Zum Einstieg in den zweiten Tag der Black Hat 2025 in Las Vegas beschwor die ehemalige New-York-Times-Journalistin Nicole Perlroth vor der versammelten Sicherheitscommunity ein Bild wachsender Cyberbedrohungen. Angreifer zielten mit Desinformationskampagnen auf den öffentlichen Diskurs und mit „Cyberwaffen“ auf kritische Infrastrukturen wie Stromnetze, das Gesundheitswesen und die Wasserversorgung.

Öffentlich-private Partnerschaften ebenso wie KI könnten allerdings gegen zunehmend eskalierende Angriffe helfen. Die Cybersicherheitsbranche brauche angesichts der Lage den Mut, Bedrohungen zu benennen, auch wenn das Konsequenzen nach sich ziehe.

Malware, die via DNS kommuniziert, stoppen

Im Anschluss ging es dann wieder tief in einzelne Lücken, Schwachstellen und Angriffsweisen. Vedang Parasnis demonstrierte, wie DNS als Tunnel für Command-and-Control-Server (C2) ausgenutzt werden kann – und wie man solche Schadprozesse erkennen und auch killen kann. Er hat einen eBPF-Filter und einen Userland-Prozess vorgestellt, der nicht nur den DNS-Verkehr von verdächtigen Prozessen stoppen kann, sondern auch den Malware-Prozess vom Kernel aus beendet. Und wenn dieser erneut aktiv wird, werde er sofort wieder beendet.

Mit KI Schwachstellen in Software finden

Mit dem Thema AI Agents for Offsec with Zero False Positives hat es Brendan Dolan-Gavitt von XBOW geschafft, den Vortragsraum schnell zu füllen. Jeder wollte wissen, wie es ihm gelungen ist, einfach mit LLMs Schwachstellen zu finden, welche keine False-Positives sind.

Als Erstes hat er gezeigt, dass LLMs extrem viele Schwachstellen zutage fördern, welche keine sind. Ein Umstand, der viele Open-Source-Entwickler in den Wahnsinn treibt, da so extrem viele Ressourcen verschwendet werden, ohne die Projekte weiterzubringen. Dolan-Gavitts Ansatz ist ein anderer: Er nutzt die KI-Agenten, um mit Ihnen eine Art „Capture the Flag“ zu spielen.

Er baut in der Software UUID-Flags ein, welche die KI-Agenten finden sollen. So hat er durch einen KI-Bot einen Authentication Bypass bei Redmine gefunden, und in vielen anderen Web-Anwendungen XSS und andere echte Schwachstellen. Dabei unterscheidet er zwischen Business-Logik-Schwachstellen, indem er diese Flags einbaut, und Anwendungen wie Datenbanken, wo er ein Flag in die Admin-SQL-Tabelle oder eine Flag-Datei in das Filesystem legt. So kann er die KI-Agenten nutzen, um Schwachstellen zu suchen, und durch das Auffinden der Flags hat er gleich den Beweis, dass es dort eine Schwachstelle gibt, die sonst unentdeckt wäre.

Durch diese Methode hat die KI 174 echte Schwachstellen gefunden, davon sind 22 CVEs schon zugewiesen und es stehen noch 154 an. Darunter befinden sich Projekte wie GeoServer (XXE), Apache HugeGraph (RCE), Puppy Graph (RCE), Apache TomCat (XXS). Er hat aktuell immer noch einen Backlog von 650 gefundenen Schwachstellen, wobei die größte Schwierigkeit für die Forscher ist, auch die Sicherheitsverantwortlichen für das jeweilige Projekt zu finden.

Hardwarefehler in allen Intel-Prozessoren

Sandro Rüegge und Johannes Wikner von der ETH Zürich zeigten eine Lücke in Intel-Prozessoren auf. Enhanced Indirect Branch Restricted Speculation (eIBRS) ist Intels primäre Abwehrmaßnahme gegen Spectre-Angriffe im Branch Target Injection-Stil (BTI). eIBRS verhindert den Missbrauch nicht vertrauenswürdiger Branch-Target-Predictions in Domänen mit höheren Berechtigungen (zum Beispiel im Kernel-/Hypervisor-Modus), indem es Vorhersagen aus anderen Berechtigungsdomänen als der, für die sie erstellt wurden, einschränkt.

