phonlamaiphoto - stock.adobe.com
Maschinenidentitäten: Im Darknet werden Rekordpreise erzielt
Trends wie maschinelles Lernen und IoT sorgen für ein gesteigertes Interesse von Cyberkriminellen an Maschinenidentitäten. Dabei werden gänzlich neue Angriffsszenarien entwickelt.
Eine kürzlich durchgeführte Umfrage unter 550 CIOs förderte zu Tage, dass im letzten Jahr zwei Drittel dieser Befragten in ihren Unternehmen zertifikatsbedingte Ausfälle erlebt haben. Sie betrafen dabei auch regelmäßig kritische Geschäftsanwendungen und beeinträchtigten wichtige Kundenservices.
Während sich Mitarbeiter mit Benutzernamen und Passwörtern identifizieren und autorisierten Zugriff auf Anwendungen und Dienste erhalten, verwenden Maschinen digitale Zertifikate als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. In diesem Jahr werden Unternehmen weltweit voraussichtlich über 10 Milliarden US-Dollar für den Schutz von Passwörtern ausgeben, aber sie werden fast nichts für den Schutz von Maschinenidentitäten ausgeben. Die meisten Verantwortlichen haben kein klares Verständnis dafür, wie viele Maschinenidentitäten in ihren Unternehmen verwendet werden, welche Geräte sie verwenden und wann sie ablaufen.
Zertifikatsbedingte Ausfälle beeinträchtigen die Zuverlässigkeit und Verfügbarkeit wichtiger Netzwerksysteme und -dienste und sind gleichzeitig äußerst schwierig zu diagnostizieren und zu beheben. Leider leidet die überwiegende Mehrheit der Unternehmen routinemäßig unter diesen Ereignissen. Sogar 74 Prozent der Befragten sahen sich innerhalb der letzten 24 Monate mit ähnlichen Ereignissen konfrontiert. Letztlich verdeutlichen die Zahlen, dass zertifikatsbedingte Ausfälle in Zukunft wahrscheinlich komplizierter, häufiger und kostspieliger werden. 85 Prozent der Befragten CIOs glauben, dass die zunehmende Komplexität und Interdependenz der IT-Systeme Ausfälle in Zukunft noch schmerzhafter machen wird. Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit minimalen Wachstumsraten von mehr als 50 Prozent rechnet.
Während 50 Prozent der CIOs befürchten, dass sich Zertifikatsausfälle auf das Kundenerlebnis bei der Nutzung von Unternehmensservices auswirken, sind 45 Prozent eher über den Zeit- und Ressourcenverbrauch in der IT-Abteilung besorgt. Denn letztlich kostet jeder Ausfall Geld und zwar pro Minute. In der Zeit, in der die IT-Systeme nicht genutzt, Services von Kunden nicht abgerufen werden können, können Mitarbeiter nicht arbeiten und Kunden wechseln einfach zur Konkurrenz. Dies alles kostet viel Geld und ist letztlich unnötig.
Mangel an Visibilität ist ein Grund für Ausfälle
Ein Hauptgrund für Ausfallzeiten durch abgelaufene Zertifikate ist, dass Unternehmen zumeist nicht genau beziffern können, wie viele Zertifikate eigentlich genau im Einsatz sind. Dieser Mangel an umfassender Transparenz und Intelligenz führt zu dann zwangsläufig zu Ausfällen. Zertifikate steuern die Authentifizierung und Kommunikation zwischen Maschinen, deshalb ist es so wichtig, dass sie nicht unerwartet ablaufen. Und da die Symptome eines maschinenidentitätsbedingten Ausfalls vielen andere Hard- und Softwarefehler ähneln, ist die Diagnose bekanntlich zeitaufwändig und schwierig.
Vor kurzem betraf ein maschinenidentitätsbedingter Ausfall 32 Millionen Mobilfunkkunden in Großbritannien. Schätzungen zufolge könnte dies das Unternehmen O2 über 100 Millionen US-Dollar gekostet haben. Höher wird vor allem der Reputationsschaden gewesen sein, denn Schuld an dem Ausfall war ein abgelaufenes Zertifikat in einer Software eines Zulieferers. Daraus folgt, dass Unternehmen die Kontrolle über alle ihre Zertifikate erlangen müssen; andernfalls ist es einfach eine Frage der Zeit, bis dieses abläuft und einen Ausfall verursacht, dessen Ursache erst einmal mit einer aufwendigen Fehleranalyse gefunden werden muss. CIOs benötigen deshalb mehr Transparenz, Intelligenz und Automatisierung des gesamten Lebenszyklus aller digitaler Zertifikate und kryptographischer Schlüssel.
Maschinenidentitäten im Darknet
Ergebnisse einer wissenschaftlichen Untersuchung über die Verfügbarkeit von SSL/TLS-Zertifikaten im Darknet und ihre Bedeutung für die Cyberkriminalität ergab, dass Maschinenidentitäten öfter und zu höheren Preisen gehandelt werden als Ransomware oder Zero-Day-Sicherheitslücken. Die Forschung wurde von Wissenschaftlern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey durchgeführt. Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen diese verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten werden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.
Nicht alle Darknet-Zertifikate kommen von Let’s Encrypt
Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten, zu viele davon stammen nicht von der Let’s Encrypt CA. Darüber hinaus werden eine Reihe damit zusammenhängender Dienstleistungen und Produkte angeboten, die für Angreifer eine Art Komplettpaket darstellen. Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
„Zertifikatsbedingte Ausfälle beeinträchtigen die Zuverlässigkeit und Verfügbarkeit wichtiger Netzwerksysteme und -dienste und sind gleichzeitig äußerst schwierig zu diagnostizieren und zu beheben.“
Kevin Bocek, Venafi
Eine Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.
Validierungszertifikate als ultimative Cyberwaffe
Doch es wird noch schlimmer, denn die Forscher haben erweiterte Validierungszertifikate gefunden. Sie sind mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet. Mindestens ein Anbieter auf dem Darknet-Marktplatz BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren. Im weiteren Verlauf der Untersuchung wird außerdem gezeigt werden, dass auch andere Webseiten von Unternehmen aus anderen Ländern gefälscht werden können, es kommt nur auf die kriminelle Energie des Käufers an.
Fazit
Die Ergebnisse beider Untersuchungen zusammengeführt zeigen, dass Ausfälle von IT-Infrastrukturen und -Services durch Maschinenidentitäten einerseits kostspielig sind und immer häufiger auftreten. Andererseits werden sie in einschlägigen Marktplätzen und Foren im Darknet immer intensiver beworben und zu hohen Preisen gehandelt.
Mit dem exponentiellen Wachstum der Maschinenidentitäten durch Trends wie IoT und maschinelles Lernen steigt das Interesse von Cyberkriminellen und anderen Gruppierungen, die darüber hinaus auch vollkommen neue Angriffsszenarien entwickeln. Sicherheitsteams brauchen mehr Visibilität und Intelligenz sowie eine Automatisierung der Nutzung von maschinellen Identitäten. Es muss Schluss sein, dass Fehler und Ausfälle passieren, weil solche Prozesse manuell gesteuert werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
