ANWENDUNG8. April 2026

D-Trust-Zertifikats­rückruf sorgt zu Ostern für erheblichen Aufwand – besonders bei Banken und Dienstleistern

Ein IT-Mitarbeiter sitzt an einem Schreibtisch mit mehreren Monitoren, auf denen eine Warnmeldung über zurückgerufene TLS-Zertifikate angezeigt wird. Um ihn herum liegen leere Getränkedosen, Kaffeebecher und bunte Ostereier.
SymbolbildGemini

Die Bundesdruckerei-Tochter D-Trust hat kurzfristig TLS-Zertifikate zurückgerufen und damit über die Osterfeiertage für erhebliche Unruhe in IT-Abteilungen gesorgt. Betroffen sind sämtliche TLS-Zertifikate, die zwischen dem 15. März 2025 und dem 2. April 2026 ausgestellt wurden. Diese verloren bereits am Ostermontag, dem 6. April 2026 um 17 Uhr, ihre Gültigkeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Vorfeld vor möglichen Ausfällen.

Nach Angaben von D-Trust bestand zu keinem Zeitpunkt ein Sicherheitsproblem. Auslöser des Rückrufs ist vielmehr ein Verstoß gegen Branchenvorgaben des CA/Browser Forums – also jenes Gremiums, das die technischen Standards für öffentlich vertrauenswürdige Zertifizierungsstellen definiert.

Es geht um Fehler in den internen Prüf- und Ausstellungsprozessen („Linting“). D-Trust räumte ein, Zertifikate über einen längeren Zeitraum nicht vollständig konform zu den geltenden TLS Baseline Requirements ausgestellt zu haben. Offenbar lag dem eine abweichende Interpretation der Vorgaben zugrunde.

Besonders ärgerlich: Der Austausch musste innerhalb weniger Tage erfolgen, um einen möglichen Vertrauensentzug („Distrust“) durch Browserhersteller und Root-Store-Betreiber zu vermeiden.

Kritik an der Kommunikation

Aus Gesprächen mit Administratoren und IT-Verantwortlichen aus dem Bankenumfeld und bei betroffenen Dienstleistern ergibt sich allerdings ein deutlich kritischeres Bild hinsichtlich des Krisenmanagements.

Der Tenor: Die Kommunikation sei zu kurzfristig, zu wenig strukturiert und in Teilen schlicht nicht sauber erfolgt.

Ein zusätzliches Problem liegt in der Vertriebsstruktur. D-Trust-Zertifikate werden häufig nicht direkt durch D-Trust selbst, sondern über Integratoren, Managed Service Provider und weitere Partner vertrieben. Entsprechend erreichte die Information viele betroffene Organisationen verspätet, unvollständig oder ohne ausreichende technische Angaben.

Mehrere Gesprächspartner berichten von erheblichem organisatorischem Aufwand über das Feiertagswochenende hinweg, um:

  • betroffene Zertifikate überhaupt erst zu identifizieren
  • Verantwortlichkeiten zwischen internen Teams und Dienstleistern zu klären
  • neue Zertifikate zu beantragen
  • kurzfristig Deployment-Fenster zu organisieren
  • potenzielle Serviceunterbrechungen zu vermeiden

Gerade in regulierten Umgebungen wie Banken oder kritischer Infrastruktur sind kurzfristige Eingriffe in produktive Zertifikatslandschaften kein triviales Admin-Thema, sondern ein operatives Risiko.

Da hilft auch mehr Regulierung nicht

Dass eine staatlich geprägte Zertifizierungsstelle ausgerechnet über Ostern einen derart kurzfristigen Austausch tausender Zertifikate auslöst, dürfte bei vielen betroffenen Unternehmen und Behörden für Irritation sorgen.Gerd Reinkimm/aj

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/242414

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert