:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
SSH-Entwickler Tatu Ylönen über mangelndes Key Management Ohne Verwaltung der SSH-Schlüssel keine Sicherheit
Secure Shell, kurz SSH, ermöglicht authentifizierte und verschlüsselte Verbindungen über ein unsicheres Netzwerk. Doch mit der Verschlüsselung allein ist es nicht getan, wie SSH-Erfinder Tatu Ylönen weiß: Ein schlechtes Key-Management kann sich schnell zum Sicherheitsproblem auswachsen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Zu meiner Zeit als studentischer Netzwerk-Administrator an der Universität Helsinki war Telnet das Standard-Protokoll, um Dateien im Netzwerk zu übermitteln. Doch obwohl Telnet zweckdienlich war, so hatte es doch eine Schwäche: Es war nicht verschlüsselt, so dass böswillige Personen den Datenverkehr beobachten konnten.
Dieses theoretische Sicherheitsproblem wurde mit einem Mal real, als ich im Universitätsnetz einen Packet Sniffer entdeckte, der es auf Passwörter abgesehen hatte. Im Gegenzug entwickelte ich ein Programm, das die im Netzwerk übermittelten Daten verschlüsselte.
Heute kennt man diese Schöpfung unter dem Namen Secure ShellProtocol oder kurz SSH. Das Protokoll hat Telnet weitestgehend abgelöst; es schützt in Bewegung befindliche Daten (data in transit) und erlaubt Administratoren, ihre Systeme sicher aus der Ferne zu verwalten. In nahezu jeder größeren Netzwerkumgebung findet SSH Verwendung, selbst in Behörden, Großunternehmen und Finanzinstituten.
SSH generiert ein kryptographisches Schlüsselpaar – einen Schlüssel für den Server und einen für den Anwender –, um die zwischen den Endpunkten transferierten Daten zu schützen. Dabei kann es sich um alle erdenklichen Informationen handeln, seien es Logins, Finanzdaten, Krankenakten oder andere sensible Informationen.
Leider haben die meisten Unternehmen und Organisationen keinen Prozess entwickelt, um die verwendeten Schlüssel zu ändern, zu löschen und zu verwalten. Deshalb werden tausende Schlüssel recht unorganisiert im Netzwerk verbreitet, ohne sie jemals wieder lokalisieren oder entfernen zu können. Diese Lotterwirtschaft führt zu erheblichen Sicherheitsanfälligkeiten, da man unauffindbare Hintertüren für den Zugriff auf sensible Daten öffnet.
Verloren im Schlüssel-Dschungel
Dieses Problem hat eine enorme Tragweite. Studien in Großunternehmen haben gezeigt, dass diese im Schnitt acht bis gut einhundert SSH-Schlüssel verwenden, um einen Zugriff auf Unix- bzw. Linux-Server zu ermöglichen. Einige dieser Schlüssel gewähren weitreichende, administrative Rechte.
Dürftig verwaltete SSH-Schlüssel ermöglichen es, sämtliche Mechanismen fürs Privileged Access Management oder Session Auditing zu umgehen. Ein Mitarbeiter mit Risikopotenzial – sei es nun ein ehemaliger Administrator, ein Berater oder jedwede Person mit Zugang zu alten Backups oder ausgemusterter Hardware – könnte also beispielsweise direkt auf Produktionsserver zugreifen.
Dieses Problemfeld ist weitestgehend unerforscht, weil es ebenso technisch wie undurchsichtig ist und in den Arbeitsbereich der Systemadministratoren fallen würde. Diese sind sollen sich im Unternehmen aber meist nur um einen kleinen Teil der IT-Umgebung kümmern, so dass es ihnen oft an der nötigen Weitsicht mangelt.
Risiken mangelnder SSH-Schlüsselverwaltung
Verschlimmert wird die Lage dadurch, dass IT-Führungskräfte sich des Problems möglicherweise bewusst sind; oft können sie aber gar nicht die Zeit aufbringen, das Problem selbst oder die daraus resultierenden Konsequenzen zu analysieren.
Das Risiko eines großen Sicherheitsvorfalls, bei dem SSH eine Rolle spielt, steigt Tag für Tag. Für Malware-Entwickler ist es beispielsweise ein Leichtes, SSH-Schlüssel als Angriffsvektor zu nutzen – es erfordert nur wenige hundert Zeilen Code. Hat sich ein Virus einmal in einer IT-Umgebung festgesetzt, könnte er herumliegende SSH-Schlüssel dazu nutzen, von einem Server zu einem anderen zu wandern.
