Industrial Security
ENX – exklusive Datenübertragung für die Automobilbranche
Fortsetzung des Artikels von Teil 2
Zertifikate schaffen zusätzliche Sicherheit
Als zusätzliche Sicherheitsmaßnahme kommen auf den für ENX verwendeten Routern Zertifikate zum Einsatz. Die ENX eigene CA (Certificate Authority) gibt diese aus. Ein Zertifikat wird von ENX nur ausgestellt, wenn belegt ist, dass der jeweilige Partner auch an das ENX-Netzwerk angeschlossen werden darf. Das setzt voraus, dass das jeweilige Unternehmen zum einen bei ENX registriert sein muss und zum anderen über einen Bürgen – in der Regel der Kommunikationspartner, zu dem er eine Verbindung aufbauen möchte – verfügt.
Während des Tunnelaufbaus zwischen den zwei Routern der Kommunikationspartner überprüfen beide, ob das Zertifikat ihres Gegenübers von der ENX-CA ausgestellt wurde und gültig ist. Diese Vorgehensweise garantiert, dass unerwünschte Angreifer die CA nicht untergraben können, wie im vergangenen Jahr mehrfach bei unterschiedlichen Zertifizierungsdienstleistern geschehen. Auf diese Weise können Kriminelle durch eine manipulierte URL und gefälschte Zertifikate Nutzer auf vermeintlich sichere Webseiten umleiten und ihnen dort Schadsoftware unterschieben. Diese Programme geben sich dann als von legitimen Seiten signiert aus, obwohl sie in Wirklichkeit Malware sind. Die Vorfälle haben bewirkt, dass zahlreiche Zertifikate für ungültig erklärt werden mussten und auf Seiten der Nutzer inzwischen Bedenken gegenüber Zertifikats-Architekturen aufgetreten sind, da deren Sicherheit eng an die Sorgfalt der Zertifikats-Aussteller geknüpft ist.
Ähnliche Mechanismen sind bei ENX unmöglich, da das European Network Exchange keine Resellerstruktur für seine Zertifikate benutzt. Zudem ist die CA nicht öffentlich zugänglich, da der gesamte Netzverkehr innerhalb einer „closed community“ geschieht. Im Vorfeld der Nutzung ist zum einen eine Registrierung der Partner notwendig. Zum anderen benötigt der Antragsteller auf einen ENX-Anschluss auch einen „Fürsprecher“, zu dem in der Regel auch der erste Tunnel aufgebaut wird. Auf diese Weise ist auszuschließen, dass ein unautorisierter Router eine Verbindung zu einem Partner nutzt.
Das Certificate Enrollment geschieht via SCEP (Simple Certificate Enrollment Protocol). Das Protokoll erleichtert den Rollout und einen möglichen Widerruf von Zertifikaten. Um ein Zertifikat auf einem Router zu installieren, wird zunächst ein Certificate Signing Request (CSR) auf dem Router erzeugt und an die CA übermittelt. Der Router fragt nun in regelmäßigen Abständen nach, ob bereits ein Zertifikat für ihn ausgestellt wurde. Sobald der Administrator der CA die Anfrage verifiziert und genehmigt hat, kann der Router das Zertifikat erhalten und installieren. Auf diese Weise vereinfacht SCEP das Verwalten und Ausbringen von Zertifikaten und bietet gleichzeitig eine wesentlich bessere Skalierbarkeit gegenüber der manuellen Installation von Zertifikaten.
- ENX – exklusive Datenübertragung für die Automobilbranche
- IPSec-Tunnel gewährleisten Exklusivität
- Zertifikate schaffen zusätzliche Sicherheit
- Ausländische Standorte einbinden
- Privatsphäre bleibt erhalten
- Managed Services für die Community-Cloud
- Interne Sicherheitsstandards als erste Voraussetzung
- Über ENX
Lesen Sie mehr zum Thema
