Schutz von Maschinenidentitäten
Lifecycle-Security für Zertifikate
Verschlüsselung ist die Basis für den Datenschutz, denn verschlüsselte Verbindungen können nach dem heutigen Stand der Technik nur mit erheblichem Aufwand ausspioniert werden. Die Herausforderung: Physische, virtuelle oder containerbasierte Maschinen, die miteinander verschlüsselt kommunizieren sollen, benötigen zuvor eine Maschinenidentität, die sie eindeutig ausweist. Der exponentielle Anstieg erforderlicher Identitäten treibt die Unternehmen aber an die Grenzen ihrer Leistungsfähigkeit.
Der Schutz von Maschinenidentitäten braucht eine ausgereifte Lifecycle-Security. Doch diese beruht immer noch auf manueller Verwaltung oder selbstentwickelten Notlösungen. Ohne die richtigen Werkzeuge werden in den nächsten Jahren massive Probleme für den verschlüsselten Netzwerkverkehr auf die IT-Organisationen zukommen.
Was viele Unternehmen übersehen: Der Begriff "Maschinen" meint nicht nur physische Geräte wie Computer, Smartphones, IoT-Devices oder vernetzte Produktionsanlagen. Er umfasst auch virtuelle Maschinen, Container, Anwendungen, Websites, Apps, Services (SaaS, AI etc.) und viele weitere Instanzen, die ein- und ausgehende Datenverbindungen erlauben. Die steigende Verbreitung von Mobil- und IoT-Geräten ist daher nur ein Bruchteil dessen, was den starken Anstieg ausmacht.
Laut Ciscos Visual Networking Index wird der IP-Verkehr in den nächsten Jahren mit einer jährlichen Wachstumsrate von 24 Prozent zunehmen. Weitere Treiber dieses Trends sind Cloud-Angebote und "As a Service"-Lösungen, bei denen die bereitgestellten Ressourcen schnell und flexibel an den tatsächlichen Bedarf anpassbar sind. Dies funktioniert allerdings nur, weil die Cloud-Anbieter ihren Kunden normalerweise keine exklusive physische Infrastruktur anbieten, sondern ihre physischen Ressourcen mittels emulierter Maschinen unter den Anwendern aufteilen.
Diese Maschinen benötigen jeweils eine Identität, um relativ schnell und unbürokratisch Zugriff auf bestimmte Systeme, Daten, Verzeichnisse etc. zu erhalten. Die Basis dafür sind digitale Zertifikate und kryptografische Schlüssel, in denen die Informationen gespeichert sind. Sie sind notwendig, damit sich Maschinen gegenseitig erkennen und einander vertrauen können. Beispiele für die gespeicherten Informationen sind: wie sich ein Gerät verhält, wo es sich laut IP-Adresse befindet und welche Zugriffe durch diese Maschine erlaubt sind. Für eine fehlerfreie Kommunikation sind diese Informationen grundlegend, Störungen führen dazu, dass Verbindungen unterbrochen werden. So kommt es zu Systemfehlern, die Geschäftsprozesse und Arbeitsabläufe beeinträchtigen oder sogar stilllegen können.
Um Missbrauch zu vermeiden, müssen die Zertifikate vor unbefugten Zugriffen geschützt sein. Dazu müssen die IT-Organisationen sie über die gesamte Einsatzdauer (Lifecycle) hinweg lückenlos managen. Das beginnt mit der Erstellung des Zertifikats durch eine offizielle und anerkannte Zertifizierungsstelle (Certification Authority, CA), welche die enthaltenen Informationen bestätigt. Anschließend erfolgt der Einsatz des neuen Zertifikats, und da die Gültigkeitsdauer begrenzt ist, gegebenenfalls der Austausch des alten Zertifikats. Während der Geltungsdauer eines Zertifikats müssen die Sicherheitsverantwortlichen den Überblick über ihre Zertifikate und Schlüssel behalten. Nur auf diese Weise können sie bei Unregelmäßigkeiten schnell reagieren und ablaufende Zertifikate rechtzeitig ersetzen.
Die Erfahrung zeigt, dass dies für Organisationen eine Herausforderung ist, denn es fehlt oft bereits das Grundwissen, welche Zertifikate in ihrem Netzwerk im Einsatz sind. Angreifer können Zertifikate stehlen, fälschen und Imitate von ihnen erstellen, um die Sicherheitsmechanismen der Unternehmens-IT zu überwinden. Böswillige Akteure haben leichtes Spiel, sich unbefugten Zugang zum Netzwerk zu verschaffen, wenn eine Übersicht über alle Schlüssel und Zertifikate fehlt, die mit der Sicherheitsinfrastruktur geteilt werden kann, beispielsweise mit Firewalls, Web Application Firewalls, Lösungen gegen DDoS-Angriffe oder der Bot-Abwehr.
