Kundenvertrauen in Gefahr

Geprüfte Zertifikate helfen der IT-Sicherheit

11.04.2016
Von 
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich.
Digitale Zertifikate und kryptographische Schlüssel werden für Cyberkriminelle immer interessanter, weil sich nur wenige Unternehmen mit dieser Grundlage der Sicherheit des Internets ernsthaft auseinandersetzen. Diese Laissez-Faire-Einstellung ist gefährlich.

Im Bericht zur Lage der IT-Sicherheit in Deutschland 2015 mahnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu mehr Sorgfalt der User beim Umgang mit ihren Daten: "Persönliche Daten oder digitale Identitäten sind gefährdet, wenn fehlendes Technikverständnis auf unzureichende Transparenz der Angebote trifft. Desinteresse und Überforderung verleiten den Nutzer zum sorglosen Handeln in der digitalen Welt."

Mehr als die Hälfte aller Befragten räumt ein, dass ihr Unternehmen in den vergangenen beiden Jahren aufgrund mangelnder Vertrauenswürdigkeit von kryptographischen Schlüsseln und digitalen Zertifikaten Kunden verloren hat. Es sind als nicht allein "Desinteresse und die Überforderung" der Anwender Schuld. Die Untersuchung zeigt weiter, dass die Unsicherheit zu durchschnittlich zwei Unterbrechungen von Geschäftsprozessen geführt hat. Nach Schätzung von Experten kostet eine einziger dieser Ausfälle im Durchschnitt 15 Millionen Euro. Die Dunkelziffer wird noch höher liegen, denn fast alle untersuchten Unternehmen sind in den letzten Jahren bei mindestens einem SSL/TLS- oder SSH-Audit durchgefallen. Leichtfertiger Umgang mit Zertifikaten stellt Organisationen auch vor Probleme bei deren Bereinigung. Der Aufwand, den die Unternehmen nach einem gescheiterten Audit betreiben müssen, ist immens.

Nur wer vertrauenswürdige Zertifikate einsetzt, hat beim Audit Chancen auf Bestnoten.
Nur wer vertrauenswürdige Zertifikate einsetzt, hat beim Audit Chancen auf Bestnoten.
Foto: donskarpo - www.shutterstock.com

Nutzer sind machtlos gegen kompromittierte Schlüssel und Zertifikate

Selbst wenn Unternehmen und Anwender gleichermaßen vorsichtig sind und Schlüssel und Zertifikate regelmäßig überprüfen und erneuern, können sie Opfer von Betrügern werden. Mit einem kompromittierten oder gestohlenen Zertifikat einer Certificate Authority (CA) können Angreifer Websites, Clouds und Mobilgeräte kapern und Schadsoftware einschleusen oder aber die Nutzer zu anderen Seiten umleiten. Dadurch fällt es ihnen leicht, die Daten ihrer Opfer zu erschleichen oder vermeintlich geschützten Datenverkehr zu entschlüsseln. Bestehende Sicherheitstools werden dadurch einfach ausgehebelt.

Die Warnung des BSI macht klar, wie wichtig das Bewusstsein für mehr Sicherheit ist. Alle Akteure sind von dem Vertrauen in Online-Dienste und Web-Seiten abhängig, das durch Schlüssel und Zertifikate geschaffen wird. Darum müssen Sicherheitsteams unbedingt regelmäßige Audits durchführen. So können alle verwendeten Schlüssel und Zertifikate lokalisiert, deren Ablaufdaten ermittelt und dann geeignete Regeln umgesetzt werden, um Datenverluste, ungeplante Ausfälle und mangelhafte Audits zu vermeiden.

