:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Digitalisierung braucht maschinelle Identitäten Wie man Maschinenidentitäten schützen kann
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Nicht nur die Industrie setzt massiv auf Digitalisierung. Die Kommunikation von Systemen untereinander soll Effizienz, Wirtschaftlichkeit und Produktivität erhöhen und sogar gänzlich neue Geschäftsfelder eröffnen. Für eine erfolgreiche Digitalisierung müssen Geräte sicher miteinander kommunizieren können und zu diesem Zweck braucht es auch sichere maschinelle Identitäten.
Die Verschlüsselung von Informationen ist eine wichtige Disziplin des Datenschutzes, letztlich sind gut verschlüsselte Verbindungen immer noch der bestmögliche Schutz vor Cyberangriffen. Eine effektive Verschlüsselung setzt allerdings voraus, dass miteinander kommunizierende Maschinen eindeutige Maschinenidentitäten besitzen. Dabei wird die tatsächliche Anzahl der benötigten Identitäten oft unterschätzt, denn nicht nur physische Geräte wie Computer, Smartphones oder auch vernetzte Produktionsanlagen und IoT-Geräte, sondern auch virtuelle Maschinen, Container, Anwendungen, Webseiten, Apps, Dienste wie AI oder SaaS gehören dazu.
Das Management dieser Vielzahl von Maschinenidentitäten bringt Unternehmen an die Grenzen ihrer Leistungsfähigkeit in puncto Datenschutz. Oftmals basiert ihre Organisation entweder auf manueller Verwaltung oder selbst entwickelten Notlösungen. Aber ohne die richtigen Werkzeuge zum Schutz von Maschinenidentitäten ergeben sich empfindliche Schwachstellen, die von Cyberkriminellen für Cyberangriffe ausgenutzt werden und die zugleich große Risiken für die Verfügbarkeit bergen.
:quality(80)/images.vogel.de/vogelonline/bdb/1539400/1539412/original.jpg "Zero Trust ist ein interessantes Sicherheitskonzept, das keine komplett neue Security-Landschaft im Unternehmen erfordert, sondern nur eine große Portion Mißtrauen. (anyaberkut - stock.adobe.com)")
Zero Trust Konzepte und Identitäten
Zero Trust – Kein Vertrauen ist auch keine Lösung
Warum benötigt man Maschinenidentitäten
Maschinelle Identitäten sind wie beim Menschen bestimmte Merkmale, die Maschinen voneinander unterscheidbar und einzigartig machen. Die Basis dafür sind digitale Zertifikate und kryptografische Schlüssel, in denen diese Merkmale als Information gespeichert werden. Sie sind notwendig, damit sich Maschinen gegenseitig identifizieren und sich so gegenseitig Zugriff auf andere Systeme, Datenbanken, APIs, etc. geben. Alle Daten werden heute vielfach zwischen Systemen ausgetauscht. Wenn wir uns das Abrufen einer Wegbeschreibung per Smartphone ansehen, wird schnell klar, wie viele Systeme bei dieser Aufgabe miteinander sicher (verschlüsselt) kommunizieren müssen.
Zunächst einmal müssen Daten wie der aktuelle Standort und das Ziel an den Dienstanbieter übertragen werden. Der Dienstanbieter weiß in der Regel um welchen Benutzer es sich handelt und ist nach DSVGO verpflichtet diese personenbezogenen Daten durch Verschlüsslung oder Psyeudomisierung zu schützen. Pseudonymisierung klingt zunächst einfacher, ist in der Praxis jedoch wesentlich schwieriger umzusetzen, als standardisierte und als sicher anerkannte Protokolle zu verwenden.
Nachdem die personenbezogenen Daten beim Dienstanbieter eingetroffen sind, errechnet dieser die Route nach den Vorgaben des Benutzers (beispielsweise die Autobahn meiden). Sämtliche Daten, die hierfür notwendig sind, befinden sich jedoch nicht auf einem einzigen Rechner auf einer Festplatte, somit ist der Dienstanbieter selbst bereits verpflichtet die Daten im eigenen Netzwerk sicher zu übertragen da laut DSVGO keine Unterscheidung zwischen „intern“ und „extern“ stattfindet. Nicht einmal zwischen „data-at-rest“ und „data-in-transit (motion)“ wird unterschieden. Somit sind sämtliche Verbindungen zu Datenbanksystemen und den daran angeschlossenen Speichersystemen durch digitale Identitäten zu schützen, um zu verhindern das die Daten in die Hände von nicht dritten Personen fallen.
