Sichern statt verwalten

Security Management für digitale Zertifikate

| Autor / Redakteur: Kevin Bocek* / Stephan Augsten

Ein gutes Zertifikate-Management ist nicht genug

Zertifikate haben normalerweise eine gewisse Lebenszeit von ihren Erstellern mit auf den Weg bekommen. Erlischt diese, muss ein neues Zertifikat erstellt werden. Sollte dann versucht werden, mit einer alten Version des Zertifikats auf eine Website oder einen Service zu zugreifen, wird der Zugriff verwehrt.

Ein Fehler in diesem Prozess kann schnell zu Fehlern in der Produktion führen und dies wiederum zu einem verschlechtertem Image des Unternehmens oder der Marke. Ein Beispiel für ein solches Zertifikat war Microsofts Azure Cloud Platform im Jahr 2013. Das Ergebnis war ein weltweiter Fehler auf der gesamten Plattform.

In einem anderen Beispiel hatte die IT-Abteilung einer US-amerikanischen Bank vergessen, das ausgelaufene Zertifikat zu erneuern. Das Ergebnis war der Ausfall von mehreren Tausend Auszahlautomaten in den USA. Um zumindest einen gewisses Maß an grundsätzlich effektivem Management zu gewährleisten, wäre es zumindest ausreichend, ein einfaches automatisches Lifecycle Management ins Leben zu rufen, z. B. indem man Spreadsheets nutzt.

Die derzeitige Wirklichkeit sieht so aus, dass der Zertifikate-basierte Ausfall sich zu einem größeren Sicherheitsproblem herauswächst. Die bösen Jungs wissen, dass Schlüssel und Zertifikate nicht vernünftig verwaltet werden und nutzen dies zu ihrem Vorteil.

Man stelle sich vor: Ohne eine Übersicht über die genutzten Zertifikate kann kein Unternehmen den Missbrauch von Zertifikaten überhaupt feststellen. So könnte z. B. ein gefälschtes (‚Rogue‘) Zertifikat versuchen, eine SSL-Verbindung zu einem bösartigen Server aufzubauen, oder aber ein Zertifikat verstößt gegen die Compliance-Vorschriften, weil ein schwacher Hash-Algorithmus verwendet wird.

Gegen solche Szenarien kann man sich mit Schwachstellen-Scanner, Certificate Authorities (CAs), IDS, IPS, NGFW, Sandboxing, einer SSL Verbindung oder einem Gateway-Scanner schützen. Stattdessen müssen die Zertifikate mit einem Sicherheitsmanagement-System verwaltet werden – als Ergänzung zum generellen Management.

Mit Strategien und Techniken zu mehr Sicherheit für Zertifikate

Die Umsetzung eines solchen Management-Systems sollte immer einem bereits etablierten Plan folgen. Zuerst müssen alle Schlüssel und Zertifikate auf Echtheit und Verwundbarkeit überprüft werden, die verwundbaren Zertifikate wollen durch neue ersetzt sein. Im nächsten Schritt sollte man eine Sicherheitsregel für die richtige Nutzung von Schlüsseln und Zertifikaten einführen.

Zu guter Letzt gilt es, die Sicherheitsstruktur zu zentralisieren, so dass zu jeder Zeit Zugriff auf alle Zertifikate und Schlüssel im Netzwerk besteht. Über diese zentrale Einrichtung sollte dann eine Autokorrektur-Funktion laufen, die automatisch eingreift und Zertifikate ersetzt. Auf dieser Basis lassen sich missbrauchte Zertifikate und Schlüssel schnell identifizieren und ersetzen. Realisieren lässt sich das beispielsweise mit der Trust Protection Plattform von Venafi.

Ein zentrales Interface wird dann genutzt, um Schwachstellen aufzudecken, neue Sicherheitsmaßnahmen zu ergreifen und im Netzwerk einzubauen. Dann ist es außerdem möglich das gesamte Netzwerk in Echtzeit zu monitoren und zugleich möglichen Gefahren zuvorzukommen. Dies kann wesentlich effizienter sein als eine Spreadsheet-Lösung.

* Kevin Bocek ist Vice President im Bereich Security Strategy & Threat Intelligence bei Venafi.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43551233 / Blockchain, Schlüssel und Zertifikate)