Im Bericht zur Lage der IT-Sicherheit in Deutschland 2015 mahnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu mehr Sorgfalt der User beim Umgang mit ihren Daten: "Persönliche Daten oder digitale Identitäten sind gefährdet, wenn fehlendes Technikverständnis auf unzureichende Transparenz der Angebote trifft. Desinteresse und Überforderung verleiten den Nutzer zum sorglosen Handeln in der digitalen Welt."
Mehr als die Hälfte aller Befragten räumt ein, dass ihr Unternehmen in den vergangenen beiden Jahren aufgrund mangelnder Vertrauenswürdigkeit von kryptographischen Schlüsseln und digitalen Zertifikaten Kunden verloren hat. Es sind als nicht allein "Desinteresse und die Überforderung" der Anwender Schuld. Die Untersuchung zeigt weiter, dass die Unsicherheit zu durchschnittlich zwei Unterbrechungen von Geschäftsprozessen geführt hat. Nach Schätzung von Experten kostet eine einziger dieser Ausfälle im Durchschnitt 15 Millionen Euro. Die Dunkelziffer wird noch höher liegen, denn fast alle untersuchten Unternehmen sind in den letzten Jahren bei mindestens einem SSL/TLS- oder SSH-Audit durchgefallen. Leichtfertiger Umgang mit Zertifikaten stellt Organisationen auch vor Probleme bei deren Bereinigung. Der Aufwand, den die Unternehmen nach einem gescheiterten Audit betreiben müssen, ist immens.
Nutzer sind machtlos gegen kompromittierte Schlüssel und Zertifikate
Selbst wenn Unternehmen und Anwender gleichermaßen vorsichtig sind und Schlüssel und Zertifikate regelmäßig überprüfen und erneuern, können sie Opfer von Betrügern werden. Mit einem kompromittierten oder gestohlenen Zertifikat einer Certificate Authority (CA) können Angreifer Websites, Clouds und Mobilgeräte kapern und Schadsoftware einschleusen oder aber die Nutzer zu anderen Seiten umleiten. Dadurch fällt es ihnen leicht, die Daten ihrer Opfer zu erschleichen oder vermeintlich geschützten Datenverkehr zu entschlüsseln. Bestehende Sicherheitstools werden dadurch einfach ausgehebelt.
Die Warnung des BSI macht klar, wie wichtig das Bewusstsein für mehr Sicherheit ist. Alle Akteure sind von dem Vertrauen in Online-Dienste und Web-Seiten abhängig, das durch Schlüssel und Zertifikate geschaffen wird. Darum müssen Sicherheitsteams unbedingt regelmäßige Audits durchführen. So können alle verwendeten Schlüssel und Zertifikate lokalisiert, deren Ablaufdaten ermittelt und dann geeignete Regeln umgesetzt werden, um Datenverluste, ungeplante Ausfälle und mangelhafte Audits zu vermeiden.
- Lesen des Zertifikats
Was ist der Prüfgegenstand? - Weiterlesen des Zertifikats
Wurde eine Leistung nur in der Planung geprüft? - Prüfen des Zertifikats
Im geregelten Bereich "Aussteller und Zertifikat" anhand von Online-Datenbanken überprüfen. - Ungeregelte Siegel
Ist das Siegel innerhalb der Branche anerkannt? - Bei Unklarheiten
Vollständigen Prüfbericht anfordern!
Den nächsten Schritt verstehen
Alle IP-basierten Produkte und Dienste, von Online-Banking und mobilen Anwendungen bis hin zum Internet der Dinge brauchen einen Schlüssel und ein Zertifikat, um eine vertrauenswürdige Verbindung miteinander aufbauen zu können. Mit dem verstärkten Einsatz von SSL/TLS und zunehmenden Mobil-, Wifi- und VPN-Zugängen werden Schlüssel und Zertifikate noch unverzichtbarer. Diese steigende Notwendigkeit erhöht das Risiko für Verfügbarkeit, Compliance und Sicherheit dramatisch. Die technologischen Veränderungen machen neue Sicherheitskonzepte erforderlich.
Wie die globale Ponemon-Studie "Cost of Failed Trust Report" zeigt, können 42 Prozent der Befragten kompromittierte Schlüssel und Zertifikate nicht ausfindig machen oder wissen nicht, wie man dabei richtig vorgeht. Andere setzen eine Kombination aus klassischen Sicherheitstools ein, doch Angreifer mit gefälschten oder gestohlenen Zertifikaten umgehen solche Schutzmechanismen einfach. Mehr als drei Viertel der Befragten erklärten, dass sie nach einem Sicherheitsverstoß nur eine teilweise Wiederherstellung durchführen und Schlüssel und Zertifikate nicht ersetzen, wodurch sie weiter angreifbar bleiben.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Heartbleed blutet immer noch
Die Mehrheit der Unternehmen ist immer noch anfällig für Heartbleed - knapp zwei Jahre nach dessen Entdeckung. Beim Thema digitale Identität haben Unternehmen also noch viel nachzuholen. Der BSI-Bericht wie auch eigene Untersuchungen wie der Ponemon Report unterstreichen, dass das Vertrauen in die digitale Welt bedroht ist. Allzu viele Unternehmen glauben, dass sie ihre Zertifikate und Schlüssel verwalten können, indem sie diese zentral in einer Datei verwalten. Wer für sie verantwortlich ist, bleibt undefiniert. Prozesse zur Aktualisierung der Zertifikate und zum regelmäßigen Austausch der Schlüssel sind entweder veraltet oder aber finden ohne externe Einflüsse wie die Aufdeckung von Heartbleed überhaupt nicht statt.
Fazit
Ohne dieses Mindestmaß an Vertrauen würde das Internet nicht mehr funktionieren. Digitale Zertifikate und kryptographische Schlüssel müssen besser verwaltet und vor Missbrauch geschützt werden. Unternehmen können sich nicht mehr länger allein auf die CAs verlassen. Kostenlose Initiativen wie Let's Encrypt machen deutlich, wie einfach es für Cyber-Kriminelle ist, an Zertifikate zu kommen. Mit diesen echten Zertifikaten können sie dann gefälschte Webseiten wie echt aussehen lassen oder aber in die Machine to Machine-Kommunikation der Geräte untereinander eindringen. Die Möglichkeiten hier Cyber-Spionage oder aber Datendiebstahl zu betreiben, wachsen unter anderem mit dem Internet der Dinge ins Unermessliche.
IT-Sicherheitsspezialisten müssen sich bewusst machen, dass Schlüssel und Zertifikate für praktisch alles, was heutzutage IP-fähig ist, vertrauenswürdige Verbindungen zulassen. Wenn SSL/TLS- und SSH-Schlüssel richtig geschützt und eingesetzt werden, identifizieren sie sichere Zertifikatsketten und blockieren unsichere Seiten - ähnlich dem menschlichen Immunsystem. IT-Sicherheitsverantwortliche brauchen Tools, die sich in die bestehenden IT-Architekturen integrieren lassen und Compliance gewährleisten, ohne den IT-Administratoren zusätzliche Verwaltungs-Belastungen aufzubürden. Angesichts der neuen Cyber-Bedrohungslandschaft steht nicht nur die Sicherheit von Unternehmen auf dem Spiel, sondern das Internet als Ganzes. Wenn sich die Unternehmen auf diese Situation nicht einstellen, ist das Vertrauen in jegliche Internet-Kommunikation in Gefahr. Damit besteht Gefahr für die gesamte nicht nur digitale Wirtschaft und die öffentliche Sicherheit jedes Anwenders. (sh)