.shock - Fotolia

Die Ausfallsicherheit von Webservern verbessern

Der Ausfall von Webservern kann intern wie extern fatale Folgen für Unternehmen haben. Abgelaufene Zertifikate sind eine häufige Ausfallursache.

Nur Weniges verursacht so viel Frustration und Chaos wie ein unerwarteter Ausfall einer Webseite oder eines Webservers. Und solche Ausfälle führen schon seit Jahrzehnten zu Problemen. In den letzten Jahren kam es bei Google, Apple und Salesforce zu hinreichend publizierten Ausfällen, die Unternehmen in Not brachten. Viele Unternehmen haben die Initiative ergriffen und versucht, Ausfällen zuvorzukommen und deren Eintritt zu verhindern. Beispielsweise haben die meisten ihre Möglichkeiten zur Kapazitätsplanung verbessert, und um ihre Probleme mit der Skalierbarkeit in den Griff zu bekommen, sind viele zur Cloud übergegangen. Doch trotz dieser Schritte kommt es weiterhin zu Ausfällen, deren Schäden katastrophal sein können.

Erstens gibt es da den direkten Einnahmenverlust. Für Händler bedeutet nämliche jede Sekunde, die ihre eCommerce-Shops offline sind und Kunden keine Einkäufe tätigen können, hinausgeworfenes Geld. Zweitens kann es zu nachhaltiger Rufschädigung kommen. Nach dem Salesforce-Ausfall im Frühjahr 2016 stellten Kommentatoren offen die Frage, ob Kunden dem Unternehmen weiter vertrauen könnten. In extrem hart umkämpften Märkten haben Kunden Dutzende alternativer Möglichkeiten. Hat eine Seite erst einmal den Ruf, unzuverlässig zu sein, tätigen Kunden ihre Geschäfte garantiert anderswo. Und Studien zeigen, dass 59 Prozent der Unternehmen in direkter Folge eines Ausfalls Kunden verloren haben.

Ein gravierender Ausfall der Geschäftssysteme wirkt sich nicht nur auf Kunden aus, er kann auch enorme betriebliche Folgen haben. Ein Ausfall kann zu verpassten Terminen führen, zu Arbeitsausfall und nicht akzeptablen Verzögerungen in der Kommunikation. All dies verlangsamt die Mitarbeiterproduktivität drastisch. Ausfälle bedeuten oftmals auch, dass die Belegschaft Überstunden machen muss, wodurch weitere Kosten verursacht werden. Es ist daher keine Überraschung, dass die Ponemon-Studie (PDF) die Kosten eines durchschnittlichen Ausfalls für ein Global 5000-Unternehmen auf rund 15 Millionen US-Dollar schätzt.

Warum aber richten Ausfälle, angesichts dieser Kosten und Schäden, die sie bei Unternehmen bekanntermaßen verursachen, weiterhin ein solches Chaos an? Ein Grund dafür ist, dass Unternehmen es versäumten, eine der Hauptursachen für die Ausfälle zu beheben: das Ablaufen von Zertifikaten.

Ausfälle werden zunehmen

Jedes Stück Technologie, von mobilen Apps bis zu Unternehmensservern, benötigt normalerweise einen gültigen kryptographischen Schlüssel oder ein digitales Zertifikat, damit es funktioniert. Sie fungieren als „Ausweisdokumente“ für Maschinen wie für Software und ermöglichen vertrauenswürdige Online-Kommunikation und -Transaktionen. Sie unterstützen alle eCommerce-Geschäfte und im weiteren Sinne auch alle digitalen Transaktionen. Die ständig steigende Anzahl an Anwendungen, Servern und verbundenen Geräten bedeutet, dass die Zahl der genutzten Zertifikate in die Höhe schnellt. Niemand könnte sich vorstellen, eine neue Anwendung auf den Markt zu bringen, deren Authentifizierung sie nicht eindeutig von der eines Hackers unterscheiden würde oder bei der die Kommunikation nicht verschlüsselt wäre.

