Weissblick - Fotolia
Sicherheitsrisiko Zertifikate und maschinelle Identitäten
Sichere und vertrauenswürdige Identitätsdienste wie digitale Zertifikate und kryptografische Schlüssel sind für Sicherheitsverantwortliche eine Herausforderung. Ein Überblick.
Der Markt für maschinelle Identitäten hat sich im Jahr 2017 immer mehr in den Fokus der IT-Sicherheitsgemeinde gespielt. Die vielen Veränderungen und Herausforderungen in der Branche führten dazu, dass viele IT-Sicherheitsverantwortliche sich schwer damit tun, diesen zu folgen. Sie stehen nun vor der Frage, inwiefern sie ihre Sicherheitskonzepte anpassen oder verändern müssen.
Führende Anbieter wie Symantec und Comodo haben ihr langjähriges Zertifikatgeschäft und ihre entsprechenden Abteilungen verkauft, die Services werden nun von San Francisco Partners und DigitTrust angeboten. Diese Verkäufe kommen zu einer Zeit, zu der die Herausforderungen für die IT-Sicherheit steigen und neue Anbieter von kostenlosen Zertifikaten auf den Markt drängen. Darüber hinaus wurde der Anbieter von Identitäts-Management-Lösungen, Gemalto, von Thales Security übernommen, was zu weiteren Verwerfungen im Sicherheitsmarkt führen wird.
Die Folge dieser Entwicklung ist ein sich beschleunigender Wandel mit entsprechenden Reaktionen aus der Branche. Daraus lässt sich schließen, dass die Absicherung von maschinellen Identitäten derzeit das wohl heißeste und am breitesten diskutierte Trendthema der IT-Sicherheit ist.
Vielmehr noch kann davon ausgegangen werden, dass sich dieser Trend halten wird und die Bedeutung sogar noch zunehmen wird. Es ist zwar unmöglich, die nächsten Schwachstellen vorherzusagen, die ähnliche Auswirkungen haben wie Heartbleed, allerdings werden die Risiken, die mit der Absicherung von maschinellen Identitäten einhergehen, eher zunehmen als abnehmen.
Nachfolgend werden einige Anbieter von maschinellen Identitäten aufgelistet. Diese Zertifizierungsstellen sind als Alternativen zueinander anzusehen, die je nach der Aufgabenstellung und der Risikobewertung anhand der vorgestellten Kriterien als Partner interessant sein könnten. Aufgelistet werden explizite Empfehlungen des Autors, denn die Liste ist definitiv nicht vollständig.
Neben der Entscheidung für oder gegen eine Zertifizierungsstelle ist es für Unternehmen wichtig, dass sie ein Management-Tool nutzen, um die verwendeten maschinellen Identitäten automatisch zu erkennen und zu verwalten. Nur dann wird aus der reaktiven eine aktive Haltung und die Verantwortlichen werden von den sich ändernden Marktentwicklungen nicht überrascht.
Viele IT-Abteilungen setzen sich inzwischen intensiver mit der Thematik digitale Zertifikate und kryptografische Schlüssel auseinander. Die Gefahr besteht jedoch, dass durch das Überangebot an kostenlosen Zertifikaten das eigentliche Problem nur verschoben, und letztlich nicht behoben wird.
Hier besteht der Zwang zur Veränderung, denn durch Trends wie IoT und Cloud Computing wird die Anzahl der sogenannten maschinellen Identitäten zunehmend unkontrollierbar werden.
Die Basis der maschinellen Identitäten stellen digitale Zertifikate und kryptografische Schlüssel dar. Hier werden die Informationen gespeichert, die für eine gegenseitige Erkennung und den Vertrauensaufbau wichtig sind, die für eine fehlerfreie Kommunikation und den Zugang zu wichtigen Informationen unerlässlich sind.
In der IT verfügen alle Maschinen beziehungsweise Geräte über eine eigene Identität. Die Wiedererkennung ist wichtig, um relativ schnell und unbürokratisch Zugriff auf bestimmte Systeme, Daten, Verzeichnisse etc. zu erhalten. Hierbei gilt jedoch der Grundsatz: „So viel Zugriff wie nötig und so wenig Zugriff wie möglich.“
Diese Steuerung des Zugriffs wird über die Identität einer Maschine bestimmt. Informationen, die in einer maschinellen Identität gespeichert und von einer anderen Maschine erkannt werden, sind beispielsweise was dieses Gerät macht, wo es sich IP-technisch befindet und ob ihr vertraut, sprich der Zugriff erlaubt werden kann oder nicht.
Sicherheitsrisiken, mit denen die Branche noch nie zuvor konfrontiert wurde
Wir haben bereits anhand der Ergebnisse von diversen Studien und Reports der letzten Jahre gesehen, dass immer mehr Sicherheitslücken in unsicheren Verschlüsselungen festgestellt werden. Es ist nur eine Frage der Zeit, bis diese Schwachstellen von Cyberkriminellen ausgenutzt werden.
Bereits vor einigen Jahren haben wir über eigene Recherchen festgestellt, dass es einen Schwarzmarkt für gestohlene Zertifikate und Schwachstellen in kryptografischen Schlüsseln gibt, der stetig an Bedeutung gewinnt und auch immer höhere Preise aufruft.
