Unterschätze Gefahr: Unternehmen vernachlässigen Schlüssel und Zertifikate

Angriffe auf Schlüssel und Zertifikate sind ein lohnenswertes Ziel für Cyberkriminelle. Unternehmen müssen endlich reagieren und sich besser schützen.

Das Internet ist das Lebenselixier der heutigen Wirtschaft. Börsenwerte in Milliardenhöhe werden mithilfe von Innovationen und Produktivitätszuwächsen aufgebaut, die auf dem Internet und vernetzten Technologien beruhen. Wenn Sicherheitsexperten jetzt befürchten, dass das Vertrauen in das Internet und deren Dienste akut bedroht ist, wird dies vermutlich eine Überraschung für viele deutsche Unternehmen sein. Sie gehen seelenruhig ihren täglichen Geschäften nach und verlassen sich einfach darauf, dass das Vertrauenssystem des Internets funktioniert.

Fakt ist jedoch, dass die Unternehmen in Deutschland, Österreich und auch der Schweiz ihre Scheuklappen abnehmen und sich den Problemen der Internetsicherheit stellen müssen, anstatt die Köpfe in den Sand zu stecken. In einer Umfrage für den Cost of failed Trust Report 2015 des Ponemon Instituts räumten erschreckende 100 Prozent der teilnehmenden deutschen Unternehmen ein, dass sie allein in den letzten beiden Jahren mehrfach Opfer von Angriffen auf ungesicherte kryptographische Schlüssel und digitale Zertifikate geworden sind. Schlüssel und Zertifikate sind das Fundament der Sicherheit und wurden vor zwanzig Jahren in dem Bestreben entwickelt, die ersten Sicherheitsprobleme des Internets zu lösen: nämlich die Frage, worauf man online vertrauen und ob man vertraulich kommunizieren kann. Was uns jedoch fehlt, ist ein Immunsystem, dass es ermöglicht, diese Schlüssel und Zertifikate zu schützen; zu erkennen, ob sie wirklich vertrauenswürdig sind; und sie zu finden und zu ersetzen, wenn dies nicht der Fall ist.

Caption: Kevin Bocek, VenafiKevin Bocek, Venafi

Wenn die Unternehmen nicht handeln, werden sie nicht auf das vorbereitet sein, was Sicherheitsexperten als „Krypto-Apokalypse“ bezeichnen – einen kompletten Zusammenbruch des Internets, wie wir es heute kennen, der die Wirtschaft ins Chaos stürzen würde. Diese Situation würde eintreten, wenn Cyberkriminelle einen hohen Verschlüsselungsstandard wie den von RSA entwickelten Algorithmus kompromittieren würden.

Warnzeichen sehen wir bereits. So stahlen etwa im vergangenen Jahr russische Cyberkriminelle ein SSL/TLS-Zertifikat von einer der fünf größten globalen Banken. Dies versetzte Cybergangster in die Lage, sich als diese Bank auszugeben und 80 Millionen Datensätze von Kunden zu stehlen. In einem anderen Fall gelang es Hackern mithilfe von SSL/TLS-Schlüsseln und -Zertifikaten, Daten von 4,5 Millionen Patienten zu entwenden. Führende Branchenanalysten haben festgestellt, dass der Missbrauch von Schlüsseln und Zertifikaten ein wesentlicher Bestandteil von Advanced Persistent Threats (APT) ist und im Epizentrum cyberkrimineller Aktivitäten steht.

Deutlich wurde diese traurige Realität in der genannten Ponemon-Studie. Es ist die erste Studie ihrer Art, die sich mit dem Vertrauenssystem des Internets beschäftigt und der Frage nachgeht, was bei einem Zusammenbruch dieses Systems geschieht. In der Studie räumten mehr als die Hälfte der britischen Befragten ein (54 Prozent) ein, dass das durch Schlüssel und Zertifikate erzeugte Vertrauen in Gefahr sei – die Technologie, die Vertrauen und Datenschutz im Internet gewährleisten soll. Und was noch beunruhigender ist: 46 Prozent vermeiden es überhaupt, sich mit dem Vertrauensproblem auseinanderzusetzen.

Wissen Sie, wo Ihre Schlüssel und Zertifikate sind?

Wenn 63 Prozent der Unternehmen nicht wissen, wo sich ihre Schlüssel und Zertifikate befinden oder wie sie genutzt werden, dann liegt es auf der Hand, dass zwischen Unternehmen, ihren Kunden und Partnern in Wirklichkeit gar kein Online-Vertrauen aufgebaut werden kann. Doch ohne das Vertrauen auf Basis der Schlüssel und Zertifikate, die überall eingesetzt werden – von Online-Shopping und Mobilität bis hin zu Bankgeschäften und der Kommunikation mit Behörden –, fällt das Internet direkt in eine Art „Steinzeit“ zurück. Die Nutzer können dann nicht feststellen, ob eine Website oder mobile Anwendung wirklich sicher ist. Und wie viel Lust hätten Sie in diesem Fall noch, online Geschäfte zu tätigen?

