freshidea - Fotolia

Schlüssel und Zertifikate: Was aus den Sicherheitsprognosen 2015 wurde

Unternehmen vernachlässigen die Verwaltung von Schlüsseln und Zertifikaten immer noch. Deshalb sind die meisten Prognosen für 2015 eingetroffen.

Jedes Jahr veröffentlichen Sicherheitsunternehmen und IT-Consultants zum Jahresende oder Anfang des neuen Jahres ihre Prognosen für die nächsten 12 Monate. Allerdings macht sich selten jemand die Mühe eines Realitätschecks und prüft die Prophezeiungen aus dem vergangenen Jahr auf ihre Richtigkeit. Venafi hat für 2015 ebenfalls in die Glaskugel geschaut. Bevor wir im zweiten Artikelteil detailliert einige Sicherheitsvorfälle analysieren und auf die Maßnahmen für 2016 eingehen, checken wir in diesem Beitrag erst einmal die Voraussagen 2015.

Insgesamt hatte Venafi acht Punkte in den Prognosen für 2015 vorausgesagt, von denen sechs ins Schwarze trafen. Von den beiden verbleibenden Punkten ist einer nicht genau bekannt, und der andere könnte sich 2016 bewahrheiten. Aber Schritt bei Schritt:

1. Prognose 2015: SSL wird wesentlich häufiger genutzt und missbraucht werden.

Die Nutzung von SSL/TLS hat tatsächlich zugenommen. So hat etwa die US-Regierung für alle ihre öffentlich zugänglichen Webservices den Einsatz von HTTPS vorgeschrieben. Viele Unternehmen bemühten sich um umfassende Verschlüsselung, um Daten besser zu schützen und deren Vertraulichkeit zu wahren. Selbst Google bevorzugt in den Suchergebnissen seit 2015 HTTPS-Webseiten. Diese Zunahme hat jedoch gleichzeitig Cyberkriminelle dazu angeregt, sich SSL/TLS-Schlüssel und -Zertifikate vermehrt zunutze zu machen – um ihr Treiben zu verbergen und Sicherheitskontrollen zu umgehen. Intel Security verzeichnete eine Zunahme der SSL-basierten Netzwerkangriffe um 12 Prozent. Und Netcraft fand heraus, dass die Zertifizierungsstellen Comodo, Cloudflare, GoDaddy und Symantec Domain-validierte Zertifikate für Phisher ausgestellt hatten, die es auf die Websites von Banken, PayPal und anderen Unternehmen abgesehen hatten.

Was das jetzt für Unternehmen bedeutet:

Cyberkriminelle nehmen ungeschützte Schlüssel und Zertifikate ins Visier, doch mit entsprechenden Sicherheitsmaßnahmen können Unternehmen Schlüssel und Zertifikate verstärkt zum Datenschutz nutzen, ohne die Gefahr von Angriffen und Sicherheitsverletzungen zu erhöhen.

2. Prognose 2015: Es wird erkannt werden, dass auslaufende Zertifikate und dadurch verursachte Ausfälle gravierende Sicherheitsprobleme darstellen.

Obwohl es 2015 tatsächlich zu erheblichen Ausfällen aufgrund von Schwierigkeiten mit Zertifikaten kam, unter anderem bei Google Gmail, Microsoft Azure und Instagram, wurde nicht wirklich erkannt, dass dies ein Sicherheitsproblem darstellt. Weltweit sind in den vergangenen zwei Jahren pro Unternehmen durchschnittlich mehr als zwei Geschäftssysteme aufgrund von Problemen mit Zertifikaten ausgefallen. Die finanziellen Folgen beliefen sich im Durchschnitt auf 15 Millionen US-Dollar pro Ausfall. Obwohl diese mangelhafte Sichtbarkeit und Verwaltung ganz offensichtlich auf umfassendere Sicherheitsmängel hindeuten, werden sie von den Unternehmen nach wie vor als operatives Problem betrachtet.

