Suchen

Gefährliches Halbwissen Risiken digitaler Zertifikate oft ignoriert

Redakteur: Stephan Augsten

IT-Sicherheitsexperten sind sich der Risiken, die mit nicht vertrauenswürdigen Zertifikaten und Schlüsseln einhergehen, durchaus bewusst. Passende Gegenmaßnahmen ergreifen sie laut einer Venafi-Studie von der Black Hat 2015 allerdings nicht.

Firma zum Thema

Selbst wenn einer Zertifizierungsstelle das Vertrauen entzogen wird, reagieren Unternehmen darauf nur sehr träge.
Selbst wenn einer Zertifizierungsstelle das Vertrauen entzogen wird, reagieren Unternehmen darauf nur sehr träge.
(Bild: Archiv)

Auf der Hacking-Konferenz Black Hat USA 2015 hat Venafi über 300 Security-Spezialisten zu Zertifizierungsstellen und Verschlüsselung befragt. Demnach wissen viele der Befragten, welche Gefahr von nicht vertrauenswürdigen Zertifizierungsstellen (Certificate Authoritites, CAs) ausgeht. Eine zeitnahe Reaktion auf entsprechende Meldungen erfolgt aber nicht.

Dies zeigt sich Venafi zufolge eindrucksvoll am China Internet Network Information Center, kurz CNNIC. Obwohl Google und Mozilla die Zertifizierungsstelle als nicht vertrauenswürdig eingestuft haben, hätten drei Viertel (74%) der Befragten nicht begriffen, dass CNNIC eine eindeutige und aktuelle Gefahr darstellt.

Nach den ergriffenen Maßnahmen gefragt, gaben nur 26 Prozent der Infosec-Experten an, CNNIC tatsächlich von allen Desktops, Laptops und Mobilgeräten entfernt zu haben. Der Rest der Befragten hatte entweder nichts unternommen (23 Prozent), wartet darauf, dass Apple und Microsoft etwas unternehmen (17 Prozent) oder weiß es einfach nicht (34 Prozent).

Auf die Frage nach den Sicherheitsrisiken, die aus Zertifikaten resultieren, die nicht vertrauenswürdige CAs für ihre Browser, Anwendungen oder Mobilgeräte ausstellen, gaben 58 Prozent der Befragten an, MITM-Angriffe zu fürchten. 14 Prozent sagten aus, über Replay-Angriffe besorgt zu sein. Diese Daten weisen auf eine große Kluft hin: die Experten verstehen das Risiko, unternehmen jedoch überhaupt nichts dagegen.

Die Befragung offenbart darüber hinaus, dass einige Sicherheitsexperten nicht verstehen, welche Dienste die CAs leisten und welche nicht: Auf die Frage, ob eine CA sie vor Diebstahl, Missbrauch oder Fälschung digitaler Zertifikate schützt, antworteten nur 37 Prozent korrekterweise mit nein. Der Rest der Befragten sagte entweder ja (29 Prozent) oder gab an, es nicht zu wissen (34 Prozent).

In der Realität stellen CAs die Zertifikate nur aus und entziehen sie, sie überwachen nicht deren Nutzung und können letztlich keine Sicherheit für sie bieten. An welchen Stellen Wahrnehmung und Realität hinsichtlich der Vergabe von Zertifikaten noch auseinanderklaffen, erfahren Interessierte in der Studie.

Artikelfiles und Artikellinks

(ID:43592371)