Suchen

SSH-Entwickler Tatu Ylönen über mangelndes Key Management

Ohne Verwaltung der SSH-Schlüssel keine Sicherheit

Seite: 3/3

Firma zum Thema

Best Practices fürs Key Management

Um ein Projekt zu beginnen, das die Fehler der Vergangenheit aus der Welt schafft, benötigt man zum einen die Befürwortung und volle Unterstützung der Führungsebene. Darüber hinaus muss man verschiedene IT-Teams bilden, um den folgenden Handlungsempfehlungen nachzukommen:

  • Das kontinuierliche Überwachen (Monitoring) der IT-Umgebung hilft dabei, aktuell in Benutzung befindliche Schlüssel zu identifizieren und unbenötigte zu entfernen.
  • Dabei sollte genau analysiert werden, welche Berechtigungen jeder Schlüssel umfasst und von wo aus er genutzt werden darf.
  • Ebenso gilt es, alle Vertrauensverhältnisse zu bestimmen (Wer darf auf was zugreifen?).
  • Ein Schlüsselwechsel, beispielsweise ein regelmäßiger Austausch der Schlüsselpaare, sorgt dafür, dass kompromittierte (i.d.R. kopierte) Schlüssel nicht mehr arbeiten.
  • Alle Prozesse – von der Schlüssel-Erstellung bis hin zu ihrer Löschung – sollten sauber und konsistent ablaufen.
  • Im Idealfall werden Schlüssel automatisiert erstellt und wieder entfernt. Auf diesem Weg reduziert man die Anzahl potenzieller Administratoren auf Null und schließt menschliche Fehlerquellen aus.

Fazit

Jedem Unternehmen sollte klar sein, dass man die Verwaltung der SSH-Schlüssel nicht auf die lange Bank schieben darf. Nichtsdestotrotz weisen die SSH-Umgebungen nahezu aller Fortune-500-Firmen und vieler Behörden gravierende Sicherheitsmängel auf.

Das Thema Key Management sollte bei allen Sicherheitsverantwortlichen und Risikobeauftragten in der IT höchste Priorität genießen. Ohne Auditing und Controlling bleibt einem Unternehmen letztlich keine andere Sicherheitsoption, als den SSH-basierten Zugriff auf IT-Systeme und Daten komplett zu unterbinden. Es wird noch Jahre dauern und abertausende IT-Experten erfordern, dieses Problem aus der Welt zu schaffen.

Über den Autor

Tatu Ylönen ist der Gründer und Geschäftsführer von SSH Communications Security.

(ID:39466140)