Vertrauensbasis

Zertifikate für das Internet verifizieren und schützen

Seite: 2/2

Firma zum Thema

Zertifikatsmissbrauch zerstört das Vertrauen

Das Internet wurde ursprünglich ohne Sicherheitsmechanismen programmiert und baut auf dem gegenseitigen Vertrauen der User auf. Zwar haben sich die Protokolle verfeinert, aber dieser Grundsatz gilt in gewissem Umfang immer noch. Sicherlich gibt es mittlerweile sehr gute Sicherheitsmechanismen, aber ganz ohne Vertrauen kommt das Internet nicht aus.

In diese Kerbe schlagen nun zunehmend Hacker und Cyberkriminelle. Sie versuchen, das Fehlen eines „Immunsystems“, das die Richtigkeit eines Zertifikats beweist, für ihre Zwecke auszunutzen. Sie eignen sich illegal Zertifikate und Schlüssel an und versuchen damit, vertrauliche Informationen von und für Dritte auf ihre Rechner umzuleiten.

Ob der Man-in-the-Middle-Angriff auf den Iran im Jahr 2011, der Hack von Sony Pictures Ende 2014 oder die Attacken auf US-amerikanische Krankenversicherungen Anfang 2015: sie alle hatten den Missbrauch von Zertifikaten und Schlüsseln als Basis. Und es ist sehr einfach, es gibt mehr als Tausend Trojaner, die dafür entwickelt wurden, um Zertifikate zu stehlen und sich über Netzwerke zu verbreiten.

Inzwischen dürfte ihre Zahl noch einmal deutlich zugenommen haben. IT-Sicherheitsexperten von Intel Security haben dem Handel mit gestohlenen Zertifikaten für die kommenden Jahre bereits einen rasanten Anstieg vorausgesagt, bereits jetzt werden Zertifikate für 1.000 Euro auf russischen Untergrundmärkten verkauft. Derweil gehen die Marktanalysten von Gartner davon aus, dass Netzwerkattacken durch SSL/TLS im Jahr 2017 bereits 50 Prozent aller Cyberangriffe ausmachen werden.

Diese verstecken sich im verschlüsselten Datenverkehr der meisten Unternehmen und viele wollen oder können diesen nicht richtig verschlüsseln, so dass Cyber-Kriminelle einen großen Vorteil daraus ziehen. Dazu kommt noch das unsachliche Verhalten von eigentlich legitimen Unternehmen: Beispielsweise nutzten Lenovo und GoGo Man-in-the-Middle-Angriffe, um Werbung zu schalten und Datenströme zu manipulieren.

Zertifikate sichern – Vertrauen erhalten

Sollte sich diese Entwicklung fortsetzen, wie von den Experten prognostiziert, wäre das Vertrauen in eine sichere und private Internetkommunikation nachhaltig gestört. Dies käme mehr als ungelegen. Schon seit Jahren ist der gesamte Alltag Prozessen der Digitalisierung und Vernetzung unterworfen – zahlreiche neue Märkte warten auf ihre Erschließung.

Eine Möglichkeit, das Vertrauen der Verbraucher in das Internet zu erhalten und langfristig zu stabilisieren, liegt in der Förderung des Vertrauens in das Verschlüsselungssystem der Zertifikate. Deren Reputation wird man in den kommenden Jahren aber nur sichern können, wenn es gelingt, ihren Missbrauch einzudämmen.

* Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi.

(ID:43461624)