Sergey Nivens - Fotolia

Zertifikate und Schlüssel: Warum Unternehmen neue Schutzmaßnahmen brauchen

Wegen Problemen mit Schlüsseln und Zertifikaten hat mehr als die Hälfte der Unternehmen in den letzten beiden Jahren schon Kunden verloren.

Jeder war schon einmal krank und zum Medikamente besorgen in der Apotheke. Wenn man allerdings schon beim Eintreten ein schlecht gefälschtes Diplom des Apothekers an der Wand sieht, wird man seine Medizin wahrscheinlich woanders besorgen. Spätestens durch den persönlichen Kontakt wird einem dann sicherlich schnell klar, dass man von jemandem bedient wird, der nicht qualifiziert ist. Dann geht man am besten einfach und sucht sich eine andere Apotheke. Doch nun verlegt man dieses Szenario ins Internet, wo es keinen persönlichen Kontakt gibt. Ohne Vorsichtsmaßnahmen hätte man hier keine Chance, die Echtheit der Person oder Firma zu prüfen.

Wie real das Problem gefälschter Identitäten und missbrauchten Vertrauens in der digitalen Welt ist, hat das Ponemon Institute demonstriert. Für dessen Cost of Failed Trust Report wurden 574 deutsche IT-Fachleute zu Sicherheitsproblemen im Zusammenhang mit Schlüsseln und Zertifikaten befragt. Mehr als die Hälfte aller Befragten räumte ein, dass ihre Unternehmen in den vergangenen beiden Jahren aufgrund mangelnder Vertrauenswürdigkeit von Schlüsseln und Zertifikaten Kunden verloren hatten.

Wie die Ergebnisse weiter zeigen, kam es pro Unternehmen durchschnittlich bereits zweimal zu größeren Unterbrechungen der Geschäftsprozesse, die auf Probleme mit Zertifikaten zurückzuführen waren. Nach Schätzung von Experten kostet eine einzige solche Unterbrechung im Durchschnitt 15 Millionen Euro. Es gab kein Unternehmen, das in den letzten Jahren nicht mindestens bei einem SSL/TLS- oder SSH-Audit versagt hat. Die Nichteinhaltung von Vorschriften ist riskant und macht teure Abhilfemaßnahmen erforderlich. Zudem beziffert das Ponemon Institute das finanzielle Risiko von Cyberangriffen mit 59 Millionen Euro pro Unternehmen.

Neue Sicherheitsarchitekturen für Zertifikate und Schlüssel

Mit einem kompromittierten, gestohlenen oder gefälschten Schlüssel und Zertifikat können Angreifer Websites, Infrastrukturen, Clouds, Mobilgeräte und System-Administratoren überwachen oder sich als diese ausgeben. Das erlaubt außerdem, vermeintlich geschützten Datenverkehr zu entschlüsseln. Und wenn dies geschieht, geht geistiges Eigentum verloren, und der Ruf des betroffenen Unternehmens wird beschädigt. Die gravierendsten Sicherheitslücken und -verstöße der letzten 12 Monate, darunter Heartbleed, haben demonstriert, wie Cyberkriminellen es schaffen, über lange Zeiträume unentdeckt zu bleiben und die bestehenden Sicherheitskontrollen zu umgehen.

Wenn Unternehmen ihre Schlüssel und Zertifikate nicht richtig absichern und verwalten, hat dies direkte finanzielle Konsequenzen in Form von verlorenen Kunden und entgangenem Umsatz. Alle Unternehmen sind von dem Vertrauen abhängig, das durch Schlüssel und Zertifikate geschafft wird, selbst wenn ihnen dies nicht bewusst ist. Darum müssen Sicherheitsteams unbedingt regelmäßige Audits durchführen. So können alle verwendeten Schlüssel und Zertifikate lokalisiert, deren Ablaufdaten ermittelt und dann geeignete Regeln umgesetzt werden, um Datenverluste, ungeplante Ausfälle und nicht bestandene Audits zu vermeiden.