Ganz konkret konnten wir die Folgen an dem NSA-Hack, dem Sicherheitsvorfall bei Yahoo oder bei Uber verfolgen. Alle diese Vorfälle machten Schlagzeilen, weil gestohlene Zertifikate oder Lücken in der Verschlüsselung ein Eindringen der Angreifer ermöglichte.
Die Enthüllungen rund um die Cyberwaffen der NSA lassen darüber hinaus für die Zukunft nichts Gutes erahnen, wenn es darum geht, IT-Systeme und Services vor Cyberbedrohungen abzusichern.
Darüber hinaus konnten wir anhand der Debatte Google vs. Symantec sehen, dass selbst Zertifizierungsstellen mit einem guten Ruf in der Branche diesen leicht wieder verlieren können.
Kriterien zur Auswahl von Zertifizierungsstellen
Unter dem Aspekt des Risiko-Managements wurden die folgenden Kriterien bei der Zusammenstellung der unten aufgeführten Zertifizierungsstellen zurate gezogen:
- Unterhält die Zertifizierungsstelle ein Büro in Europa und hält die DSGVO ein?
- Verfügt die Zertifizierungsstelle über starke Sicherheitsmechanismen und nutzt starke Verschlüsselung?
- Stimmen die Geschäftsziele der Zertifizierungsstelle mit den eigenen Zielen überein?
- Stimmen der Betrieb und die Anbindung der Schnittstellen mit den eigenen Anforderungen überein?
- Passt die Skalierung zu meinen Bedürfnissen?
- Gibt es Möglichkeiten einer Integration in Plattformen, mit denen sich maschinelle Identitäten verwalten lassen und die eine automatisierte Übersicht über die verwendeten Zertifikate und Schlüssel zulässt?
Globale Anbieter
DigiCert: Der weltweite Anbieter von Standard und Wildcard SSL-Zertifikaten hat mit dem Erwerb der entsprechenden Services-Stellen von Symantec sein Portfolio noch einmal ausbauen können. Die übernommene Sparte wurde wiederum von Symantec 2010 von Verisign gekauft. Die US-Sicherheitsfirma wird aber auch über die Transaktion hinaus Anteile an DigiCert halten. Seit 2003 ist es der Anspruch des Unternehmens, den Erwerb von SSL-Zertifikaten so einfach wie möglich zu gestalten.
Entrust: Standard und Wildcard SSL-Zertifikate bietet auch Entrust an. Bei dem Unternehmen handelt es sich um eine Ausgründung aus einer Abteilung von Nortel Secure Networks. Der Anbieter agiert seit 1994 auf dem Markt und bietet auch entsprechende Services rund um das Identitäts-Management an.
Europäische Anbieter
GlobalSign: Ein weiterer Anbieter auf globaler Ebene ist GlobalSign. Die Zertifizierungsstelle bietet verschiedenste Zertifikate und auch Wildcard-Zertifikate in verschiedenen Preiskategorien mit verschiedenen Laufzeiten an. Der Anbieter ist darüber hinaus auch Gründungsmitglied des CA/B Forums, einem freiwilligen Zusammenschluss von Zertifizierungsstellen sowie Anbietern von Browsern, Betriebssystemen und anderen PKI-Applikationen. Als Teilnehmer der Initiative Kantara und des Certificate Authority Security Councils, einer Gruppe von verschiedenen Anbietern, setzt sich das Unternehmen außerdem für die Entwicklung von Standards im Bereich Internetsicherheit ein.
Comodo: Der König ist tot, lang lebe der König. Obwohl Comodo sein Zertifikatsgeschäft verkauft hat, werden die Services weiterhin angeboten. Mit dem Verkauf an Francisco Partners dem Mehrheitseigentümer der NSO Group ging ein Raunen durch die Branche. Doch die SSL-Zertifikate werden allesamt weiterhin angeboten, nur unter einem anderen Dach.
Quo Vadis: Der Anbieter mit Büros in Belgien, Deutschland, der Schweiz und sogar den Bermudas offeriert Standard und Root SSL-Zertifikate sowie ergänzende Services zum Schutz digitaler Identitäten. Gegründet wurde das Unternehmen im Jahr 1999. Seitdem hat es sein Angebot kontinuierlich ausgebaut und weitere Regionen über lokale Standorte erschlossen.
Experten für maschinelle Identitäten in Deutschland
Deutsche Telekom: Das TrustCenter der Telekom, die TeleSec, wurde 1994 gegründet und bietet als Zertifizierungsstelle digitale Zertifikate wie TLS oder SSL in dem Service Serverpass an und gehört seit 2001 zur T-Systems. Zu den Services gehören Standard-Zertifikate (ein Eintrag), Standard-Zertifikate mit zusätzlichen SAN-Einträgen (SAN=Subject Alternative Names) und Zertifikate mit Wildcard-Zeichen, die eine ganze Hierarchie ersetzen können. Verfügbar sind Zertifikatslaufzeiten von ein bis drei Jahren. Darüber hinaus werden auch EV- beziehungsweise EV SAN-Zertifikate (EV = Erweitertes Prüfverfahren, SAN = mehrere alternative Namen) mit einer Laufzeit bis zu zwei Jahren offeriert.