Folglich sind Organisationen darum bemüht, den Überblick über diese Schlüssel und Zertifikate – ihre derzeit wohl wertvollsten Cyber-Assets – zu behalten und sie zu schützen. Leider laufen Zertifikate ab, was bedeutet, dass Apps und Geräte nicht mehr funktionieren, falls sie nicht ersetzt werden. Der Prozess der Anforderung, Ausstellung, Erneuerung und Installation ist außerdem äußerst kompliziert. Selbst Microsoft Azure ist es in der Vergangenheit nicht gelungen, Zertifikate erfolgreich korrekt zu konfigurieren. IT-Leiter berichteten, dass jedes Unternehmen im Schnitt zwei größere Geschäftsausfälle pro Jahr infolge abgelaufener Zertifikate erleidet. Das ist kein Wunder: Eine Studie von IT-Sicherheitsexperten zeigt, dass sie, sobald sie eine konzertierte Bemühung zum Auffinden der Zertifikate gestartet hatten, in jeder Organisation durchschnittlich 16.500 zuvor unbekannte Zertifikate fanden.

Und da immer mehr Software, Cloud-Dienste und Geräte zum Einsatz kommen, könnte eine steigende Anzahl an genutzten Zertifikaten zu einem Höchststand der Anzahl an Ausfällen führen – es sei denn, Unternehmen sind in der Lage, dieses Problem in den Griff zu bekommen. Abgesehen vom Verlust der Geschäftskontinuität offenbaren die von abgelaufenen Zertifikaten verursachten Ausfälle eine noch größere Bedrohung: Ein Unternehmen mit abgelaufenen Zertifikaten hat nicht im Griff, was vertrauenswürdig ist oder nicht, was Freund oder Feind ist. Da ist ein erfolgreicher Angriff vorprogrammiert.

Kontrolle erlangen

In vielen Organisationen werden Zertifikate nicht zentral verwaltet, so dass diese in Vergessenheit geraten, was bedeutet, dass abgelaufene Zertifikate Ausfälle verursachen können. Bei so vielen Zertifikaten im Einsatz ist es schwierig, die Ablaufdaten zu verfolgen, insbesondere, wenn einige Verfallszeiten von zehn Jahren und mehr aufweisen. Aber in vielen Fällen haben Unternehmen gar nicht erst einen richtigen Überblick erlangt.

Zur Veranschaulichung stellen wir uns vor, Unternehmen X würde einen Zulieferer damit beauftragen, eine Web-App zu entwickeln. Damit diese Web-App läuft, ist ein Zertifikat erforderlich und so schnappt sich der Auftragnehmer schnell eines von GoDaddy, vergisst aber, es irgendjemand anderem im Unternehmen zu sagen. Sobald die App aktiviert ist, schließt der Zulieferer sein Projekt ab und nimmt sein gesamtes Wissen über das Zertifikat mit, das jetzt eine tickende Zeitbombe ist.

Um solche Szenarien zu verhindern, müssen Unternehmen in der Lage sein, all ihre Schlüssel und Zertifikate mittels umfassender Automatisierung aufzufinden, zu verfolgen und kontinuierlich zu überwachen und sie damit in sicherem und aktivem Zustand zu erhalten. Der Prozess umfasst drei wesentliche Schritte:

Lernen Sie Ihre Infrastruktur kennen: Das klingt einfach, aber um Ausfälle zu verhindern, müssen Sie in einem ersten Schritt alles genau planen. Das durchschnittliche Unternehmen hat über 23.000 Zertifikate, also muss jedes Gerät und jede Software, von POS-Kassen bis zu Apps, ausgewiesen und ihr Zertifikatsstatus geklärt werden. Mit steigender Anzahl wird dies eine wachsende Herausforderung für Unternehmen. Dabei ist die Implementierung umfassender Netzwerk-, Cloud- und Anwendungserkennung, die ständig auf dem neuesten Stand gehalten wird, sowie die vollständige Kenntnis der Zertifikate, die sich ständig ändern oder neu eingeführt werden, von entscheidender Bedeutung.