Alle IP-basierten Produkte und Dienste, von Online-Banking und mobilen Anwendungen bis hin zum Internet der Dinge (Internet of Things, IOT), brauchen einen Schlüssel und ein Zertifikat, um eine vertrauenswürdige Verbindung aufbauen zu können. Und mit dem verstärkten Einsatz von SSL/TLS und zunehmenden Mobil-, Wi-Fi- und VPN-Zugängen werden Schlüssel und Zertifikate noch unverzichtbarer. Diese steigende Notwendigkeit erhöht das Risiko für Verfügbarkeit, Compliance und Sicherheit dramatisch.

Das Problem verstehen

Die technologischen Veränderungen machen neue Sicherheitskonzepte erforderlich. Wie die globale Ponemon-Studie zeigt, können 42 Prozent der Befragten kompromittierte Schlüssel und Zertifikate nicht finden oder wissen nicht, wie man dabei richtig vorgeht. Viele weitere setzen eine Kombination aus klassischen Sicherheits-Tools ein, doch Angriffe mit gefälschten oder gestohlenen Schlüsseln und Zertifikaten umgehen solche Schutzmechanismen oft. Und SSL/TLS-Entschlüsselungssysteme könnten Angriffe zwar entdecken, die sich in verschlüsseltem Datenverkehr verbergen, in der Regel haben sie aber keinen ausreichenden Zugriff auf die Schlüssel, um wirkungsvollen Schutz zu bieten.

Mehr als drei Viertel der Befragten erklärten, dass sie nach einem Sicherheitsverstoß nur eine teilweise Wiederherstellung durchführen und kompromittierte Schlüssel und Zertifikate nicht ersetzen, wodurch sie angreifbar bleiben. Die überwiegende Mehrheit der Unternehmen sind immer noch anfällig für Heartbleed – mehr als ein Jahr nach der Entdeckung dieser Sicherheitslücke.

Um der Lage Herr zu werden, sollten sich Unternehmen zunächst die Bedeutung von Schlüsseln und Zertifikaten vor Augen führen und herausfinden, welche Art von Zertifikaten sie verwenden. Allzu viele Unternehmen glauben, dass sie ihre Zertifikate verwalten können, indem sie diese einfach in eine Tabelle eintragen. Wer für die Zertifikate verantwortlich ist, bleibt dabei unklar. Und die Aktualisierungsprozesse beschränken sich oft mehr oder weniger auf das Markieren von Kästchen.

Fazit

Ohne Vertrauen würde das Internet zusammenbrechen, und der Fortschritt käme zum Stillstand. Allzu oft denken die Nutzer nicht darüber nach, wo ihre Daten eigentlich hingehen und wer sie in die Hand bekommen wird. Unternehmen brauchen eine Sicherheitslösung, die sie befähigt, ihre Schlüssel und Zertifikate zu verwalten und zu schützen.

„IT-Sicherheitsspezialisten müssen sich bewusst machen, dass Schlüssel und Zertifikate für praktisch alles, was heutzutage IP-fähig ist, vertrauenswürdige Verbindungen zulassen.“

Kevin Bocek, Venafi

IT-Sicherheitsspezialisten müssen sich bewusst machen, dass Schlüssel und Zertifikate für praktisch alles, was heutzutage IP-fähig ist, vertrauenswürdige Verbindungen zulassen. Wenn SSL/TLS- und SSH-Schlüssel richtig geschützt und eingesetzt werden, identifizieren sie – ähnlich dem menschlichem Immunsystem –  Webserver, Software, Mobilgeräte, Anwendungen und sogar Sicherheits-Administratoren als „Eigenes“ und als vertrauenswürdig, während alles Missbräuchliche als „Fremdes“ identifiziert und ersetzt oder abgewehrt wird.

Die IT-Verantwortlichen brauchen Tools, die sich in die bestehenden Sicherheitsarchitekturen integrieren und Compliance gewährleisten, ohne den IT-Administratoren zusätzliche Belastungen aufzubürden. Angesichts der neuen Bedrohungslandschaft steht nicht nur die Sicherheit von Unternehmen auf dem Spiel, sondern das Internet als Ganzes. Wenn sich die Unternehmen auf diese Situation nicht einstellen, ist das Vertrauen in jegliche Online-Aktion in Gefahr.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close