Zusätzlich zur Berechnung der Route wird der Dienstanbieter weitere Informationen bei anderen Unternehmen einholen, beispielsweise Fahrpläne von öffentlichen Verkehrsanbietern, Wetterdaten, die aktuelle Verkehrslage sowie weitere Informationen wie Spritpreise, Points-of-Interest, Restaurants, Shops. Darüber hinaus werden auch Bewertungen dieser Örtlichkeiten angezeigt. Und auch diese Dienste-Anbieter haben die Verpflichtung, die personenbezogenen Daten auf all ihren Systemen und der Übertragung zu schützen. Ob und bis zu welchen Punkt es noch möglich ist die personenbezogenen Daten wieder zu korrelieren, mag sich im Einzelfall unterscheiden, eine sichere Übertragung ist jedoch nur durch geschützte Maschinenidentitäten zu gewährleisten.
Durch unsere heutzutage stark vernetzen Systeme können Störungen in der Kommunikation an einem nicht als kritisch eingestuften Teilsystem schnell zu großen Systemfehlern führen, die Geschäftsprozesse und Arbeitsabläufe stören oder sogar ganz stilllegen können. Das Ablaufen einer Maschinenidentität führte beispielsweise zu einem mehrtägigen Ausfall bei einem großen Telekommunikationsanbieter.
Maschinelle Identitäten sind jedoch nicht nur ein Thema bei der Kommunikation zwischen Geräten, Anwendungen, Cloud Services und Algorithmen, sondern werden in der Zukunft auch relevant für künstliche Intelligenz und Roboter werden. Denn auch Maschinen und Roboter, die mit selbstlernenden Algorithmen ausgestattet sind und ständig mit anderen Dingen kommunizieren müssen, benötigen dafür maschinelle Identitäten – und damit wird ihre Anzahl und die Schutzbedürftigkeit durch effektive Werkzeuge exponentiell weiter ansteigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1248000/1248094/original.jpg "Die vernetzte Produktion bietet großes Erfolgspotenzial, aber das Industrial Internet of Things (IIoT) erfordert von den Unternehmen auch große Anstrengungen bei der Sicherheit. (beebright - stock.adobe.com)")
Industrial Internet of Things
Industrieller Fortschritt auf Kosten der Sicherheit
Schutz und Auswirkungen von ungeschützten Maschinenidentitäten
Die erste Herausforderung für Unternehmen stellt zunächst ein einheitliches Inventar aller Maschinenidentitäten dar. Denn es fehlt oftmals sogar das Wissen, welche Schlüssel und Zertifikate im Netzwerk im Einsatz sind. Ohne eine Übersicht aller Maschinenidentitäten, die zur Sicherung des Datenverkehrs einer Organisation benötigt werden ist ein effektiver Schutz der Vertraulichkeit Integrität und Verfügbarkeit aller Systeme nicht zu gewährleisten.
Die Notwendigkeit eines einheitlichen Inventars für Maschinenidentitäten wird heutzutage noch häufig unterschätzt. Bei dem Schutz von Benutzern, also digitalen Identitäten stellt sich diese Frage heutzutage jedoch nicht mehr.
Das war jedoch nicht immer so. Bevor einheitliche Identity & Access Management (IAM)- und Verzeichnisdienste zum Einsatz kamen, wurden Benutzerkonten häufig auf mehreren Systemen manuell verwaltet. Eine zentrale Instanz um Benutzerkonten auf allen Systemen zu sperren, das Kennwort zu ändern oder Berechtigungen zu entziehen, komplexe Kennwortrichtlinien durchzusetzen und Kennwörter bei Bedarf zu rotieren, ist fast überall gang und gäbe.
Für Maschinenidentitäten beginnt sich gerade erst ein Sicherheitsbewusstsein zu entwickeln. Beispielsweise wie wichtig ein zentrales Inventar aller Maschinenidentitäten ist. Natürlich sind die Funktionen nicht identisch zu denen die wir bei Benutzerkoten vorfinden, sie sind aber nicht minder wichtig. So ist beispielsweise die sichere Schlüsselerzeugung von elementarer Bedeutung und besonders im IoT-Umfeld sehr schwierig umsetzbar. Häufig steht nicht genug der „Zufall“ für die kryptographischen Vorgänge zur Verfügung. Aber nicht nur auf IoT-Geräten ist dies eine Herausforderung. Auch die Notwendigkeit Maschinenidentitäten zu verlängern, bevor sie ablaufen oder diese aus anderen Gründen ausgetauscht werden müssen, muss in einem zentralen Inventar angezeigt werden. Darüber hinaus muss klar sein, welcher Administrator für den Austausch verantwortlich ist, denn aus der Maschinenidentität geht dies nicht hervor. Dasselbe gilt für Eskalationsprozesse für den Fall das automatische Erneuerungsprozesse aufgrund von Fehlkonfiguration, Änderungen in der Infrastruktur oder ähnlichem nicht stattfinden können. In allen Fällen kann nur durch ein zentrales System sichergestellt werden, das Unternehmen gegen Vorfälle ausgelöst durch Probleme bei Maschinenidentitäten geschützt werden.