„Zwei Personen, die mit Excel-Datenblättern arbeiten, sind vielleicht in der Lage, ein paar hundert Zertifikate zu verfolgen, jedoch immer mit der Gefahr von Fehlern und Ausfällen.“

Kevin Bocek, Venafi

 

Übernehmen Sie Eigenverantwortung: Entwickelt man ein umfassendes Verständnis für die einzelnen Schlüssel und Zertifikate, ist es einfach, Zuständigkeiten und Verantwortlichkeiten festzulegen. Dann, bis zur Einführung einer vollständigen Automatisierung, sind die maßgeblichen Personen in der Lage, auf Meldungen zu reagieren und Zertifikate zu wechseln, die bald ablaufen werden. Ohne diesen Schritt gibt es langfristig wenig Hoffnung, von Zertifikaten verursachte Ausfälle eliminieren zu können. Bei vielen Unternehmen werden Zertifikate jedoch manuell oder auf Arbeitsblättern verfolgt, die nur wenige Mitarbeiter kennen, wodurch das Risiko für Ausfälle aufgrund menschlichen Versagens erheblich steigt.

Führen Sie Automatisierung ein: Nachdem bestimmt wurde, wo sich alle Schlüssel und Zertifikate befinden, das Eigentum ermittelt und eine Richtlinie zur Ausstellung und Erneuerung der Zertifikate eingeführt wurde, besteht der letzte Schritt darin, den Vorgang der Ausstellung, Erneuerung und des Widerrufs vollständig zu automatisieren. Das bedeutet, dass Schlüssel und Zertifikate automatisch von vertrauenswürdigen CAs (Zertifizierungsstelle, Certificate Authority) erzeugt, ausgegeben und erneuert werden und sicher installiert und validiert werden. Fehler und Ausfälle, von denen sogar Unternehmen wie Microsoft geplagt wurden, werden ausgemerzt. Automatisierung verringert die Möglichkeit menschlicher Fehler und senkt gleichzeitig ganz erheblich die Kosten. Zwei Personen, die mit Excel-Datenblättern arbeiten, sind vielleicht in der Lage, ein paar hundert Zertifikate zu verfolgen, jedoch immer mit der Gefahr von Fehlern und Ausfällen. Wird jedoch ein automatisiertes System genutzt, können zwei Personen den Schutz für über 100.000 Schlüssel und Zertifikate weitaus sicherer orchestrieren.

Die Einführung von Automatisierung kann Unternehmen in der realen Welt schützen: Erst vor kurzem verursachte die CA GlobalSign einen Fehler, der zur Folge hatte, dass fast alle von ihr ausgestellten Zertifikate von den Browsern als nicht vertrauenswürdig erachtet wurden. Bei einem automatisierten System könnte eine Organisation einfach den von GlobalSign vorgeschlagenen Fix anwenden oder die Zertifikate durch andere ersetzen. Ohne Automatisierung könnte eine Organisation, während sie sich bemüht, zu verstehen, wie all ihre Schlüssel und Zertifikate funktionieren, über Tage ins Chaos verfallen. In der Zwischenzeit können Kunden nicht auf Online-Dienste zugreifen.

Menschliches Versagen ist unvermeidbar und manche Ausfälle sind einfach unvorhersehbare Ereignisse. Die Kosten eines Ausfalls sind jedoch so hoch, dass Unternehmen dafür sorgen müssen, dass alles getan wird, das Risiko eines unerwartet eintretenden Ausfalls mit verheerenden Folgen zu mindern. Solange die Nutzung nicht automatisiert ist, besteht jeden Tag die Gefahr, dass einer der Zigtausend Schlüssel und Zertifikate ohne Warnung abläuft.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Was bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche?

Die Bedeutung von Schlüsseln und Zertifikaten für die Internetsicherheit.

Der Unterschied zwischen einer digitalen Signatur und einem digitalen Zertifikat.

Artikel wurde zuletzt im November 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close