Seit seiner Einführung Ende 2018 ist eIBRS die am besten geeignete BTI-Abwehr, auf die alle gängigen Betriebssysteme und Hypervisoren setzen, und hat Angreifer bisher erfolgreich daran gehindert, beliebige Branch-Target-Vorhersagen über Berechtigungsgrenzen hinweg einzuschleusen. Die Forscher zeigen jedoch, dass mikroarchitektonische Abwehrmaßnahmen wie eIBRS, ähnlich wie Software, anfällig für Race Conditions sind. Daher demonstrieren sie eine Technik, die es Angreifern ermöglicht, diesen Schutz komplett auszuheben über alle CPU-Berechtigungsebenen und Ringe hinweg.

Bei der Zurückverfolgung des Fehlers bis zu seinem Ursprung stellten die Forscher fest, dass er seit der Einführung des eIBRS vorhanden ist. Das bedeutet, dass die Intel-Prozessoren seit Sandy Bridge sind, also seit über sieben Jahren. In einer Live-Demo führten die Sicherheitsforscher vor, dass man mit ihrem Proof of Conzept als normaler Nutzer einfach alle Speicherpages nach dem Inhalt der /etc/shadow erbeuten kann. Diese Password-Datei sollte nur dem System und root zugänglich sein. Der Kernel war ein Linux 6.8, mit allen Mitigations- und Schutzmaßnahmen aktiviert. Das ganze Paper ist hier abrufbar.

Entwickler aus Nordkorea

Unter dem Pseudonym SttyK hat ein Südkoreaner über die IT-Machenschaften des Nordkorea-Regimes berichtet. Dabei werden IT-Mitarbeiter mit falschen Pässen als IT-Dienstleister und Remote-Angestellte eingeschleust, damit sie dann für das Regime Informationen erbeuten oder Devisen beschaffen. Typisch dafür seien Bewerbungen als qualifizierter „Full-Stack-Entwickler“ zu besonders günstigen Gehaltsvorstellungen. Dabei sollte jeder Arbeitgeber oder stutzig werden, wenn Dienstleister plötzlich die Bezahlung in Kryptowährungen haben will.

Die Nordkoreaner bewerben sich auch mit gefälschten Dokumenten, und SttyK hat gezeigt, wie man diese leicht mit Open-Source-Tools erkennen kann. Normale Pässe haben immer Rauschen im Druck. Wenn die Schrift zu perfekt ist, dann liegt eine Manipulation nahe.

(axk)

Die Angst, etwas zu verpassen, bleibt ein starker Antrieb beim anhaltenden Tamtam um Künstliche Intelligenz. Alle machen doch gerade „was mit KI“. KI-Berater geben sich überall die Klinken in die Hand, um ihre Heilsversprechen zu verkünden.

Eine gut gepflegte FAQ-Seite reicht vielen Unternehmen und Behörden längst nicht mehr aus, wenn sie denn je eine hatten. Ein Chatbot muss her, haben doch jetzt alle. Auch klassische Datenbanken und Linked-Data-Lösungen sind so was von 2000er. Ohne Large Language Models mit Retrieval-Augmented Generation ist keine Unterstützung und kein Fördergeld für die notwendige Digitalisierung mehr zu bekommen, ganz egal, ob jemand genauer weiß, was die Technologie unter der Haube hat.

Es scheint, als ob vor allem die bei KI meist gemeinten großen generativen Sprachmodelle zum Selbstzweck werden. Sie werden oft eingesetzt, ohne die Funktionsfähigkeit oder die Alternativen in redlicher Weise geprüft zu haben. Über den Sinn und Unsinn, mit Deep-Neural-Net-Kanonen auf Daten-Spatzen zu schießen, wird dabei selten diskutiert.

Doch gerade der fragliche Sinn ändert auch den Blick auf die dafür notwendige oder eben nicht notwendige Infrastruktur, um die ressourcenhungrigen generativen KI-Systeme zu betreiben. Denn diese Systeme verbrauchen enorme Mengen an Energie und Wasser zur Herstellung und Kühlung der Computer in den Rechenzentren.

Wie genau der Ressourcenbedarf und die sich daraus ergebenden Umweltauswirkungen aussehen, darüber rücken die jeweiligen KI-Anbieter wenig bis gar keine Informationen heraus. Die ganz große Mehrheit der Nutzer, die mit generativer KI interagiert oder vielleicht deren Einsatz planen will, hat so gut wie keine aussagekräftigen Informationen über deren Umweltauswirkungen. Fundierte Entscheidungen zu treffen, die Energie- und Wasserverbrauch und andere Umweltfaktoren von generativen KI-Systeme mit einbeziehen, ist derzeit weitgehend unmöglich.

