Sichern statt verwalten

Security Management für digitale Zertifikate

| Autor / Redakteur: Kevin Bocek* / Stephan Augsten

Zertifikate sollten durchgängig überwacht werden, um gefälschte und abgelaufene Authenzitätsnachweise umgehend aussortieren zu können.
Zertifikate sollten durchgängig überwacht werden, um gefälschte und abgelaufene Authenzitätsnachweise umgehend aussortieren zu können. (Bild: Archiv)

Zertifikate können ein Sicherheitsrisiko sein, man denke nur an Heartbleed oder die NSA-Affäre um Edward Snowden. Nur wer nachvollziehen kann, ob ein Zertifikat gefälscht oder abgelaufen ist, darf sich einigermaßen sicher fühlen. Bei Abertausend Zertifikaten ist das aber nicht ohne Weiteres möglich.

Seit den frühen 90er Jahren werden Zertifikate und Schlüssel für die sichere Kommunikation im Internet eingesetzt. Sie machen es erst möglich, Datenpakete so zu schützen, dass nur ein bestimmter Kommunikationspartner sie dechiffrieren und die entschlüsselten Daten verarbeiten kann.

Ohne die nötigen Zertifikate bleibt der Zugang zu den Informationen hingegen verwehrt. Die Technologie, mit der ein digitaler Konversationspartner seine Identität und Authentizität bestätigt, hat die Idee der sicheren Internet-Kommunikation hervorgebracht und befeuert.

Die digital geprägte Arbeitswelt hat in vielerlei Hinsicht profitiert, vom simplen E-Mail Account über Social Media, Online-Banking und die elektronische Übertragung der Steuern bis hin zur Telearbeit. Es konnten sogar völlig neue Geschäftsmodelle entstehen. All dies ist nur möglich, weil dieser Form der Kommunikation vertraut wird und die Sicherheit auf Zertifikaten und Schlüsseln beruht.

Ungeschützte Zertifikate – ein weithin unterschätztes Risiko

In den vergangenen zehn Jahren hat sich dieses Vertrauen noch verstärkt, Zweifel an der Sicherheit wurden nur selten laut. Das spielt Cyber-Kriminellen in die Hände. Sie nutzen fremde Zertifikate und Schlüssel und geben sich als deren Besitzer aus. Dann versuchen sie mit so genannten Trust-basierten (vertrauensbasierten) Attacken, sich einen Zugang zu Daten eines unwissenden Kommunikationspartners zu verschaffen.

Die Effektivität dieser Attacken wurde bereits vor einigen Jahren demonstriert. Seien es die Angriffe von Edward Snowden auf die Datenbanken der NSA, die Cyber-Attacken von Gruppierungen wie Energetic Bear oder Crouching Yeti, die Angriffskampagne Carreto oder der bekannte Bug in Heartbleed – all diese Attacken waren vertrauensbasiert, missbrauchten Zertifikate und Schlüssel.

Der Erfolg dieser Angriffe hat aufgezeigt, dass selbst große Firmen, Institutionen und Regierungen diesem Treiben ungeschützt gegenüberstehen. Wie auch immer: die Maßnahmen, die Unternehmen und Institutionen darauf getroffen haben, sind weit davon entfernt, überhaupt zögerlich zu sein.

Viel Geld floss in den Auf- und Ausbau von IT-Sicherheitsabteilungen, es wurden Experten angeheuert, das eigene Personal trainiert, IT-Sicherheits-Guidelines und Compliance-Regelungen eingeführt; die Rückversicherung von Schlüsseln und Zertifikaten wurde hingegen vergessen. Aber genau dort entsteht eine große Sicherheitslücke mit schwer vorhersehbaren Konsequenzen für die Nutzer im Netzwerk.

Hier sollte eine Rückbesinnung stattfinden. Schlüsseln und Zertifikaten muss eine größere Rolle in der Formulierung von Sicherheitsstrategien eingeräumt werden. Außerdem gilt es, sie in zukünftigen Investitionsentscheidungen mit einzubeziehen. Eine durchschnittliche Firma nutzt derzeit 24.000 unterschiedliche Zertifikate, Tendenz steigend. Solch eine große Anzahl an Zertifikaten lässt sich nicht manuell verwalten.

Die aktiven Zertifikate müssen beobachtet, ausgetauscht und erneuert werden. Eine Umfrage unter Unternehmen zeigte auf, dass die Hälfte nicht wusste, wie viele Anwendungen und die sie verwaltenden Zertifikate sie eigentlich einsetzen. Dieser Umstand kann nur durch die Einführung eines automatischen Zertifikate-Schutzes und Managements behoben werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43551233 / Blockchain, Schlüssel und Zertifikate)