barrichello87 - Fotolia

Nutzung von Zertifikaten und Schlüsseln stark angestiegen

Die vermehrte HTTPS-Nutzung ist aus Sicherheitsaspekten begrüßenswert, sorgt aber für einen rasanten Anstieg an zu verwaltenden Zertifikaten.

Viele deutsche Unternehmen setzen mehrere tausend Schlüssel ein, einige Unternehmen sogar mehr als 10.000 Schlüssel. Das ist eines der Ergebnisse einer Studie von Dimensional Research, die von Venafi vorgestellt wurde. Venafi beschäftigt sich mit dem Schutz von Schlüsseln und Zertifikaten, da ist das Thema der Befragung wenig verwunderlich.

Für die Studie wurden insgesamt 505 IT-Profis in den USA, Großbritannien, Frankreich und Deutschland befragt. Die genannten Ergebnisse beziehen sich auf die Sicht der deutschen Befragten. So sei bei 51 Prozent der Befragten die Nutzung von Schlüsseln und Zertifikaten im Jahr 2016 um 25 Prozent gestiegen. Fast jeder Vierte habe angegeben, dass die Nutzung von Zertifikaten und Schlüsseln um mehr als 50 Prozent gestiegen sei.

Und knapp die Hälfte der befragten deutschen IT-Experten rechnet damit, dass die Nutzung von Schlüsseln und Zertifikaten in den nächsten 12 Monaten um mehr als 25 Prozent steigen wird. Laut Venafi stoße man in Unternehmen häufig auf unbekannte Schlüssel und Zertifikate, diese würden ein Sicherheitsrisiko darstellen.

Anlässlich der Vorstellung der Studie hatte SearchSecurity.de Gelegenheit zu einem Gespräch mit Kevin Bocek, seines Zeichens Vice President Security Strategy & Threat Intelligence bei Venafi.

Ist die rasante Zunahme an Schlüsseln und Zertifikaten primär auf die gestiegene Anzahl an genutzten Diensten und das dort zunehmend eingesetzte HTTPS zurückzuführen oder gibt es weitere signifikante Ursachen?

Kevin Bocek: Kurz gesagt: Ja. Das schnelle Wachstum bei Schlüsseln und Zertifikaten wird getrieben von der „Always On“-HTTPS-Verschlüsselungs- und Authentisierungsphilosophie, die entwickelt wurde, um Privatsphäre und Vertrauen gleichermaßen online zu schützen. Jeder neue Webservice, Container oder IoT-Service, jede neue Virtualisierung oder Cloud wird im Allgemeinen so designed, dass er HTTPS bei Default nutzt. Das treibt natürlich die Anzahl von Schlüssel und Zertifikaten in die Höhe. Da diese Zahl stetig wächst, führt die fehlende Sicherheit und Automatisierung jedes Unternehmen in einen Zustand des Chaos. Ein einziger unbekannter HTTPS-Schlüssel oder ein einziges unbekanntes HTTPS-Zertifikat ist ein Enabler für einen sicheren, verschlüsselten Tunnel, für welchen es keinerlei Informationen gibt, sei es, wie er benutzt wird oder welche gefährdende Aktivitäten er verbirgt.

Dieses Chaos stellt nicht nur die passende Basis für Fehler dar – zum Beispiel auslaufende Zertifikate, die zu Ausfällen führen –, sondern kann gleichzeitig auch für Angriffe ausgenutzt werden. 2015 haben deutsche IT-Sicherheitsexperten gemutmaßt, dass die Gefahr eines Angriffs aufgrund eines Missbrauchs von Zertifikaten 10mal größer ist, als dass es zu Fehlern wie eines Ausfalls aufgrund eines ausgelaufenen Zertifikates kommt.

Abseits von eingesetzten Verwaltungslösungen oder manueller Verwaltung: ist in den Unternehmen die Verantwortlichkeit für Zertifikate überhaupt in Form von Personen geregelt?

Kevin Bocek: Unsere aktuelle Umfrage in Zusammenarbeit mit Dimensional Research zeigt, dass es einen allgemeingültigen Glauben (96 Prozent) daran gibt, dass die Verantwortung für Schlüssel und Zertifikate bei den Sicherheitsabteilungen liegen sollte. In der Praxis sieht es aber so aus, dass tatsächlich die System-Administratoren oder die Entwickler die Verantwortung übernehmen. Das führt natürlich zu einer großen Diskrepanz und es ist demnach auch nicht überraschend, dass unsere Umfrage damals zu Tage förderte, dass jedes Unternehmen in Deutschland einen Ausfall wichtiger Services aufgrund eines abgelaufenen Zertifikats erlitten hat.