Was das jetzt für Unternehmen bedeutet:

Es ist höchste Zeit, teuren Ausfällen ein Ende zu setzen, die durch Zertifikate verursacht werden. Doch darüber hinaus ist es auch höchste Zeit zu erkennen, dass solche Ausfälle ein Symptom umfassenderer Sicherheitsprobleme sind. Wenn es in einem Unternehmen zu Ausfällen aufgrund von Zertifikaten kommt, dann hat es oft nicht den nötigen Überblick über seine Zertifikate oder verwaltet sie nicht richtig. In diesem Fall wird das Unternehmen wahrscheinlich auch nicht merken, wenn Zertifikate in seiner IT-Umgebung den Regeln nicht entsprechen, falsch konfiguriert oder sogar böswillig manipuliert sind.

3. Prognose 2015: Gegen die Hälfte aller Netzwerkangriffe werden unsere Sicherheitskontrollen nichts ausrichten.

Gartner hatte vorhergesagt, dass bis 2017 bei 50 Prozent aller Angriffe auf den eingehenden und ausgehenden Netzwerkverkehr SSL/TLS genutzt werden würde. Von den Unternehmen, die das Ponemon Institute in einer Studie befragte, mussten in den vergangenen beiden Jahren alle (100 Prozent) auf Angriffe reagieren, bei denen Schlüssel und Zertifikate missbraucht wurden. Und die Folgen solcher Angriffe werden immer gravierender: Für die nächsten zwei Jahre wird das finanzielle Risiko durch Angriffe derzeit auf 53 Millionen US-Dollar geschätzt (eine Steigerung von 51 Prozent im Vergleich zu 2013).

Was das jetzt für Unternehmen bedeutet:

Die meisten Unternehmen sind sich nicht darüber im Klaren, dass mangelhaft geschützte Schlüssel und Zertifikate von Cyberkriminellen ausgenutzt werden können, um ihre anderen Sicherheitsmaßnahmen zu umgehen. Angreifer wissen, dass die meisten Sicherheitssysteme, wie Bedrohungsabwehr, NGFW, IDS/IPS und DLP, den SSL/TLS-Verkehr entweder als vertrauenswürdig einstufen oder nicht über die nötigen Schlüssel verfügen, um den Datenverkehr zu entschlüsseln.

4. Prognose 2015: Die Incident Response Teams werden Einfallstore offen lassen, was zu weiteren Angriffen führt.

Für 2015 sagte man voraus, dass die für Vorfallsreaktion (Incident Response) und forensische Analysen zuständigen Teams vergessen würden, nach Netzwerkeinbrüchen Schlüssel und Zertifikate einzuziehen und zu ersetzen. Dies gibt Angreifern die Möglichkeit, erneut ins Netz einzudringen. 2015 gab es keine Beispiele für solche Vorfälle – doch das muss nicht heißen, dass es keine gegeben hätte. Wenn gestohlene Schlüssel und Zertifikate nicht eingezogen und ersetzt werden, können sich Angreifer weiterhin Zugang zu den Netzwerken verschaffen und ihre böswilligen Aktivitäten verbergen.

Was das jetzt für Unternehmen bedeutet:

Eine nachlässige Problembehebung, bei der die IT-Teams kompromittierte private Schlüssel nicht ersetzen oder veraltete Zertifikate nicht einziehen, ist ein Zeichen dafür, dass die Verantwortlichen einen wichtigen Zusammenhang nicht erkennen: Wenn private Schlüssel gefährdet sind, ist alles gefährdet. Gartner beschreibt genau diesen Trend. Unternehmen sollten Verfahren zum automatisierten Ausstellen, Ersetzen und Einziehen von Zertifikaten zu einem Teil ihres Incident-Response-Plans machen, bevor es zu einer Sicherheitsverletzung kommt. So ist im Ernstfall eine schnelle und vollständige Problembehebung möglich.

5. Prognose 2015: Heartbleed wird nicht vom Tisch sein.

Im April 2015 sind 85 Prozent aller öffentlich erreichbaren Server von Global-2000-Unternehmen nach wie vor anfällig gegen Heartbleed – ein Jahr nach Bekanntwerden der Schwachstelle. Das waren zwar 16 Prozent weniger anfällige Server als 2014, zeigt aber trotzdem, dass die Problembeseitigung sehr schlecht funktioniert und die Prognose zutrifft.

Was das jetzt für Unternehmen bedeutet:

Die meisten IT-Teams haben es versäumt, nach Heartbleed richtig aufzuräumen und die anfälligen Schlüssel auszutauschen. Dies machen sich Cyberkriminelle weiterhin zunutze.