D-Trust: Mit dem Tochterunternehmen D-Trust stellt die Bundesdruckerei ebenfalls TLS- und SSL-Zertifikate aus. Zu dem Service zählen auch Root- und Wildcard Zertifikate, die über den Zertifizierungsdienstleister bezogen werden können. Die Services basieren auf Standard-Protokollen und nutzen aktuelle Kryptotechnik und werden in verschiedenen Preiskategorien mit verschiedenen Laufzeiten angeboten.
Spezielle und neue innovative Anbieter
Let’s Encrypt: Eine Möglichkeit ist der bereits angesprochene Service von Let’s Encrypt. Denn mit Let’s Encrypt steht eine kostenlose und frei zugängliche Alternative zur Verfügung, die keine Extended-Zertifikate ausstellt. Dadurch eignen sich diese „Domain-Validation“-Zertifikate nicht für sämtliche Einsatzzwecke. Die durch Let’s Encrypt zur Verfügung gestellten Zertifikate benötigen keine Überprüfung der Identität des Antragstellers, es findet lediglich eine automatisierte Prüfung statt, die nur die Kontrolle über das System zu einem bestimmten Zeitpunkt überprüft.
Google: Im Januar 2017 hat Google seine Certificate Authority GIAG2 ins Leben gerufen und bietet nun Root-Zertifikate an. Diesen Schritt hat das Unternehmen beschritten, um für mehr Sicherheit in der Kommunikation zwischen den Services, die es anbietet, zu sorgen. Dafür hat Google unter anderem die Zertifizierungsstellen Global Sign R2 und R4 erworben. Schon lange engagiert sich Google außerdem in der Certificate Transparency Initiative.
Amazon: AWS Certificate Manager ist ein Service, mit dem SSL- und TLS-Zertifikate (Secure Sockets Layer/Transport Layer Security) zur Verwendung mit AWS-Services bereitstellen und verwalten können. Mit dem AWS Certificate Manager können Zertifikate angefordert, auf AWS-Ressourcen wie Elastic Load Balancers, Amazon-CloudFront-Verteilungen oder APIs auf API Gateway bereitgestellt werden. Der Service übernimmt auch die Durchführung von Zertifikatserneuerungen. Durch AWS Certificate Manager bereitgestellte SSL-/TLS-Zertifikate sind kostenlos. Bezahlt wird für die AWS-Ressourcen, die zum Ausführen der Anwendung erstellt werden.
Verantwortung der IT-Sicherheitsabteilung
Wichtiger als die Wahl des Zertifizierungsanbieters ist jedoch, dass sich die IT-Sicherheitsabteilungen ihrer Verantwortung für die Absicherung von maschinellen Identitäten bewusster werden.
Nur wer weiß, welche maschinellen Identitäten im Unternehmen eingesetzt werden und wie sich diese automatisiert verwalten lassen, wird sich in Zukunft auf die Sicherheit der Systeme verlassen können. Andernfalls kann er noch so viele Investitionen in IT-Sicherheit tätigen, er wird die blinden Flecken seiner IT übersehen und sein Unternehmen durch zahlreiche unbekannte Sicherheitslücken gleich zahlreichen Risiken aussetzen.
„Nur wer weiß, welche maschinellen Identitäten im Unternehmen eingesetzt werden und wie sich diese automatisiert verwalten lassen, wird sich in Zukunft auf die Sicherheit der Systeme verlassen können.“
Kevin Bocek, Venafi
Deshalb muss der Auftrag lauten, sich einen Überblick zu verschaffen und diesen stets aktuell zu halten, um böse Überraschungen zu vermeiden.
Fazit
Der Markt für maschinelle Identitäten steht seit der Nutzung des Internets durch breitere Massen erstmals vor einem riesigen Wendepunkt. Doch die Veränderungen greifen wesentlich tiefer, als dass sich bekannte Anbieter wie Symantec und Comodo aus dem Geschäft zurückziehen und nun andere Dienstleister diese Lücken besetzen.
Vielmehr nimmt die Bedeutung von sicheren und vertrauenswürdigen Identitätsservices wie digitale Zertifikate und kryptografische Schlüssel zu. Zusätzlich steigt die Nutzung von maschinellen Identitäten, zum Beispiel durch die Verbreitung von Cloud-Services und IoT-Geräten. Cyberkriminelle werden immer besser darin, Schwachstellen in der Verschlüsselung auszukundschaften und auszunutzen.
Darüber hinaus nimmt die Diskussion auch durch die Ankündigungen der Browseranbieter wie Google, Microsoft oder Apple an Fahrt auf, bestimmte Zertifikate und Verschlüsselungsalgorithmen nicht mehr als vertrauenswürdig einzustufen. Auch die im Mai 2018 in Kraft tretende DSGVO wird die Diskussionen um maschinelle Identitäten, und wie man diese verwaltet und absichert, einen weiteren Schub verleihen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