Die potenziellen Folgen können gar nicht überschätzt werden. Die finanziellen Risiken für deutsche Unternehmen durch Angriffe auf Schlüssel und Zertifikate werden sich Prognosen zufolge in den nächsten beiden Jahren auf mindestens 16 Millionen Euro belaufen.

Zertifikate werden von Cyberkriminellen zu Preisen von 900 Euro gehandelt

Deutsche Unternehmen müssen die wachsende Zahl von Angriffen auf Schlüssel und Zertifikate als Weckruf betrachten. Sie müssen sich klar machen, dass sie nicht blind auf Schlüssel und Zertifikate vertrauen dürfen, die jederzeit von Cyberkriminellen ausgenutzt werden können. Wir brauchen ein Immunsystem, um zu wissen, was zu uns gehört und was vertrauenswürdig oder nicht vertrauenswürdig ist. Und je mehr wir auf Cloud- und DevOps-Umgebungen setzen, desto dringender benötigen wir ein schnell hochfahrbares, schlagkräftiges Immunsystem, um die Sicherheit und Vertrauenswürdigkeit aufrechtzuerhalten.

Die Gesamtzahl der Schlüssel und Zertifikate in einem durchschnittlichen Unternehmen beträgt 24.000 – 34 Prozent mehr als noch vor zwei Jahren. Das liegt am vermehrten Einsatz auf Webservern, Netzwerkgeräten und bei Cloud-Diensten.

Da es zu Schlüsseln und Zertifikaten keine Alternativen gibt, muss ihr angemessener Schutz höchste Priorität haben. Unternehmen müssen stets genau wissen, wo ihre Schlüssel und Zertifikate liegen, und dafür sorgen, dass bestehende Schwachstellen behoben und Schlüssel und Zertifikate automatisch geändert und ersetzt werden.

Wenn Cyberkriminelle angreifen, kümmern sie sich meist nicht darum, wie groß ein Unternehmen ist oder welcher Branche es angehört.

Die Unternehmen müssen strikte Richtlinien einführen, um zu wissen, wem sie vertrauen können und wem nicht. Vor der Ausstellung eines Zertifikats muss sich ein Unternehmen genau darüber im Klaren sein, wozu dieses Zertifikat dient, wer intern dafür verantwortlich ist und ob es den bestehenden Sicherheitsregeln entspricht. Und angesichts der verstärkten Nutzung von Cloud- und DevOps-Umgebungen können wir dies nur mit einem Immunsystem erreichen, das automatisiert ist und binnen Sekunden hoch- und herunterskalieren kann.

Dabei dürfen Unternehmen nicht vergessen, auch ihre mobilen Zertifikate in ihre Cybersicherheits-Maßnahmen einzubeziehen. Der Missbrauch solcher Zertifikate für Anwendungen wie Wi-Fi, VPN und MDM/EMM gibt wachsenden Anlass zu Besorgnis, vor allem, weil die Zahl der mobilen Mitarbeiter zunimmt und immer mehr Unternehmen BYOD (Bring Your Own Device) einführen.

Außerdem sollten Unternehmen regelmäßig das Internet durchforsten, um festzustellen, ob dort gestohlene oder gefälschte Zertifikate im Umlauf sind, die angeblich dem Unternehmen gehören. Gestohlene Zertifikate werden mittlerweile zu Preisen von 900 Euro aufwärts gehandelt. Dieses Problem hat solche Dimensionen, dass Intel glaubt, dass hier der nächste große Hacker-Markt entsteht. Das Immunsystem des Unternehmens muss in der Lage sein, diese Probleme zu erkennen, zeitnah auf Anomalien zu reagieren und anfällige Schlüssel und Zertifikate schnell zu reparieren und zu ersetzen.

Unternehmen müssen unbedingt ein breites Spektrum von Kontrollen für Cybersicherheit anwenden. Sie dürfen sich nicht nur auf eine einzige Art von Sicherheitskontrolle konzentrieren. Und von größter Bedeutung ist, dass die grundlegenden Elemente der Sicherheit, wie Schlüssel und Zertifikate, als Allererstes abgesichert werden. Wenn Cyberkriminelle angreifen, kümmern sie sich meist nicht darum, wie groß ein Unternehmen ist oder welcher Branche es angehört.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Bei diesen Firmen war in verschiedenen Führungsrollen innerhalb und außerhalb der USA tätig. Darüber hinaus ist er Buchautor, so konnte er Abhandlungen über PCI Cardholder Data Protection for Dummies und Laptop Encryption for Dummies schreiben. Darüber hinaus war er mitverantwortlich für Forschungsprojekte in Zusammenarbeit mit dem Ponemon Institut über „Cost of Data Breach“, „Cost of Failed Trust“ und weltweite Verschlüsselungstrends. Er hält einen Bachelor of Science in Chemie vom College of William & Mary sowie einen MBA von der Wake Forest University.

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close