Die Bundesdruckerei-Tochter D-Trust GmbH hat kurzfristig eine große Anzahl ausgestellter TLS-Zertifikate zurückgerufen. Betroffen sind alle Zertifikate, die zwischen dem 15. März 2025 und dem 2. April 2026, 10:45 Uhr ausgestellt wurden – diese haben seit Ostermontag, dem 6. April 2026, 17:00 Uhr, ihre Gültigkeit verloren. Das BSI rief alle betroffenen Kunden auf, unverzüglich neue Zertifikate zu beantragen. Neben Webseiten können auch weitere Dienste wie MDM-Verbindungen oder Teile der Telematikinfrastruktur im Gesundheitswesen betroffen sein.

Was ist passiert?

Auslöser des Rückrufs ist kein Cyberangriff, sondern ein Verstoß gegen technische Vorgaben des CA/Browser-Forums, dem international anerkannten Regelwerk für Zertifizierungsstellen. Seit dem 15. März 2026 gilt eine neue Obergrenze für die Gültigkeitsdauer von TLS-Zertifikaten: maximal 200 Tage. D-Trust hat nach eigenen Angaben den internen Ausstellungsprozess nicht rechtzeitig an diese Vorgabe angepasst, sodass mehrere ausgestellte Vorzertifikate (sogenannte Pre-Certificates) die erlaubte Laufzeit überschritten. Diese Verstöße wurden in den öffentlichen Certificate Transparency Logs sichtbar – einem Kontrollmechanismus, der genau solche Abweichungen aufdecken soll. Um einen drohenden Vertrauensentzug (Detrust) durch Browser-Hersteller zu verhindern – was alle D-Trust-Zertifikate aus den Root-Stores der Browser entfernt hätte – war der kurzfristige Rückruf unausweichlich.

Warum ist das für Unternehmen relevant?

TLS-Zertifikate sind vergleichbar mit amtlichen Ausweisen für Webserver: Sie belegen gegenüber dem Browser des Nutzers, dass eine verschlüsselte Verbindung tatsächlich mit dem richtigen Server aufgebaut wird. Läuft ein abgelaufenes oder widerrufenes Zertifikat weiter, zeigen Browser Sicherheitswarnungen an und verweigern den Verbindungsaufbau – Websites und interne Dienste werden für Nutzer schlicht unerreichbar. Besonders kritisch: Betroffen sind laut BSI auch Institutionen der Bundesverwaltung, und das ITZBund hat bestätigt, mit Hochdruck an der Ablösung zu arbeiten. D-Trust versorgt darüber hinaus Teile der Gesundheits-Telematikinfrastruktur mit Zertifikaten, was die Reichweite des Vorfalls über reine Webseiten hinaus ausdehnt.

Einschätzung

Der Vorfall ist kein Einzelfall in der Branche, verdeutlicht aber exemplarisch, wie stark moderne IT-Infrastrukturen an internationale Standards gebunden sind. Schon formale Abweichungen bei der Zertifikatsausstellung können umfangreiche Notfallmaßnahmen auslösen – mit direktem Betrieb bei Behörden, Kliniken und Unternehmen. Die extrem kurze Frist über die Osterfeiertage hat den Druck auf IT-Abteilungen zusätzlich verschärft. Das Ereignis unterstreicht die Notwendigkeit eines professionellen, automatisierten Zertifikatsmanagements (Certificate Lifecycle Management), das Ablaufdaten und Compliance-Anforderungen kontinuierlich überwacht.