:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/19/901975bd25ae76f877ea0f8ac72012ae/0130401069v2.jpeg "Regierungsdaten seien bei dem Cyberangriff auf das E-Mail-Postfach des FBI-Chefs Kash Pate nicht gestohlen worden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/62/be621f2323e9fc15a65708895e48cd26/0130314714v2.jpeg "Globale Lieferketten bringen Effizienz, aber auch Abhängigkeiten. Auch kleine Zulieferer können zur großen Schwachstelle werden. (Bild: © Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/47/13476ec5f128a6cf41f7eb95b2409b7d/0130321401v2.jpeg "Die Sicherheitslücken in Citrix NetScaler Gateway und ADC können zu einem Memory‑Overread führen, der Datenlecks und Abstürze verursachen kann, sowie zu unautorisiertem Zugriff führen. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/64/54644475acec039714a3eccc088b6c43/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/73/76739779efb9769d8db4c9d4a39848ef/0130322258v2.jpeg "Digitale Energiedienste wie virtuelle Kraftwerke fallen mit NIS 2 erstmals unter neue IT-Sicherheitskataloge mit erweiterten Nachweispflichten. (Bild: © Sepia100 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/0d/560d12454a8cde14262590ceeecb5066/0130406753v1.jpeg "Backup- und Recovery-Strategien müssen heute auch geopolitische Risiken, rechtliche Stabilität und die Ausfallsicherheit von Infrastrukturen berücksichtigen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/95/54/9554c259793d581ea2839245a1815ad4/0130375018v1.jpeg "Während die EU noch an souveränen Clouds arbeitet, ist in vielen Unternehmen bereits eine Rückbesinnung auf On-Prem-Lösungen im Gange. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/97/289755bc06d1a4e1f7f7581e8cd41b77/0130374247v1.jpeg "Backup und Recovery müssen als untrennbare Einheit gedacht werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/28/3c/283c02b6a113d373108ffd46c9255dc3/0130361073v2.jpeg "Tizian Kohler ist Head of Security bei der Adlon Intelligent Solutions GmbH. (Bild: Adlon Intelligent Solutions)")
:quality(80)/p7i.vogel.de/wcms/03/b4/03b4c15b48445e79113c6b95bcf7317c/0129192770v1.jpeg "Lageansicht statt Monitorwand: In der Sicherheitszentrale erscheinen Türen, Kameras und Sensorik als Geopositionen. Videosequenzen werden erst bei korrelierten Signalen und nach Zonenüberschreitung in den Vorfallprozess eingeblendet. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/65/d6/65d68a4361e126b94d503df6bb261ba3/0130366883v2.jpeg "Cyberkriminelle könnten sich mit den von AstraZeneca Zugang zu internen Systemen verschaffen, gezielte Phishing‑ und Supply‑Chain‑Angriffe starten, geistiges Eigentum stehlen oder sabotieren und das Unternehmen erpressen. (Bild: © elimicel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/3f/be3f0a2f5d8add0792f692767111cc40/0130308668v2.jpeg "Cyberkriminelle, die Netzwerkzugriff über HTTP erlangt haben, können anfällige Oralce-Instanzen übernehmen. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/e5/10e500b0c715720161aed2f77afce5f4/0130043987v2.jpeg "Die ISC2 Cybersecurity Workforce Study wird jährlich durchgeführt, um die Entwicklung der Cybersicherheits-Arbeitskräfte zu analysieren, bestehende Hürden für Fachkräfte zu identifizieren und Lösungen aufzuzeigen. Der Report beleuchtet zunehmend auch die Wahrnehmungen von Frauen in der Cybersicherheitsbranche. (Bild: © Angelo/peopleimages.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a0/8a/a08ac0cb9a60ba7fa981a3b9ff8ba04f/0129989079v1.jpeg "BitLocker bietet mehrere Optionen zur Sicherung des Wiederherstellungsschlüssels, wie den Schlüssel auf einem USB-Laufwerk zu speichern oder in einem Microsoft-Konto zu hinterlegen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ein gutes Zertifikate-Management ist nicht genug
Zertifikate haben normalerweise eine gewisse Lebenszeit von ihren Erstellern mit auf den Weg bekommen. Erlischt diese, muss ein neues Zertifikat erstellt werden. Sollte dann versucht werden, mit einer alten Version des Zertifikats auf eine Website oder einen Service zu zugreifen, wird der Zugriff verwehrt.
