Andrea Danti - Fotolia

Was bedeuten kostenlose Zertifikate für Sicherheitsverantwortliche?

Kevin Bocek von Venafi kommentiert die Zertifizierungsstelle StartCom und die Bedeutung kostenloser Zertifikate für Sicherheitsverantwortliche.

Seit der Einführung von Let's Encrypt haben wir bereits erwartet, dass andere Initiativen und Organisationen in die gleichen Fußstapfen treten und kostenlose digitale Zertifikate anbieten. Mit StartCom sehen wir hier einen weiteren Anbieter von kostenlosen digitalen Zertifikaten. Dass Webseitenbetreiber die Zertifikate kostenlos beantragen und dann automatisch auf Webservern installieren können, ist der nächste logische Schritt hin zu einem vollautomatisierten Prozess. Beim Anbieter mit StartEncrypt benannt ist der Service nun für Linux- und Windows-Server verfügbar.

Für Unternehmen ist es wieder einmal besonders wichtig, das Risiko zu erkennen, das mit der Nutzung kostenloser Zertifikate verbunden ist, denn Cyberkriminelle nutzen diese gerne aus. Dies haben wir unlängst bei Cyberkriminellen festgestellt, die Let’s-Encrypt-Zertifikate für Malvertising-Angriffe verwendeten. Noch schlimmer ist, dass die StartCom-Zertifikate EV-Zertifikate sind. Hierbei handelt es sich um besonders vertrauenswürdige Zertifikate, die von jedem IT-Sicherheitsverantwortlichen und jedem Verbraucher als sicher eingestuft werden. Cyberkriminelle könnten also gerade diese Zertifikate nutzen, um damit Schaden anzurichten. Das ist ein weiterer Beleg dafür, dass die Frage, wie Unternehmen ihre Schlüssel und Zertifikate schützen, viel wichtiger ist, als die Frage, woher diese stammen.

Denn wenn bei Cyberangriffen mehr Zertifikate genutzt werden, kann die Entscheidung, welches letztlich vertrauenswürdig ist, schwieriger werden. Durch mehr Verschlüsselung entstehen auch mehr „tote Winkel“ für die Systeme zum Schutz vor Bedrohungen. Gartner rechnet damit, dass bis 2017 bei der Hälfte aller Netzwerkangriffe SSL/TLS verwendet wird.

Nur ein paar wenige Unternehmen haben Sicherheitskontrollen wie NGFW, IPS/IDS implementiert – ganz zu schweigen von Verhaltensanalyse, Netzwerkforensik und mehr – um verschlüsselten Traffic analysieren zu können. Die Verwendung von Zertifikaten, um vertrauenswürdig zu erscheinen und sich in verschlüsseltem Traffic verbergen zu können, entwickelt sich also schnell zur Standardmethode für Cyberkriminelle. Dies wirkt dem Zweck des Ganzen, nämlich die Verschlüsselung zu verstärken und das Internet mit mehr kostenlosen Zertifikaten vertrauenswürdig zu machen, leider eher entgegen.

„Wird eine weitere CA im Netzwerk verwendet, bedeutet das für die Unternehmen mehr Unübersichtlichkeit – was ist wirklich vertrauenswürdig und wer steckt dahinter?“

Kevin Bocek, Venafi

 

StartCom bedeutet für Sicherheitsverantwortliche größerer Unternehmen, insbesondere für die Global 5000, die bereits Tausende, sogar Zehntausende Zertifikate nutzen, dass die Absicherung des Unternehmens zu einer noch größeren Herausforderung und Belastung wird. Bei großen Unternehmen werden Zertifikate von bisweilen bis zu einem Dutzend oder mehr verschiedenen Zertifizierungsstellen (CA) genutzt. Interne Richtlinien mögen zwar vorschreiben, dass nur eine CA zu verwenden ist, aber letztlich ist von GoDaddy bis zu landesspezifischen CAs alles vorhanden. Wird eine weitere CA im Netzwerk verwendet, bedeutet das für die Unternehmen mehr Komplexität und Unübersichtlichkeit – was ist wirklich vertrauenswürdig und wer steckt dahinter?

Es wird schwieriger, an Schlüssel für Sicherheitssysteme heranzukommen, um Traffic zu entschlüsseln und somit Bedrohungen zu erkennen, die sich dahinter verstecken könnten. Und es wird auch schwieriger, auf die Kompromittierung einer CA zu reagieren und einen Plan zu entwickeln, wie das NIST ihn angeregt hat. Die SANS 20 Critical Cyber Security Controls bieten eine erste Orientierung für Unternehmen, die eine sichere Verschlüsselung erreichen wollen und mit denen sie den rasanten Anstieg an Zertifikaten, den StartCom und andere Initiativen mit sich bringen, nachvollziehen können.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über PKI und digitale Zertifikate

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close