Amazon, Microsoft und Alphabet

Wem gehören die ganzen Rechenzentren, die Cloud-Infrastrukturen und die Hardware, auf der die generative KI läuft? Wenn man auf Europa und Nordamerika blickt, sind die aktuellen Gegebenheiten bekannt: Amazon, Microsoft und Google-Mutter Alphabet teilen den Cloud-Markt weitgehend unter sich auf.

Microsoft Azure, Amazon Web Services (AWS) und Google Cloud bedienen knapp zwei Drittel aller Cloud-Dienstleistungen. In manchen europäischen Ländern wie beispielsweise Großbritannien sind vor allem AWS und Azure sogar so dominant, dass sie zusammen über siebzig Prozent des Cloud-Markts abgrasen. Und die Erträge können sich sehen lassen: Insgesamt beliefen sich die Einnahmen im gesamten weltweiten Cloud-Markt im letzten Jahr auf etwa 330 Milliarden US-Dollar.

Es sind milliardenschwere Giganten: Jeder der drei genannten Konzerne ist ohnehin schon jahrelang in den Top Ten der weltweiten börsennotierten Unternehmen nach Marktkapitalisierung. Sie werden derzeit mit einem Börsen-Marktwert von jeweils mehr als zwei Billionen US-Dollar bewertet. Das liegt auch daran, dass sie neben dem jedes Jahr wachsenden Cloud-Geschäft ebenfalls die Besitzer vieler Rechenzentren sind. Mehr als zehntausend davon stehen vor allem in Nordamerika und Europa.

Dürfen wir Ihre Informationen durch unsere KI jagen?

Die gehypte generative KI sucht bisher noch ihre Cash Cow und hat zu den Einnahmen dieses Geschäftsfeldes nichts Nennenswertes beigetragen. Vielleicht bringen die neuen Bezahlmodelle bei generierter Programmierung mehr Umsatz. Doch auch wenn der Goldesel bisher noch fehlt, ist generative KI ein starker Antrieb für die Aufrüstung und den Neubau von Großrechenzentren. Denn auch dieses Geschäftsfeld wächst enorm: Seit dem Jahr 2020 hat sich die weltweite Anzahl der großen Rechenzentren auf mehr als 1.000 verdoppelt.

Und mit groß ist hier wirklich gewaltig gemeint: Diese mehr als 1.000 Rechenzentren für Hyperscale Computing bewegen sich in der Dimension von jeweils mehr als 50 Megawatt an elektrischer Leistung und sind jeweils mit zehntausenden von Servern bestückt. Angelehnt an den Begriff Hyperscale Computing werden sie in jüngster Zeit auch Hyperscaler genannt.

Die größten Platzhirsche sind wiederum Amazon, Alphabet und Microsoft, die mehr als die Hälfte der gesamten weltweiten Hyperscale-Rechenzentrumskapazität auf sich vereinen. Amazon hat global leicht die Nase vorn. Aber auch Meta, Apple, ByteDance sowie die chinesischen Giganten JD.com und Alibaba besitzen vom Rest der Kapazität nennenswerte Anteile. Aktuell sind weltweit mehr als 500 weitere Großrechenzentren in der Vorbereitungs- und Bauphase.

Die großen Tech-Unternehmen, darunter Alphabet und Microsoft als größter Anteilseigner von OpenAI, melden zugleich einen beispiellosen Anstieg des eigenen Ressourcenverbrauchs. Dazu wurde auch angekündigt, dass die eigenen Nachhaltigkeitsversprechen nicht erfüllt werden. Die dezidierte Begründung ist der groß angelegte Ausbau für die generative KI.

Manche sagen zu den großen Rechenzentren auch KI-Gigafactory, was sich ein mit Sicherheit technikferner Marketingspezialist erdacht haben dürfte. Hierzulande gibt es nicht allzu viele riesige Rechenzentren, die von europäischen Unternehmen betrieben werden. Allerdings ist auch bei uns ein erhebliches Wachstum der Rechenzentrumskapazitäten geplant. Laut bitkom (pdf) soll es im zwei- bis dreistelligen Megawatt-Bereich liegen. Ob jedes einzelne der geplanten Projekte auch umgesetzt wird, ist aber teilweise unsicher.

