Gefährliches Halbwissen

Risiken digitaler Zertifikate oft ignoriert

| Redakteur: Stephan Augsten

Selbst wenn einer Zertifizierungsstelle das Vertrauen entzogen wird, reagieren Unternehmen darauf nur sehr träge.
Selbst wenn einer Zertifizierungsstelle das Vertrauen entzogen wird, reagieren Unternehmen darauf nur sehr träge. (Bild: Archiv)

IT-Sicherheitsexperten sind sich der Risiken, die mit nicht vertrauenswürdigen Zertifikaten und Schlüsseln einhergehen, durchaus bewusst. Passende Gegenmaßnahmen ergreifen sie laut einer Venafi-Studie von der Black Hat 2015 allerdings nicht.

Auf der Hacking-Konferenz Black Hat USA 2015 hat Venafi über 300 Security-Spezialisten zu Zertifizierungsstellen und Verschlüsselung befragt. Demnach wissen viele der Befragten, welche Gefahr von nicht vertrauenswürdigen Zertifizierungsstellen (Certificate Authoritites, CAs) ausgeht. Eine zeitnahe Reaktion auf entsprechende Meldungen erfolgt aber nicht.

Dies zeigt sich Venafi zufolge eindrucksvoll am China Internet Network Information Center, kurz CNNIC. Obwohl Google und Mozilla die Zertifizierungsstelle als nicht vertrauenswürdig eingestuft haben, hätten drei Viertel (74%) der Befragten nicht begriffen, dass CNNIC eine eindeutige und aktuelle Gefahr darstellt.

Nach den ergriffenen Maßnahmen gefragt, gaben nur 26 Prozent der Infosec-Experten an, CNNIC tatsächlich von allen Desktops, Laptops und Mobilgeräten entfernt zu haben. Der Rest der Befragten hatte entweder nichts unternommen (23 Prozent), wartet darauf, dass Apple und Microsoft etwas unternehmen (17 Prozent) oder weiß es einfach nicht (34 Prozent).

Auf die Frage nach den Sicherheitsrisiken, die aus Zertifikaten resultieren, die nicht vertrauenswürdige CAs für ihre Browser, Anwendungen oder Mobilgeräte ausstellen, gaben 58 Prozent der Befragten an, MITM-Angriffe zu fürchten. 14 Prozent sagten aus, über Replay-Angriffe besorgt zu sein. Diese Daten weisen auf eine große Kluft hin: die Experten verstehen das Risiko, unternehmen jedoch überhaupt nichts dagegen.

Die Befragung offenbart darüber hinaus, dass einige Sicherheitsexperten nicht verstehen, welche Dienste die CAs leisten und welche nicht: Auf die Frage, ob eine CA sie vor Diebstahl, Missbrauch oder Fälschung digitaler Zertifikate schützt, antworteten nur 37 Prozent korrekterweise mit nein. Der Rest der Befragten sagte entweder ja (29 Prozent) oder gab an, es nicht zu wissen (34 Prozent).

In der Realität stellen CAs die Zertifikate nur aus und entziehen sie, sie überwachen nicht deren Nutzung und können letztlich keine Sicherheit für sie bieten. An welchen Stellen Wahrnehmung und Realität hinsichtlich der Vergabe von Zertifikaten noch auseinanderklaffen, erfahren Interessierte in der Studie.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43592371 / Blockchain, Schlüssel und Zertifikate)