„Unternehmen sollten damit beginnen, herauszufinden, in welchen kritischen Bereichen ihres Netzwerks und auch in der Cloud Zertifikate überhaupt genutzt werden.“

Kevin Bocek, Venafi

Wenn einige Unternehmen dann einen Verantwortlichen haben, der ein Experte in der Nutzung von Schlüsseln und Zertifikaten ist, wird dieser mit Anfragen überhäuft. Die Automatisierung von Schlüsseln und Zertifikaten ist eine der letzten wichtigen IT-Fragen, die bei der zunehmenden Automatisierung von IT-Services noch offen ist. Sie wird jedoch bei den meisten Unternehmen jedoch noch nicht genutzt.

Gibt es den typischen Ablauf hinsichtlich eines neuen Zertifikates bei manuellen Verwaltungen (etwa über Listen), also eine Art Bad Practice?

Kevin Bocek: Der Gedanke, dass eine Liste (Spreadsheet) bei der Nutzung von Schlüsseln und Zertifikaten ausreicht, ist Teil des Problems. Es ist wichtig, dass Unternehmen die ganze Bandbreite bei dieser Geschichte bedenken. Es sind sowohl die Sichtbarkeit, Umsetzung von Policies und der Self-Service, als auch die Automatisierung und Auditierung für sich genommen wichtig, um dieses Problem erfolgreich zu lösen. Allgemein herrscht der Glaube vor, dass eine einzelne Liste ausreiche, weil es ja nur wenige Zertifikate gäbe, die auslaufen. Diese Annahme ist leider grundverkehrt und lenkt vom wahren Problem ab.

Ein Beispiel: Eine Liste kann keine neuen Zertifikate finden. Eine Liste ist nicht in der Lage, Regeln für Policies aufzustellen. Eine Liste macht es auch den DevOps-Teams nicht einfacher, Zertifikate zu nutzen. Darüber hinaus wird eine Liste keine automatische Distribution von Schlüsseln für eine WAF, eine NGFA oder eine IPS/IDS-Lösung übernehmen, um Bedrohungen im verschlüsselten Datenverkehr aufzudecken. Abschließend kann keine Liste Daten aus Google’s Certificate Transparency verwenden und nicht auf 10 Jahre Erfahrung in der Nutzung von Zertifikaten zurückgreifen, um die Reputation von Zertifikaten zu verstehen und letztlich auch nicht entscheiden, ob einem Zertifikat getraut werden kann oder nicht. Dies alles demonstriert, dass, bevor eine Lösung für dieses Problem gefunden werden kann, es zunächst verstanden werden muss.

Wie kann denn der typische Weg aus einer chaotischen, manuellen Verwaltung hin zu einer zentralisierten Verwaltung in der Praxis aussehen?

Kevin Bocek: Um nicht weiter im Chaos zu verharren und den nächsten Schritt zu einem sicheren Unternehmen zu wagen, müssen Sicherheitsteams zwar in großen Dimensionen denken, aber dabei klein anfangen. Unternehmen sollten damit beginnen, herauszufinden, in welchen kritischen Bereichen ihres Netzwerks und auch in der Cloud Zertifikate überhaupt genutzt werden. Es muss demnach gescannt und die gefundenen Daten in Echtzeit verarbeitet werden. Das Ganze sollte natürlich automatisiert geschehen, denn es ist für eine Einzelperson unmöglich, alle Zertifikate und Schlüssel zu finden.

Sobald ein grundlegendes Verständnis darüber vorhanden ist, wie viele und welche Zertifikate und Schlüssel genutzt werden, können Sicherheitsabteilungen dazu übergehen, Fehler zu beheben und Schwachstellen wie ungeprüfte Certificate Authorities (CA) zu finden. Ein großes Thema sollten hier auch SHA-1-Zertifikate sein, denn hier laufen bis Februar zahlreiche Fristen ab und die Uhr läuft gegen die Verantwortlichen. Anschließend wäre der geeignete Zeitpunkt, um Sicherheitsrichtlinien festzulegen und abzuprüfen. Automatisierung erlaubt Unternehmen beides, Fehler finden und beheben und Sicherheitsrichtlinien zu erlassen.

Die Firmen können dieses Prozedere jederzeit wiederholen und sich immer größere Teile des Netzwerks, aber auch Cloud Services und Geräte ansehen. Weitere Vorteile der Automatisierung sind die Ausführung, Installation und Validierung von Änderungen. Wenn ein Schlüssel und Zertifikat für einen HTTPS-Application-Server eingesetzt wird, kann dieser auch sofort für Load Balancer, WAF oder IPS/IDS eingesetzt werden, um dort den verschlüsselten Datenverkehr zu analysieren. In der Summe führt das dann nicht nur zu einem dramatischen Anstieg bei der Nutzung interner IT Services, sondern reduziert auch die Risiken eines Ausfalls oder von Cyberbedrohungen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kann Googles Certificate Transparency den Zertifikatsmissbrauch verhindern?

Was bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche?

SHA-1-Zertifikate: Der Countdown läuft

Die Ausfallsicherheit von Webservern verbessern

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close