Den nächsten Schritt verstehen

Alle IP-basierten Produkte und Dienste, von Online-Banking und mobilen Anwendungen bis hin zum Internet der Dinge brauchen einen Schlüssel und ein Zertifikat, um eine vertrauenswürdige Verbindung miteinander aufbauen zu können. Mit dem verstärkten Einsatz von SSL/TLS und zunehmenden Mobil-, Wifi- und VPN-Zugängen werden Schlüssel und Zertifikate noch unverzichtbarer. Diese steigende Notwendigkeit erhöht das Risiko für Verfügbarkeit, Compliance und Sicherheit dramatisch. Die technologischen Veränderungen machen neue Sicherheitskonzepte erforderlich.

Wie die globale Ponemon-Studie "Cost of Failed Trust Report" zeigt, können 42 Prozent der Befragten kompromittierte Schlüssel und Zertifikate nicht ausfindig machen oder wissen nicht, wie man dabei richtig vorgeht. Andere setzen eine Kombination aus klassischen Sicherheitstools ein, doch Angreifer mit gefälschten oder gestohlenen Zertifikaten umgehen solche Schutzmechanismen einfach. Mehr als drei Viertel der Befragten erklärten, dass sie nach einem Sicherheitsverstoß nur eine teilweise Wiederherstellung durchführen und Schlüssel und Zertifikate nicht ersetzen, wodurch sie weiter angreifbar bleiben.

Heartbleed blutet immer noch

Die Mehrheit der Unternehmen ist immer noch anfällig für Heartbleed - knapp zwei Jahre nach dessen Entdeckung. Beim Thema digitale Identität haben Unternehmen also noch viel nachzuholen. Der BSI-Bericht wie auch eigene Untersuchungen wie der Ponemon Report unterstreichen, dass das Vertrauen in die digitale Welt bedroht ist. Allzu viele Unternehmen glauben, dass sie ihre Zertifikate und Schlüssel verwalten können, indem sie diese zentral in einer Datei verwalten. Wer für sie verantwortlich ist, bleibt undefiniert. Prozesse zur Aktualisierung der Zertifikate und zum regelmäßigen Austausch der Schlüssel sind entweder veraltet oder aber finden ohne externe Einflüsse wie die Aufdeckung von Heartbleed überhaupt nicht statt.

Fazit

Ohne dieses Mindestmaß an Vertrauen würde das Internet nicht mehr funktionieren. Digitale Zertifikate und kryptographische Schlüssel müssen besser verwaltet und vor Missbrauch geschützt werden. Unternehmen können sich nicht mehr länger allein auf die CAs verlassen. Kostenlose Initiativen wie Let's Encrypt machen deutlich, wie einfach es für Cyber-Kriminelle ist, an Zertifikate zu kommen. Mit diesen echten Zertifikaten können sie dann gefälschte Webseiten wie echt aussehen lassen oder aber in die Machine to Machine-Kommunikation der Geräte untereinander eindringen. Die Möglichkeiten hier Cyber-Spionage oder aber Datendiebstahl zu betreiben, wachsen unter anderem mit dem Internet der Dinge ins Unermessliche.

IT-Sicherheitsspezialisten müssen sich bewusst machen, dass Schlüssel und Zertifikate für praktisch alles, was heutzutage IP-fähig ist, vertrauenswürdige Verbindungen zulassen. Wenn SSL/TLS- und SSH-Schlüssel richtig geschützt und eingesetzt werden, identifizieren sie sichere Zertifikatsketten und blockieren unsichere Seiten - ähnlich dem menschlichen Immunsystem. IT-Sicherheitsverantwortliche brauchen Tools, die sich in die bestehenden IT-Architekturen integrieren lassen und Compliance gewährleisten, ohne den IT-Administratoren zusätzliche Verwaltungs-Belastungen aufzubürden. Angesichts der neuen Cyber-Bedrohungslandschaft steht nicht nur die Sicherheit von Unternehmen auf dem Spiel, sondern das Internet als Ganzes. Wenn sich die Unternehmen auf diese Situation nicht einstellen, ist das Vertrauen in jegliche Internet-Kommunikation in Gefahr. Damit besteht Gefahr für die gesamte nicht nur digitale Wirtschaft und die öffentliche Sicherheit jedes Anwenders. (sh)