Jedes vernetzte Gerät braucht eine Identität
Abgelaufene Zertifikate
von Andreas Dumont - 02.08.2019
Effektive Schutzmaßnahmen für Maschinenidentitäten erfordern eine vollständige Sichtbarkeit und kontinuierliche Beobachtung aller Identitäten im gesamten Unternehmen, sprich eine umfassende Inventarisierung und ein lückenloses Lifecycle-Management.
Anfang Mai dieses Jahres gab es beim Browser Firefox einen ärgerlichen Zwischenfall: Sämtliche Themes und Erweiterungen wurden weltweit bei allen Anwendern deaktiviert. Der Grund: ein abgelaufenes Zertifikat, das ein Mozilla-Mitarbeiter vergessen hatte zu verlängern. Die Add-ons im Browser waren damit nicht mehr vertrauenswürdig, sondern wurden als Sicherheitsrisiko eingestuft und dementsprechend abgeschaltet.
Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist vor solchen Fehlern nicht gefeit: Die Webseite des Amtes war im September vergangenen Jahres eine Zeit lang nicht erreichbar. Hier hatte es ein Angestellter versäumt, sich rechtzeitig um ein neues TLS-Zertifikat für die HTTPS-Verbindung zu kümmern.
Viele Unternehmen haben aufgrund der schieren Masse an Maschinen, Anwendungen und Anwendern keinen Überblick darüber, welche Schlüssel und Zertifikate sich aktuell im Umlauf befinden, welche Maschinen sie verwenden und wann sie ablaufen. Kevin Bocek von Venafi weiß etwa von einer Bank in der Schweiz, bei der weltweit rund 250.000 Maschinenidentitäten im Einsatz sind.
Trotzdem führen Sicherheitsverantwortliche in Unternehmen oft noch manuelle Tabellen, anstatt auf Managementlösungen zu setzen. In solchen Tabellen aber würden angesichts des rasanten Zuwachses an neuen Maschinen leicht Zertifikate und Schlüssel übersehen oder falsch zugeordnet, kritisiert Kevin Bocek.
Wenn ein Unternehmen überhaupt nicht weiß, welche Zertifikate es verwendet, dann kann es diese auch nicht angemessen verwalten. „2018 haben wir bei unseren Kunden über 50.000 unbekannte Maschinen identifiziert. 2015 waren es nur 15.000“, so Venafi-Manager Bocek. Die Anzahl der Maschinen weltweit wachse jedes Jahr um 30 Prozent. Mit dem Internet of Things werde sich das Problem noch weiter verschärfen.
Dennoch investieren die Entscheider überwiegend in andere Sicherheitsbereiche. „20 Milliarden Dollar werden jährlich für den Schutz menschlicher Identitäten ausgegeben, aber fast nichts für Maschinenidentitäten.“ Bocek geht allerdings davon aus, dass sich das bald ändern wird. Allmählich müssten die Entscheider die Bedeutung von Maschinenidentitäten doch erkennen.
Aufwendiger Austausch
Nicht nur abgelaufene Zertifikate erweisen sich als problematisch, manchmal ist auch ein kompletter Austausch nötig. 2018 entzog zum Beispiel Google sämtlichen Zertifikaten von Symantec und Tochterunternehmen wie Verisign, Thawte und Geotrust das Vertrauen, weil sich Symantec wiederholt nicht an die Regeln beim Vergeben von Zertifikaten gehalten und unberechtigterweise Zertifikate für die Domain Google.com ausgestellt hatte. Sie alle mussten ausgetauscht werden.
Auch gravierende Sicherheitslücken wie Heartbleed machten einen Wechsel der Zertifikate nötig. Es handelte sich dabei um einen Bug in der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen Daten von Clients und Servern ausgelesen werden konnten. Die Lücke im Secure-Hash-Algorithmus SHA-1 hatte ebenfalls einen massenhaften Tausch von Zertifikaten zur Folge. Eine solche Aufgabe können Unternehmen letztlich nur mit Hilfe von automatisierten Managementlösungen bewältigen.
Wenn sich eines Tages Quanten-Computing durchsetzt, werden auf einen Schlag alle kryptografischen Verfahren unbrauchbar, die heutzutage für Maschinenidentitäten im Einsatz sind. Die weit verbreiteten Verfahren RSA und ECC sind nämlich nicht „Quantum ready“ und könnten von einem Quanten-Computer in relativ kurzer Zeit geknackt werden. „Was wir heute verwenden, müssen wir morgen ersetzen. Das mag in fünf Jahren oder in zehn Jahren kommen, aber es wird kommen“, ist Kevin Bocek überzeugt. Unternehmen sollten sich schon heute darauf vorbereiten, und zwar indem sie ein Zertifikate-Management-System einsetzen, das sicherstellt, dass unternehmensweit jedes Zertifikat erfasst wird und sich im Ernstfall oder bei Ablauf erneuern lässt.