Die Hauptschuldigen für die Bremsen im KI-Rechenzentrumsboom sind schon ausgemacht: Es gibt zu viel Bürokratie, um sie hier schnell hochzuziehen. Der neue Kanzler Friedrich Merz hat dagegen schon Abhilfe durch Entbürokratisierung versprochen. Dass sich hinter dem gegenwärtigen Vorstoß zum Bürokratieabbau in diesem Bereich eher eine Lockerung des Umwelt-, Klima- und Arbeitsschutzes verbirgt, ist ein offenes Geheimnis.

Verfolgt man aktuelle Entwicklungen, wird noch eine weitere Dimension offenbar: Es geht auch um Versorgungsengpässe, sowohl bei Strom als auch bei Wasser. So soll beispielsweise das Rechenzentrum FRA7 der US-amerikanischen Firma CyrusOne gemeinsam mit E.ON bis 2029 ausgebaut werden, um zusätzliche 61 Megawatt zu bekommen. Woher die nötige zusätzliche Energie kommt, steht etwas versteckt in der Pressemitteilung: Fossiles Gas soll lokal Energie produzieren.

Das heißt ganz praktisch: Gigantische Gasturbinen sollen im Dauerbetrieb den aberwitzigen Energiehunger stillen. Und was dies bedeutet, können die Einwohnerinnen von Memphis (Tennessee) gerade schmerzlich berichten: Ein riesiges Rechenzentrum, das errichtet wurde, um Chatbots für Elon Musks KI-Wahn zu betreiben, wird mit mindestens 35 Methan-Turbinen betrieben. Nicht einmal die Hälfte davon waren überhaupt behördlich genehmigt worden.

Der KI-Zirkus brummt. Die schlechte Luft der Turbinen wird im Memphis-Fall in einer Gegend ausgestoßen, die bereits eine hohe Asthma-Rate aufweist. Saubere Luft zum Atmen scheint nicht länger ein Grundbedürfnis der Menschen zu sein, sondern offenbar ein zu nutzender Rohstoff eines unkontrolliert wachsenden Wirtschaftszweiges fragwürdigen Nutzens. Denn welches drängende Problem generative KI eigentlich löst, wird sich erst noch zeigen – vielleicht. Das tatsächlich drängende Problem der Klimakrise jedoch wird durch sie in jedem Fall noch verschärft.

Nur Google kann da noch einen draufsetzen: Der Milliardenkonzern kaufte jüngst sagenhafte 200 Megawatt Fusionsenergie, die es bisher noch gar nicht gibt. Dass man den Bär erst erlegen muss, bevor man das Fell verteilt, ist für die Tech-Bros und KI-Gläubigen auch nur noch ein überkommener Spruch.

Nicht so brillant wie von manchen erhofft

Die KI-Wachstumserwartungen

Gerade unter Leuten, die sich mit Informationstechnik auskennen und schon so manchen Hype haben kommen und gehen sehen, wird derzeit bereits milde abgewunken: Nur die Ruhe, der KI-Bohei wird vorübergehen, die Spreu sich vom Weizen trennen. Doch es sind ja keinen bloßen Gedankenspiele, was die KI-Wachstumserwartungen angeht. Denn bevor der sehnlich erhoffte KI-Technologiesprung angepeilt werden kann, müssen die Rechenkapazitäten mitsamt Kühlung, Klimaanlagen und Lüftung ja physisch tatsächlich errichtet werden.

Das führt dazu, dass genau jetzt riesige Rechenzentren in bisher ungekannter Menge geplant und gebaut werden. Ob sich die speziell für generative KI angepasste Computertechnik tatsächlich rentiert, steht auf einem anderen Blatt. Denn auch folgendes Szenario ist nicht unrealistisch: Wenn sich die derzeitige technische Entwicklung nur fortsetzt, könnte den Menschen bewusst werden, dass mehr Rechenleistung die generative KI qualitativ gar nicht nennenswert verbessert.

Denn die KI-begeisterten Milliardäre könnten auch etwas versprochen haben, was nicht eintreten wird. Die Fehlerquoten, Sicherheitsprobleme und Unzuverlässigkeiten könnten auch weiter zu hoch bleiben für einen Einsatz in Bereichen, die weniger fehlertolerant sind als die Generierung bunter Bilder. Deswegen würden Sprachmodelle nicht verschwinden und weiter auch sinnvolle Einsatzzwecke finden, allerdings nicht im versprochenen Masseneinsatz, sondern für spezifische Anwendungen.