Bislang waren die Angriffsszenarien mit kompromittierten Zertifikaten sehr zielgerichtet, aber der Wandel ist bereits im Gang: Kriminelle finden immer mehr Möglichkeiten, bei deren Verwendung in die Breite zu gehen. So kamen neuerdings bei der Plead-Malware-Kampagne valide Zertifikate zum Einsatz, mit denen der Routerhersteller D-Link seine Software auszeichnet. Deshalb haben die betroffenen Systeme die Malware zunächst als legitime Software akzeptiert, obwohl sie Schadfunktionen enthielt, um auf den infizierten Systemen eine Backdoor einzurichten und Passwörter auszuspionieren.
Überforderung ohne Automation
Die Vielzahl der Zertifikate, die in einem Unternehmen bereits heute zum Einsatz kommen, erschwert deren umfassende Absicherung. Angesichts der exponentiellen Zunahme wird die Belastung weiter zunehmen. Heute verwenden IT-Teams oft manuell erstellte Tabellen oder selbstgeschriebene Tools, um den Überblick zu behalten.
Deren Einsatz stößt aber an Grenzen, weil die Geschwindigkeit bei den Veränderungen der Maschinenidentitäten immens ist. So bekommt das Management nicht mit, wenn die angenommene Zahl der Identitäten und die Zahl der tatsächlich eingesetzten Zertifikate deutlich voneinander abweichen.
Deshalb sind die derzeit eingesetzen Lösungen nicht mehr zeitgemäß, auch bedingt durch den hohen Zeitaufwand bei der Pflege der Zertifikate. Ein abgelaufenes Zertifikat zu ersetzen dauert mit den bisherigen Prozessen im Schnitt bereits eine halbe Stunde - und das betrifft nur einen einzelnen Prozess. Dazu kommt der laufende Aufwand, einen vollständigen Überblick über die Zertifikate zu erhalten, deren Einpflegen zu verfolgen, den Überblick über in Kürze auslaufende Zertifikate zu behalten und Anomalien zu erkennen.
Die gute Nachricht ist, dass viele Aufgaben Routinevorgänge sind, die sich automatisieren lassen, und dass es bereits ausgereifte Plattformen dafür gibt. Diese Lösungen können das Netzwerk scannen und den Status von Zertifikaten auslesen, sodass sie einen zuverlässigen Überblick über alle Maschinenidentitäten und deren aktuellen Schutzstatus bieten. Technische Routineaufgaben lassen sich damit einfach anstoßen und verfolgen. So erhalten IT-Teams einen detaillierten Überblick darüber, wie es in ihrem Netzwerk wirklich aussieht und welche Probleme es möglicherweise gibt.
Mit diesem automatisierten Management der Zertifikate stellen Unternehmen sicher, dass die Grundlagen der Sicherheit gewahrt bleiben. Beispielsweise könnten kryptografische Schlüssel mehrfach Verwendung finden; solche Mehrfachnutzungen lassen sich durch automatisierte Statusberichte aufdecken. Ein anderes Beispiel sind ungenutzte Zertifikate, die einen Angriffspunkt anbieten, obwohl sie nicht benötigt werden und wichtige Hinweise auf Fehler in den Prozessen geben könnten.
Die Grundlage eines verschlüsselten Netzwerkverkehrs sind Maschinenidentitäten, mit denen physische und virtuelle Maschinen ihre Legitimität nachweisen können. Aufgrund des hohen Werts von Daten und Informationen für Unternehmen und der hohen Kosten, die Datenschutzvorfälle oder unterbrochene Geschäftsprozesse verursachen, ist es notwendig, über die gesamte Einsatzdauer der Zertifikate angemessene Schutzmaßnahmen zu etablieren. Bereits heute lassen sich zahlreiche Sicherheitsprobleme nachweisen, die in den nächsten Jahren durch den weiteren Anstieg von Maschinen noch drängender werden.
Damit die Sicherheitsteams ihrer Aufgabe nachkommen und die zuverlässige, störungsfreie Verschlüsselung in ihrer Organisation garantieren können, wird es unvermeidlich werden, bislang manuelle Routinen zu automatisieren. Nur so können die Sicherheitsteams bedrohliche Anomalien rechtzeitig erkennen, diese analysieren und einschreiten.
Durch moderne Lifecycle-Security können Unternehmen mit den rasanten Entwicklungen im Bereich der Maschinenidentitäten mithalten und die Vorteile der Verschlüsselung nutzen, statt Gefahr zu laufen, dass die Technik aufgrund kompromittierter Zertifikate gegen sie eingesetzt wird.
Lesen Sie mehr zum Thema
