Die Bedeutung von Schlüsseln und Zertifikaten für die Internetsicherheit

Experten sagen, dass Angriffe über missbrauchte Zertifikate zunehmen werden. Das Problem wächst dramatisch mit dem Internet der Dinge. Was ist zu tun?

Heartbleed, Shellshock und Poodle sind nur drei der in den letzten Jahren bekannt gewordenen Sicherheitslücken in SSL und TLS. Obwohl bereits länger bekannt und es bereits öffentlich gewordene Missbrauchsfälle gab, haben viele Sicherheitsverantwortliche noch immer nicht entsprechend reagiert. Digitale Schlüssel und Zertifikate stellen die Grundlage für das Vertrauen im Internet dar. Heartbleed & Co. haben diese Voraussetzung jedoch ad absurdum geführt. Doch was sind digitale Schlüssel und Zertifikate eigentlich und wie wird aus ihnen ein Sicherheitsproblem für die Kommunikation im Internet?

Kevin Bocek, Venafi

Mehr und mehr Geräte werden mit dem Internet verbunden, die sogenannten Internet of Things ermöglichen konstante Kommunikation und Datenaustausch. Schnell entstehen wahre Big-Data-Ströme und das alles relativ ungesichert, denn die Kommunikation wird in der Regel durch digitale Zertifikate ermöglicht.

Die Kommunikation zwischen diesen Geräten erfolgt IP-basiert. Das heißt, dass jeder Cyberkrimineller oder jede Spionageorganisation diese Kommunikation manipulieren kann, wenn sie nur das Zertifikat verfälscht. Dieser Vorgang ist leider nicht besonders aufwendig und auch nur sehr schwer nachvollziehbar. Zunächst aber die Grundlagen, was ein Zertifikat macht und wofür es genutzt wird.

Zertifikate schaffen Vertrauen

Ein Zertifikat ist nicht mehr als eine Information, die einer Instanz sendet, dass die andere Instanz bekannt und vertrauenswürdig ist, die mit ihr zu kommunizieren versucht. Es enthält Informationen über den Besitzer des Zertifikats beispielsweise die E-Mail-Adresse, den Namen, die Zertifikatnutzung, die Dauer der Gültigkeit oder den Ressourcenstandort des Distinguished Name. Außerdem ist dort die gebräuchliche Bezeichnung hinterlegt, welcher Person beziehungsweise Organisation die Adresse der Webseite oder die E-Mail-Adresse und nicht zuletzt die Zertifikat-ID gehören. Denn in diesem Fall kann dann über diese Informationen der Urheber und der Zweck des Zertifikats zurückverfolgt werden. Teil des Zertifikats ist auch der öffentliche Schlüssel und ein Hash Tag, um sicherzustellen, dass das Zertifikat auch wirklich echt ist.

Nur signierte Zertifikate sind gute Zertifikate

Diese signierten Zertifikate können eindeutig zugewiesen werden. Nur wenn es eindeutig zugewiesen werden kann, kann es nicht verändert – also verfälscht – werden. Alle Zertifikate werden von einer Zertifizierungsstelle (Certification Authority, CA) verwaltet, die sich um die Sicherheit und den vertrauenswürdigen Status dessen kümmert. Weit verbreitet sind Public-Key-Zertifikate, die auf der letzten gültigen Version des Standards x.509 basieren, also auf x.509v3.

Um die Authentizität des genannten Public-Key-Zertifikats zu verifizieren – mit anderen Worten, um nachzuweisen, dass der genannte Ursprung mit dem tatsächlichen Ursprung übereinstimmt – kommen noch mehr Zertifikate ins Spiel. Sie bilden Zertifikatsketten, die als Validierungspfad bekannt sind und Path Tracking erlauben. Insgesamt bilden die einzelnen Zertifizierungspfade eine robuste Public Key Infrastructure (PKI).

Warum können Zertifikate zu einem Sicherheitsproblem werden?