6. Prognose 2015: Kinetische Angriffe werden missbrauchte Zertifikate und Schlüssel ausnutzen.

Das Internet der Dinge (IoT) wächst explosionsartig – laut Gartner sind mittlerweile schätzungsweise 4,9 Milliarden IoT-Geräte mit dem Internet verbunden. Im IoT werden Schlüssel und Zertifikate zur Authentifizierung, Validierung und Kontrolle privilegierter Zugriffe eingesetzt. Wenn diese Schlüssel und Zertifikate kompromittiert werden, können sie bei kinetischen Angriffen eingesetzt werden – also Angriffen, bei denen Menschen sogar körperlich zu Schaden kommen können. Ein Beispiel dafür sind die Schwachstellen bei der Verwendung von Zertifikaten in mehreren Fahrzeug-Applikationen, die Hacker in die Lage versetzen können, Fahrzeuge fernzusteuern. Dass Authentifizierung und Verschlüsselung vor allem bei den billigen IoT-Geräten grob vernachlässigt werden, zeigen unter anderem die gravierenden Sicherheitsmängeln in Wearables wie Fitness-Armbändern.

Was das jetzt für Unternehmen bedeutet:

Wenn ein Unternehmen gehackt wird, ist das eine Sache, doch eine völlig andere Sache ist es, wenn Angreifer einen Herzschrittmacher, eine Fluglinie oder eine Ampelsteuerung aufgrund von Sicherheitslücken in IoT-Geräten unter ihre Kontrolle bekommen. Unternehmen müssen IoT-Apps entwickeln, die Zertifikate auf sichere Weise einsetzen, um ihre Kunden zu schützen.

7. Prognose 2015: Compliance- und Sicherheits-Frameworks werden neue Leitlinien zum Schutz von Schlüsseln und Zertifikaten bieten.

Was geschah 2015?

Die Prognose für 2015 war also richtig.

Was das jetzt für Unternehmen bedeutet:

Laut einer aktuellen Studie hat in den letzten beiden Jahren jedes der befragten Unternehmen mindestens einen SSL/TLS-Audit und einen SSH-Audit nicht bestanden. Die neuen Leitlinien in Compliance- und Sicherheits-Frameworks vermitteln den Auditoren eine Struktur, um die richtige Verwaltung und die Sicherheit von SSL/TLS-Schlüsseln und -Zertifikaten sowie SSH-Schlüsseln besser bewerten zu können. Wenn Unternehmen nicht anfangen, diese Leitlinien im Rahmen ihrer täglichen Geschäftsabläufe zu befolgen, werden sie bei noch mehr Audits versagen und ihr Geschäft in Gefahr bringen.

8. Prognose 2015: Übeltätern steht ein wachsender Untergrundmarkt für digitale Zertifikate offen.

Die Vermarktung von Schlüsseln und Zertifikaten im kriminellen Untergrund bleibt der Trend, und die Preise auf diesem Schwarzmarkt steigen weiter: zu dem Zeitpunkt, zu dem dieser Artikel geschrieben wurde, standen sie bei 1.000 US-Dollar pro Zertifikat. Und zudem haben die IBM X-Force Sicherheitsforscher festgestellt, dass auf dem Schwarzmarkt jetzt auch große Mengen von Code-Signing-Zertifikaten gehandelt werden und heiß begehrt sind.

Was das jetzt für Unternehmen bedeutet:

Unternehmen müssen davon ausgehen, dass es Cyberkriminelle auf ihre Schlüssel und Zertifikate abgesehen haben – entweder, um damit ihre Netzwerke und Daten zu kompromittieren, oder um sie weiterzuverkaufen. Unternehmen müssen der Sicherheit von Schlüsseln und Zertifikaten Priorität einräumen.

„Unternehmen werden in 2016 mit dem Management und Schutz ihrer Schlüssel und Zertifikate kämpfen.“

Kevin Bocek, Venafi

xxx

Fazit

Das waren die acht Prognosen von 2015. Leider waren sie alle negativ und haben sich zum größten Teil bewahrheitet. Sechs sind in erschreckender Präzision wahr geworden und die zwei anderen Vorhersagen sind nicht falsifiziert worden. Das bedeutet, dass Unternehmen auch in 2016 mit dem Management und Schutz ihrer Schlüssel und Zertifikate kämpfen werden.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PKI und digitale Zertifikate

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close