (ccssforum) im Jahre 2009: verschiedene Organisationen haben sich in diesem Forum zusammengefunden, um Internetsicherheit weiter zu standardisieren und Malware den Garaus zu machen – oder zumindest zu eliminieren.
2011 durfte sich der Comodo-Geschäftsführer Melih Abdulhayoğlu über die Auszeichnung „Unternehmer des Jahres“ freuen. Der Award würdigt das innovative Nutzen von Technologie, die die Kundenerwartungen übertrifft und die Probleme der Kunden löst. Im Dezember 2012 war der Umzug in die US-Hauptniederlassung in Clifton komplett und das Unternehmen veröffentlichte diverse Apps für mobile Sicherheit: Mobile Security, Battery Doctor, Anti-theft sowie cCloud. Weiter veröffentlichte das Unternehmen in 2012 den Web Inspector, das Antispam Gateway, die DNDStation sowie den Browser Ice Dragon.
2013 wurde die Sicherheitssuite Internet Security 6 nicht nur veröffentlicht, sondern sie setzte sich gegen 36 weitere Sicherheitslösungen durch und schaffte den ersten Platz im Matousec-Softwaretest. Auch AV-Test hat die Comodo-eigene Anwendung getestet und mit dem Urteil „Perfect for Protection“ für gut befunden. In 2014 hat die Zertifizierungsstelle weltweit mehr als 1,4 Millionen SSL-Zertifikate ausgestellt.
Innovationen aus dem Hause Comodo
Die unterschiedlichen Geschäftszweige der Comodo Group haben diverse Innovationen hervorgebracht. Einige davon sind:
- Default-Deny Protection™: mit dem Default-Deny Protection-Feature überarbeitete Comodo die Internet Security Suite von „Default allow“; also Programme, die auf keiner schwarzen Liste geführt werden, werden ausgeführt; hin zu „Default deny“; also alle Programme werden verweigert, es sei denn, sie werden auf einer Whitelist geführt. Ziel dieses Paradigmenwechsels war es, durch präventiven Schutz die Malware-Abwehr effizienter zu gestalten.
- Content Verification: Comodo hatte das Ziel, Phishing und Identitätsdiebstahl bei Websites zu verringern – und zwar mit Content Verification Certificates (CVCs; Inhalts-Prüf-Zertifikate). CVCs nutzen x.509-Zertifikate, um sensible Inhalte auf einer Website zu behalten, also beispielsweise Firmenlogo, Login-Seiten, Kreditkartendaten oder um Zugehörigkeits-Logos mit Domain-Infos zum Standort zu verknüpfen. Sie können sich das ähnlich vorstellen wie holographische Logos auf offiziell lizenziertem Merchandising-Material: greifen User auf legitime Websites zu, wird ein auffälliges „authentifiziert von Comodo“ eingeblendet. Die CVC ist nicht übertragbar und deshalb nicht in betrügerische Websites kopierbar. Benutzer werden bei fehlender Überprüfung alarmiert und können die gefälschte Site verlassen.
- Session Certificate/ Sitzungszertifikate: als einer der führenden Anbieter von Sicherheitszertifikaten versteht Comodo sowohl die Vorteile als auch die Herausforderungen, die die PKI-gesicherte/-authentifizierte E-Mail mit sich bringt. Um eine der wichtigsten Herausforderungen innerhalb dieser Technologie zu überwinden, entwickelte das Security-Unternehmen einmalig gültige Sitzungszertifikate, die bereits vor der eigentlichen E-Mail-Kommunikation ausgetauscht werden. Wenn der Empfänger kein digitales Zertifikat vorzeigen kann, generiert Comodo Secure E-Mail automatisch ein einmaliges Sitzungszertifikat, verschlüsselt damit die Nachricht und gibt dem Empfänger die Möglichkeit zum Entschlüsseln, um den Inhalt sehen zu können.