Cyberkriminelle nutzen Zertifikate aus, um sich Zugriff auf IT-Systeme und Daten zu verschaffen. In einem durchschnittlichen Unternehmen werden 20.000 unterschiedliche Zertifikate und Schlüssel genutzt, Angreifer finden also eine breite Auswahl an Missbrauchsmöglichkeiten.

Es muss ein umfassender Sicherheitsansatz her, der Zertifikate auf ihre Echtheit prüft und die gefälschten in eine Quarantäne verschiebt.

Kevin Bocek, Venafi

Erschwerend kommt oft hinzu, dass nur wenige Unternehmen überhaupt in der Lage sind, eine Auskunft über die Anzahl der Zertifikate zu geben. Sie wissen zumeist selbst nicht, wie viele Zertifikate und Schlüssel in ihrem Unternehmen genutzt werden.

Angreifer nutzen dieses Unwissen aus und setzen zumeist Man-in-the-Middle-Angriffe ein. Sie klinken sich also mit einem kompromittierten Zertifikat in die Kommunikation ein. Beispiele für erfolgreiche Angriffe gibt es bereits viele: der Man-in-the-Middle-Angriff im Iran im Jahr 2011, der Angriff gegen Sony Pictures in den USA Ende 2014 oder der Angriff gegen die amerikanischen Krankenversicherungsunternehmen Anfang 2015, von dem Jeep-Hack im August 2015 ganz zu schweigen. Alle diese Angriffe erfolgten über missbrauchte Zertifikate. Cyberkriminelle haben inzwischen ein paar tausend Trojaner entwickelt, die es ihnen ermöglichen, alle möglichen Zertifikate zu stehlen, zu verändern und wieder einzuschleusen.

Internetsicherheit für Zertifikate und Schlüssel

Zahlreiche Experten nehmen an, dass es in Zukunft noch wesentlich mehr Angriffe über missbrauchte Zertifikate geben wird. Dies ist besonders im Hinblick auf das Internet der Dinge tragisch. Viele dieser neuen Geräte sollen das Leben jedes einzelnen vereinfachen und gleichzeitig Effizienzsprünge in der industriellen Fertigung ermöglichen.

Dies alles sind erstrebenswerte Utopien, die letztlich daran zu scheitern drohen, dass Zertifikate nicht geschützt sind. Sollte das derzeitige Vertrauen in Zertifikate und Schlüssel nachhaltig gestört werden, könnte das für die neue Industriebewegung einen Rückschlag bedeuten. Unternehmen und Anwender, die bereits Prozesse und ihren Lebensalltag umgestellt haben, werden zu Opfern. Andere, die zunächst noch abwarten wollen, werden abgeschreckt.

Das Reputations-Management muss in der Lage sein, tausende Zertifikate und Schlüssel automatisiert zu überprüfen.

Kevin Bocek, Venafi

Hier muss ein umfassender Sicherheitsansatz her, der Zertifikate auf ihre Echtheit prüft und die gefälschten in eine Quarantäne verschiebt.

Ein solches Reputations-Management muss in der Lage sein, tausende Zertifikate und Schlüssel automatisiert zu überprüfen. Nur damit lässt sich feststellen, ob Zertifikate vertrauenswürdig sind oder nicht.

Integrationen von tausenden von Anwendungen und Appliances von F5, Blue Coat, Palo Alto Networks A10, Brocade, Apache, Microsoft und viele andere mehr sind darüber hinaus nötig.

Eine solche Lösung ermöglicht es, Schlüssel und Zertifikate automatisch zu verändern, zu sichern und kontinuierlich zu überwachen. Webseiten werden authentifiziert, Sitzungen werden verschlüsselt und Systeme, die verschlüsselten Traffic auf Bedrohungen untersuchen müssen, können sicher auf Schlüssel und Zertifikate zugreifen.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im September 2015 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close