Ein Fehler in diesem Prozess kann schnell zu Fehlern in der Produktion führen und dies wiederum zu einem verschlechtertem Image des Unternehmens oder der Marke. Ein Beispiel für ein solches Zertifikat war Microsofts Azure Cloud Platform im Jahr 2013. Das Ergebnis war ein weltweiter Fehler auf der gesamten Plattform.
In einem anderen Beispiel hatte die IT-Abteilung einer US-amerikanischen Bank vergessen, das ausgelaufene Zertifikat zu erneuern. Das Ergebnis war der Ausfall von mehreren Tausend Auszahlautomaten in den USA. Um zumindest einen gewisses Maß an grundsätzlich effektivem Management zu gewährleisten, wäre es zumindest ausreichend, ein einfaches automatisches Lifecycle Management ins Leben zu rufen, z. B. indem man Spreadsheets nutzt.
Die derzeitige Wirklichkeit sieht so aus, dass der Zertifikate-basierte Ausfall sich zu einem größeren Sicherheitsproblem herauswächst. Die bösen Jungs wissen, dass Schlüssel und Zertifikate nicht vernünftig verwaltet werden und nutzen dies zu ihrem Vorteil.
Man stelle sich vor: Ohne eine Übersicht über die genutzten Zertifikate kann kein Unternehmen den Missbrauch von Zertifikaten überhaupt feststellen. So könnte z. B. ein gefälschtes (‚Rogue‘) Zertifikat versuchen, eine SSL-Verbindung zu einem bösartigen Server aufzubauen, oder aber ein Zertifikat verstößt gegen die Compliance-Vorschriften, weil ein schwacher Hash-Algorithmus verwendet wird.
Gegen solche Szenarien kann man sich mit Schwachstellen-Scanner, Certificate Authorities (CAs), IDS, IPS, NGFW, Sandboxing, einer SSL Verbindung oder einem Gateway-Scanner schützen. Stattdessen müssen die Zertifikate mit einem Sicherheitsmanagement-System verwaltet werden – als Ergänzung zum generellen Management.
Mit Strategien und Techniken zu mehr Sicherheit für Zertifikate
Die Umsetzung eines solchen Management-Systems sollte immer einem bereits etablierten Plan folgen. Zuerst müssen alle Schlüssel und Zertifikate auf Echtheit und Verwundbarkeit überprüft werden, die verwundbaren Zertifikate wollen durch neue ersetzt sein. Im nächsten Schritt sollte man eine Sicherheitsregel für die richtige Nutzung von Schlüsseln und Zertifikaten einführen.
Zu guter Letzt gilt es, die Sicherheitsstruktur zu zentralisieren, so dass zu jeder Zeit Zugriff auf alle Zertifikate und Schlüssel im Netzwerk besteht. Über diese zentrale Einrichtung sollte dann eine Autokorrektur-Funktion laufen, die automatisch eingreift und Zertifikate ersetzt. Auf dieser Basis lassen sich missbrauchte Zertifikate und Schlüssel schnell identifizieren und ersetzen. Realisieren lässt sich das beispielsweise mit der Trust Protection Plattform von Venafi.
Ein zentrales Interface wird dann genutzt, um Schwachstellen aufzudecken, neue Sicherheitsmaßnahmen zu ergreifen und im Netzwerk einzubauen. Dann ist es außerdem möglich das gesamte Netzwerk in Echtzeit zu monitoren und zugleich möglichen Gefahren zuvorzukommen. Dies kann wesentlich effizienter sein als eine Spreadsheet-Lösung.
* Kevin Bocek ist Vice President im Bereich Security Strategy & Threat Intelligence bei Venafi.
(ID:43551233)
:quality(80)/p7i.vogel.de/wcms/32/01/3201443df072d5c818346885b22ba6b7/0128690601v1.jpeg "Ein digitales Zertifikat bestätigt Personen oder Objekte und seine Authentizität und Integrität lässt sich durch kryptografische Verfahren prüfen. (Bild: @alfred-evelinas-images via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/ec/ce/ecce420f0ad6c24fd77dc08f4f358d3a/0125711266v2.jpeg "Ob einfache Website oder komplexe Plattform mit vielen Subdomains: TLS ist heute der unverzichtbare Standard für eine zukunftssichere Domain-Sicherheit und ein wesentlicher Baustein für die Umsetzung der NIS-2-Anforderungen. (Bild: © Song_about_summer - stock.adobe.com)")