- Extended Validation SSL: Comodo war einer der ersten, die erkannten, dass das Vertrauen in die einstigen SSL Gold-Produkte schwand. Aus dieser Erkenntnis heraus entstand für den Verschlüsselungs-Pionier die Notwendigkeit für ein standardisiertes und strenges Validierungsverfahren und für eine neue, auffällige Art, SSL-verschlüsselte Sicherheit anzuzeigen, also für Nutzer sichtbar zu machen. Mit der Gründung des CA/Browser Forums konnte ein neuer Standard zum Validieren verankert und die Extended Validation-Zertifikate geboren werden. So entstand auch die grüne Adressleiste neben dem Vorhängeschloss auf Websites, die via EV-Zertifikat abgesichert sind.
Comodo-CEO Melih Abdulhayoğlu im Interview
Wie Sie sehen, blickt die Zertifizierungsstelle auf eine lange, innovative Geschichte zurück. Melih Abdulhayoğlu war und ist bis heute Geschäftsführer der Comodo Group; er stand uns für unser Interview Rede und Antwort – an dieser Stelle ein herzliches Danke dafür! Neben dem common computing security standards forum ist Abdulhayoğlu Mitgründer des CA/Browser Forums. Beides sind Zusammenschlüsse diverser Branchenvertreter, die sich der Aufgabe gegenüber sehen, neue Standards zu schaffen, um die Sicherheit im Internet voranzutreiben, sowie Malware zu minimieren. Einer der Standards, die sich durch Abdulhayoğlu weltweit etablierten, war die strenge und umfangreiche Validierung bei EV-Zertifikaten, um ein großes Plus an Sicherheit und Vertrauen zu schaffen.
PSW GROUP: Was ist im Jahr 2016 die größte Herausforderung in der Verschlüsselung?
Melih Abdulhayoğlu (MA): Entschlüsselung! Insbesondere in Verbindung mit der Glaubwürdigkeit in Verschlüsselung. Angesichts dessen, was zwischen Apple und der US-Regierung geschieht, müssen wir Vertrauen in die Verschlüsselung gewährleisten und Verschlüsselung nicht mit einfacher Entschlüsselung gleichsetzen.
PSW GROUP: Wie stehen Sie zu der Initiative Let’s Encrypt?
MA: Analysieren wir, was die Initiative bringt:
a) kostenfreie 90-Tage-Zertifikate
b) Automatisierte Zertifikatsbeschaffung
Zu a), den kostenfreien Zertifikaten mit 90 Tagen Laufzeit: Comodo gibt bereits seit mehr als sieben Jahren kostenfreie 90-Tage-Zertifikate aus (lacht) und da sind auch noch genügend andere CAs, die kostenfrei Zertifikate ausstellen. Wir begrüßen es, dass Let’s Encrypt unser Geschäftsmodell mit den 90-Tage-Zertifikaten kopiert. Ich meine, sie könnten sich auch für 30 Tage oder für Eintagszertifikate entscheiden, aber wir freuen uns, dass sie unserem Comodo-Weg folgen und kostenfreie Zertifikate für 90 Tage ausstellen. Ein Angebot, das Comodo vor sieben Jahren eingeführt hat.
Zu b), den automatisch generierten Zertifikaten: Die größten Nutzer von Zertifikaten sind Webhoster und CDNs. Beide erfreuen sich bereits an entsprechenden Tools in ihren bestehenden Control Panels. Daher wird die Benutzung des Tools für die Mehrheit des Marktes umstritten; es gibt bessere Alternativen. Die Hauptnutznießer von LE scheinen die CDNs zu sein, und die sind glücklich, einen Zugang zu „billigeren“ Zertifikaten zu haben als Jahr für Jahr Millionen von Dollar in eine PKI-Infrastruktur zu investieren; und natürlich würde man erwarten, dass die Nutznießer dieser Dienstleistung die Zeche zahlen.
Eines der Probleme bei Let’s Encrypt wird der Betrug sein. Weil es bei Let’s Encrypt keine Möglichkeit gibt die ausgestellten Zertifikate zu widerrufen, können betrügerische Seiten während der Zertifikatslaufzeit mit einem validem Zertifikat versehen sein und somit Schaden anrichten.
PSW GROUP: Vielfach ist in Internetforen, in Blogs oder anderen Medien zu lesen, SSL-Zertifikate sollten kostenfrei ausgestellt werden; Validierungsstufen seien lediglich der Versuch von Zertifizierungsstellen, Geld zu kassieren. Wie begegnen Sie diesem Vorwurf?