Wenn dieses Szenario eintreten sollte, werden viele Investoren auf hohen Schulden für eine Menge gut gekühlter Gebäude voller ungenutzter und veralteter Server-Racks mit wirklich großen Energiesystemen sitzen. Und wir alle sitzen auf einem Berg Elektronikschrott.

Vergessen darf dabei nicht werden, dass auch China massiv investiert. Seit 2022 hat auch die zweite KI-Großmacht neben den Vereinigten Staaten mehr als sechs Milliarden US-Dollar in Rechenzentren investiert. Auch hier ist seither ein steigender Stromverbrauch zu verzeichnen, der bis 2030 um mehr als fünf Prozent wachsen soll.

Größtes Rechenzentrum der Welt von OpenAI

Bisher liegt die Gesamtrechenzentrumsleistung global bei etwa 55 Gigawatt, was ungefähr 480 Terawattstunden jährlich sind. Das ist angesichts von insgesamt globalen 30.000 Terawattstunden noch kein Pappenstiel, aber auch nicht gerade vernachlässigbar, wenn das drastische Wachstum, was vielfach nun angekündigt ist, tatsächlich eintreten wird.

Oracle und OpenAI bauen etwa einen ganzen KI-Rechenzentrumskomplex in Texas, der anfangs ein Gigawatt Energie erzeugt, aber das größte Rechenzentrum der Welt werden soll. Zusätzliche 4,5 Gigawatt kündigte der OpenAI-Chef bereits an. Und das neue ChatGPT-5 wurde gerade mit ordentlich PR auf die Welt losgelassen. Es wird mit reduzierten Fehlerquoten und mehr Zuverlässigkeit beworben, was durch erste Versuche aber vorerst nicht bestätigt werden konnte (siehe Bild).

Derweil frisst die explodierte Chip-Produktion für Graphikprozessoren, die für generative KI notwendig sind, längst enorme Ressourcen und erhöht den CO2-Ausstoß bereits. Der künftige Elektroschrott ist also schon auf die Reise gegangen.

Die Ausmaße des Elektronikabfalls

Big Tech kolportiert gern, dass wahre Innovation dem Entscheidungsmut einiger weniger CEOs entspränge, was auch die absurd hohen Gehälter rechtfertigen soll. Diese Darstellung unterschlägt jedoch, dass auch der Rummel um die energieintensive generative KI ohne eine öffentliche (lies: öffentlich finanzierte) Infrastruktur, die alle benötigten Ressourcen bereitstellt, nicht möglich oder zumindest sehr viel teurer wäre.

Neben den zahlreichen Subventionen, Steuergeschenken und Fördergeldern ist es eben auch die Grundversorgung aller, die wie selbstverständlich angezapft wird. Dazu zählt der bereits erwähnte exorbitante Wasser- und Energieverbrauch generativer KI. Allein bei Google stieg der Verbrauch von 12,7 Milliarden Liter Wasser im Jahr 2021 in nur drei Jahren nach eigenen Angaben auf 30 Milliarden Liter Wasser.

In letzter Zeit häufiger geforderte und zum Teil auch umgesetzte moderne Methoden zur Reduzierung des Wasserverbrauchs haben leider einen Haken: Setzt der Betreiber auf eine Kühlung von Rechenzentren ohne Wasserverbrauch, dann macht er den Betrieb deutlich energieintensiver. Und zum verbrauchten Strom in irrsinniger Menge muss auch die schon erwähnte Atemluft bedacht werden, zudem der Abfall in Hülle und Fülle.

Denn am anderen Ende der Verwertungskette sieht die Sache nicht besser aus, im Gegenteil. Die Ausmaße, die Elektronikabfall von generativer KI annehmen wird, sprengt das Vorstellungsvermögen beinahe: Einer 2024 in Nature Computational Science veröffentlichten Studie zufolge wird der Elektroschrott bis 2030 je nach Prognose-Szenario insgesamt etwa zwischen 1,2 Millionen Tonnen (konservative Schätzung mit restriktiverem KI-Einsatz) und 5 Millionen Tonnen (weit verbreiteter KI-Einsatz) wiegen. Im Vergleich zu den Zahlen aus dem Jahr 2023 ist das etwa tausend Mal mehr Elektroschrott, der allein durch generative KI produziert werden wird.