Schlüsselbasierte Zugriffe sind mittlerweile so tief im Netzwerk verwoben, dass der Schadcode höchstwahrscheinlich alle Server eines Unternehmens kompromittieren kann; erst recht, wenn er zusätzlich dazu in der Lage ist, sich einen Root-Zugriff bzw. administrative Rechte auf dem Ursprungssystem zu sichern.
Vor diesem Hintergrund sind insbesondere Desaster-Recovery- oder Backup-Systeme gefährdet, die in der Regel jeweils mit SSH-Schlüsseln arbeiten. Ausgestattet mit den entsprechenden Funktionen ließen sich auf diesem Weg Unmengen sicherheitsrelevanter Daten löschen.
Je mehr Schlüssel im Netzwerk herumgeistern desto höher ist die Wahrscheinlichkeit, dass die Malware innerhalb von Minuten oder Sekunden sämtliche Server infiziert. Im schlimmsten Fall wäre es denkbar, dass sie sich über die physischen Firmengrenzen hinaus über das gesamte WAN ausbreitet oder gar den Weg ins Internet schafft.
Compliance-Faktoren berücksichtigen
Lassen wir die IT-Sicherheit einmal außen vor, so besteht auch anderweitig Gefahr: Eine unzureichende Verwaltung von SSH-Schlüsseln führt dazu, dass Unternehmen gegen gesetzliche oder industrielle Sicherheitsvorgaben verstoßen. Verschiedene Regularien legen beispielsweise fest, dass ein Unternehmen die Server-Zugriffe kontrollieren und Sitzungen notfalls terminieren können muss.
Glücklicherweise sind all die genannten Risiken nicht auf Schwächen im SSH-Protokoll selbst zurückzuführen. Vielmehr liegt die Gefahr im Zusammenspiel organisatorischer Faktoren: in der Fehleinschätzung der Konsequenzen, der fehlenden Zeit und mangelnden Ressourcen sowie im Widerwillen der Auditoren, Problemfelder zu benennen, auf die sie selbst keinen Einfluss haben.
Best Practices fürs Key Management
Um ein Projekt zu beginnen, das die Fehler der Vergangenheit aus der Welt schafft, benötigt man zum einen die Befürwortung und volle Unterstützung der Führungsebene. Darüber hinaus muss man verschiedene IT-Teams bilden, um den folgenden Handlungsempfehlungen nachzukommen:
- Das kontinuierliche Überwachen (Monitoring) der IT-Umgebung hilft dabei, aktuell in Benutzung befindliche Schlüssel zu identifizieren und unbenötigte zu entfernen.
- Dabei sollte genau analysiert werden, welche Berechtigungen jeder Schlüssel umfasst und von wo aus er genutzt werden darf.
- Ebenso gilt es, alle Vertrauensverhältnisse zu bestimmen (Wer darf auf was zugreifen?).
- Ein Schlüsselwechsel, beispielsweise ein regelmäßiger Austausch der Schlüsselpaare, sorgt dafür, dass kompromittierte (i.d.R. kopierte) Schlüssel nicht mehr arbeiten.
- Alle Prozesse – von der Schlüssel-Erstellung bis hin zu ihrer Löschung – sollten sauber und konsistent ablaufen.
- Im Idealfall werden Schlüssel automatisiert erstellt und wieder entfernt. Auf diesem Weg reduziert man die Anzahl potenzieller Administratoren auf Null und schließt menschliche Fehlerquellen aus.
Fazit
Jedem Unternehmen sollte klar sein, dass man die Verwaltung der SSH-Schlüssel nicht auf die lange Bank schieben darf. Nichtsdestotrotz weisen die SSH-Umgebungen nahezu aller Fortune-500-Firmen und vieler Behörden gravierende Sicherheitsmängel auf.
Das Thema Key Management sollte bei allen Sicherheitsverantwortlichen und Risikobeauftragten in der IT höchste Priorität genießen. Ohne Auditing und Controlling bleibt einem Unternehmen letztlich keine andere Sicherheitsoption, als den SSH-basierten Zugriff auf IT-Systeme und Daten komplett zu unterbinden. Es wird noch Jahre dauern und abertausende IT-Experten erfordern, dieses Problem aus der Welt zu schaffen.
Über den Autor
Tatu Ylönen ist der Gründer und Geschäftsführer von SSH Communications Security.
(ID:39466140)
:quality(80)/images.vogel.de/vogelonline/bdb/1599700/1599712/original.jpg "DNS ist in Windows Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber Administratoren müssen sich auch unbedingt um die DNS-Sicherheitsaspekte kümmern! (monsitj - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937600/1937658/original.jpg "Dank verschlüsseltem Log-in lässt sich bei FIDO2 ein Anmeldevorgang nur mit dem zuvor registrierten Gerät entsperren, wodurch ein deutlich höheres Sicherheitslevel erreicht wird. (peshkov - stock.adobe.com)")