MA: Bildung bzw. Aufklärung ist hier ein wichtiger Aspekt. Es stellt sich doch folgende Frage: „Warum sollte man etwas verschlüsseln, wenn man nicht weiß, vor wem man verschlüsselt?“ Stellen Sie sich vor, Sie würden Daten für die Person verschlüsseln, die Sie eigentlich meiden möchten. Verschlüsselung ohne Authentifizierung (also Authentifizierung der Endeinheit) ist unbrauchbar! Nutzlos deshalb, weil Sie keine Ahnung haben, wer Ihre Daten am anderen Ende empfängt. Dies ist ein sehr komplexes Thema, und um das zu begreifen, braucht es Aufklärung.
PSW GROUP: Wieso lassen sich Ihrer Meinung nach verhältnismäßig wenige Menschen und Unternehmen auf Verschlüsselung ein? Was muss sich ändern, damit Verschlüsselung endlich massentauglich wird?
MA: Technologie wird zuerst da angenommen (blaue Linie), wo die Verwundbarkeit (rot) am höchsten ist. Wir alle kennen diese „Oh nein!“-Momente. Dann versuchen wir, die Verwundbarkeit mit dem Verbasteln von Sicherheit zu reduzieren. Wir bauen auf mehr Vertrauen im Internet und leiden unter diesen „Oh nein!“-Momenten, wir möchten die Sicherheit und Verschlüsselung weiterhin erhöhen. Das erscheint seltsam. Die Verschlüsselung muss doch in die Struktur des Internets integriert und nicht nachträglich drumherum und drüber gebaut werden.
PSW GROUP: Ist Verschlüsselung Ihrer Meinung nach Aufgabe der Politik, der Wirtschaft oder des Verbrauchers?
MA: Siehe Antwort drei: es braucht Aufklärung.
PSW GROUP: Was zeichnet das Angebot Ihrer Zertifizierungsstelle aus? Was unterscheidet Ihr Unternehmen von Mitbewerbern?
MA: Vertrauen. Comodo war immer auf der Seite des Verbrauchers und des Kunden und gab ihm innovative Technologien an die Hand. Als Resultat schenken uns unsere Kunden und Nutzer ihr Vertrauen. Das Vertrauen von Kunden und Anwendern zu verdienen ist der wichtigste Punkt für jede Security-Firma und das unterscheidet Comodo von anderen.
PSW GROUP: In unserem Berufszweig ist Vertrauen unglaublich wichtig. Warum vertrauen Kunden Ihrem Unternehmen?
MA: Transparenz! Wir verfolgen sozusagen einen „verantwortungsvollen Offenlegungs-Leitfaden“. Vertrauen kann nur erworben, nicht gekauft werden. Und man verdient Vertrauen über Engagement. Comodo ist die größte Zertifizierungsstelle und das haben wir NUR durch natürliches Wachstum geschafft. Heißt: unsere Kunden vertrauen darauf, dass wir unser Business Jahr für Jahr weiterführen. Ohne das Vertrauen unserer Kunden wäre da nichts.
PSW GROUP: Wie schätzen Sie die Probleme ein, die in der Wirtschaft durch unverschlüsselte Kommunikation entstehen?
MA: Die unverschlüsselte Kommunikation verursacht noch nicht genügend Bauchschmerzen (lacht). Ich frage die Leute immer folgendes:
Wie viel Prozent Ihrer E-Mails sollten verschlüsselt sein? – Sie sagen: nicht viele, ich habe nicht so viele vertrauliche Dinge zu kommunizieren. Dann stelle ich eine weitere Frage: Wie viel Prozent Ihrer E-Mails würden Sie öffentlich machen? Und die Menschen antworten: null.
Dann erinnere ich sie: Sie haben erst gesagt, Sie möchten nicht all Ihre E-Mails verschlüsseln … aber im nächsten Atemzug haben Sie gesagt, Sie möchten keine Ihrer E-Mails veröffentlichen.
Dann lächeln Sie … und haben’s verstanden.
Schreibe einen Kommentar