Interne sicherheitstechnische und organisatorische Anforderungen bestehen auch, wenn bislang die Angriffsszenarien mit kompromittierten Zertifikaten punktuell waren. Denn die neue Generation der Cyberkriminellen setzt auf Schwachstellen in diesem Bereich. So wurde zuletzt die PLEAD-Malwarekampagne entdeckt, bei der valide Zertifikate eingesetzt wurden, mit denen der Router-Hersteller D-Link seine Software signiert. Deshalb haben die betroffenen Systeme die Malware zunächst als legitime Software akzeptiert, obwohl sie Malware Funktionen hatte, um auf den infizierten Systemen eine Backdoor einzurichten und Passwörter auszuspionieren.
Ein aktuelles Beispiel für die hohe Bedeutung des Schutzes von autorisierten Schlüsseln ist der Diebstahl von autorisierten Maschinenidentitäten bei Apple durch einen australischen Schüler. Damit hat er sich Zugang zum Apples-Netzwerk verschafft, 90 GB Daten heruntergeladen und Zugriff auf sensible Kundendaten erhalten – und das über 1 Jahr lang, bevor es von Apple entdeckt wurde.
Jüngste Messungen des Ökosystems der Windows-Code-Zertifikate haben verschiedene Formen des Missbrauchs aufgezeigt, die es Malware-Autoren ermöglichen, bösartigen Code mit gültigen digitalen Signaturen zu produzieren. In ihrer Arbeit entdeckten die Forscher auch mehrere Fälle von potenziell unerwünschten Programmen (PUPs), was zeigt, dass schlechte Akteure neben ihrer Fähigkeit, bösartigen Code zu signieren, auch eine Reihe von Authenticode-Zertifikaten kontrollieren können.
Ein weiterer beängstigender Missbrauch von Maschinenidentitäten wurde auf der Black Hat in Las Vegas vorgestellt. In einem BBC-Video demonstriert der Sicherheitsforscher Billy Rios, wie er eine Maschine, die Herzschrittmacher und andere Implantate programmiert, aus der Ferne steuern kann. Er konnte beeinflussen, wie sich der implantierte Herzschrittmacher verhält und ihn sogar auch abschalten. Diese Manipulation war nur möglich durch ein fehlendes digitales Zertifikat – ein Code-Signing-Zertifikat - wie es in der IT eigentlich gängige Praxis ist, in der Healthcare Branche jedoch scheinbar noch nicht angekommen ist.
Wie kann man Maschinenidentitäten sinnvoll schützen
Effektive Schutzmaßnahmen für Maschinenidentitäten sind nur dann möglich, wenn eine vollständige Sichtbarkeit und kontinuierliche Beobachtung aller Identitäten über das gesamte Unternehmen hinweg gewährleistet sind. Also eine Inventarisierung und ein lückenloses Life Cycle-Management. Solche Systeme stellen sicher, dass alle Sicherheitswerkzeuge eine ständig aktualisierte Liste aller relevanten Schlüssel und Zertifikate führen, die sie zur Überprüfung des verschlüsselten Datenverkehrs benötigen. Die gute Nachricht ist, dass diese Analysen Routinevorgänge sind, die sich technisch automatisieren lassen und es bereits ausgereifte Plattformen dafür gibt. Diese Lösungen können das Netzwerk scannen und den Status von Zertifikaten und die Anzahl von Maschinenidentitäten auslesen – in Echtzeit. Mit diesem automatisierten Management der Zertifikate und Maschinenidentitäten stellen die Firmen sicher, dass die Grundlagen der Sicherheit gewahrt bleiben.
Fazit
Die Voraussetzung für einen verschlüsselten Netzwerkverkehr sind Maschinenidentitäten, mit denen physische und virtuelle Maschinen ihre Legitimität ausweisen. Damit die Sicherheitsteams ihrer Aufgabe nachkommen und die störungsfreie und zuverlässige Verschlüsselung in ihrer Organisation garantieren können, wird es unvermeidlich werden, bislang manuelle Routinen zu automatisieren. Durch eine moderne Life-Cycle-Security können die Unternehmen mit den rasanten Entwicklungen im Bereich der Maschinenidentitäten mithalten und die Vorteile der Verschlüsselung wirklich nutzen, statt Gefahr zu laufen, dass die Technik aufgrund kompromittierter Zertifikate gegen sie eingesetzt wird.
Über den Autor: Jens Sabitzer ist Solution Architect DACH bei Venafi.
(ID:45861242)
:quality(80)/p7i.vogel.de/wcms/9a/80/9a80196ff0154157a8c7f25c3c1d2c6e/0108012087.jpeg "Die über Mutual TLS realisierten Maschinenidentitäten sind zwar praktisch für Unternehmen, doch es gibt auch einige Bedenken hinsichtlich der Sicherheit. (Bild: Gerd Altmann (geralt))")
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")