Um sich diese Masse plastisch vorzustellen, helfen vielleicht anschauliche Vergleiche: Die jährliche Gesamtmasse von 5 Millionen Tonnen Elektroschrott ist etwa wie das Wegwerfen von mehr als zwanzig Milliarden iPhones aktuelleren Datums (um die 180 g pro Stück). Jeder Mensch auf der Erde könnte pro Jahr zwei iPhones auf einen riesigen Elektroschrottberg werfen und der gigantische Abfallhaufen wäre immer noch kleiner als die Elektroschrotthalde der generativen KI.

Wegen der Tatsache, dass die riesigen Rechenzentren wesentlich in drei Gegenden der Erde konzentriert sind, werden diese Elektroschrottberge überwiegend in Nordamerika anfallen, gefolgt von Ostasien und zu einem kleineren Teil (etwa 14 Prozent) in Europa. Verklappt werden sie aber so gut wie immer woanders auf der Welt.

Zumindest die Perspektive auf das KI-Spektakel sollte sich ändern, wenn man sich die Elektroschrotthalden vor Augen führt, in die ganz aktuelle Planungen noch nicht einmal einberechnet sind. Dass der astronomisch hohe Ressourcenverbrauch und generell die ökologischen Fragen nicht mindestens mitbedacht und konkret kalkuliert werden, ist einer modernen Technologie nicht angemessen, die sich anschickt, die Welt verbessern zu wollen. In Zeiten der Klimakrise ist das schlicht unvertretbar.

Let’s Encrypt, die weltgrößte Zertifizierungsstelle im Web, hat wie geplant ihre Server für das Online Certificate Status Protocol (OCSP) abgeschaltet. Der Schritt war lange vorbereitet und der Zeitplan im Dezember 2024 festgezurrt worden. Seit dem 7. Mai 2025 stellt Let’s Encrypt keine Zertifikate mehr aus, die auf OCSP-Server zur Statusprüfung verweisen. Weil Zertifikate der Organisation maximal 90 Tage lang gültig sind, existierte zur Abschaltung am 6. August kein valides Zertifikat mehr, das noch auf die OCSP-Server verwies.

OCSP dient dem Zertifikatswiderruf. Über das Protokoll können Clients wie Webbrowser abfragen, ob ein augenscheinlich gültiges Zertifikat widerrufen wurde, etwa weil es fehlerhaft oder in falsche Hände geraten ist. Das Protokoll sollte eigentlich die schlecht skalierenden Certificate Revocation Lists (CRL) ablösen, also Listen, in denen eine Zertifizierungsstelle (Certificate Authority, CA) schlicht alle von ihr widerrufenen Zertifikate einträgt. Aber auch OCSP skaliert nicht ideal, die Infrastruktur großer CAs muss Zehn- oder sogar Hunderttausende OCSP-Anfragen pro Sekunde beantworten – möglichst schnell, damit der Webseitenabruf sich nicht zu sehr verzögert.

Hinzu kommt, dass OCSP ein Datenschutzproblem hat, schließlich erfahren die OCSP-Server einer CA laufend, welche Websites ein Client aufrufen will. Außerdem können Angreifer den Schutz von OCSP relativ leicht aushebeln.

Hohen Infrastrukturanforderungen

Maßnahmen gegen diese Schwächen waren nicht leicht fehlerfrei umzusetzen und erfuhren nie weite Verbreitung, obwohl Let’s Encrypt ursprünglich OCSP favorisierte, um die unhandlichen CRLs zu meiden. Allmählich schwenkte die CA aber doch auf solche Widerrufslisten um und begründet ihre nun vollendete Rückwärtsrolle zum Teil mit den hohen Infrastrukturanforderungen von OCSP. Wichtiger sei aber das Datenschutzproblem: Man habe zwar absichtlich nicht gespeichert, welche IP-Adressen OCSP-Anfragen für welche Domains stellten, sieht aber das Risiko, dass CAs in Zukunft gesetzlich verpflichtet werden könnten, die Daten zu sammeln.

Weil CRLs alle Widerrufe einer CA enthalten, erlaubt ihre Abfrage keine Rückschlüsse auf besuchte Domains. Inzwischen gibt es auch Fortschritte dabei, die umfangreichen Listen geschickt zu komprimieren, etwa das von Mozilla vorangetriebene Projekt CRLite.

(syt)