Suchen

Instrumentalisierte Malware

Aus Stuxnet lernen und das Risiko gefälschter Zertifikate minimieren

Seite: 2/2

Firmen zum Thema

Digitale Zertifikate in den Griff bekommen

Während man sich gegen Zero-Day-Schwachstellen naturgemäß wenig schützen kann, lässt sich die Gefahr durch Zertifikate innerhalb der Netzwerk-Umgebung effektiv eindämmen. Zunächst einmal sollte man wissen, welche digitalen Zertifikate innerhalb des Netzwerks überhaupt aktiv sind.

Nur die wenigsten Unternehmen wissen um die genaue Anzahl der Zertifikate, wer sie wo installiert hat, ob sie überhaupt gültig sind und wann sie ablaufen. Übertragen auf physikalische Sicherheit wäre das so, als wenn man nicht weiß, welche Personen sich in den sensiblen Bereichen meines Gebäudes frei bewegen dürfen. Man stelle sich nur eine Bank vor, in der niemand weiß, wer eigentlich den Safe betreten darf.

Sicherlich ist dieses Beispiel etwas überspitzt. Doch analog zur Zertifikatsproblematik handelt es sich um eine schlichtweg inakzeptable Situation – und zwar für jeden, der Sicherheit auch nur ein wenig ernst nimmt. In beiden Fällen besteht ein unwägbares Risiko (unquantified risk). Der einzige Ausweg besteht darin, aktiv und kontinuierlich zu überwachen, was innerhalb der Firmen- bzw. Netzwerkgrenzen vor sich geht.

Mit einem durchgehenden Monitoring sollte man außerdem sicherstellen, dass sämtliche Zertifikate genau die Funktionen gewährleisten, für die sie vorgesehen sind. Im Rahmen entsprechender Kontrollen gilt es natürlich auch, die Zertifikate über den gesamten Lebenszyklus hinweg zu überwachen und nach ihrem Ablaufdatum zu ersetzen.

Viele Unternehmen haben hier großen Nachholbedarf, was letztlich ein unkontrollierbares Risiko (unmanaged risk) darstellt, das sich aber mit wenig Aufwand wieder unter Kontrolle bringen lässt. Stuxnet hat gezeigt was passiert, wenn man sich dieser Gefahren nicht bewusst ist oder sie ignoriert.

Zeit zu Handeln

Vor Stuxnet waren unzureichendes Wissen über Zertifikate und mangelndes Management derselben weitestgehend akzeptiert. Kaum einer weiß genau wie digitale Zertifikate funktionieren, welche Rolle sie in der IT-Sicherheit spielen und wie man sie entsprechend der Firmenvorgaben verwalten soll – oder laut Best Practice verwalten sollte.

Genau das muss sich ändern. Stuxnet sollte ein Weckruf für all jene sein, die das Monitoring und Management von digitalen Zertifikaten bislang sträflich vernachlässigt haben. Unternehmen müssen Handlungsempfehlungen und Richtlinien umsetzen, wie mit digitalen Zertifikaten umzugehen ist. Es ist an der Zeit zu handeln, bevor die Waffe Malware das Unternehmen volle Breitseite erwischt.

Jeff Hudson ist Chief Executive Officer von Venafi, einem Spezialisten für die Verwaltung digitaler Zertifikate und Encryption Keys.

(ID:2049575)