Abgelaufene SSL-Zertifikate, die unterschätzte Gefahr

Ein Unternehmen kann bis zu 15 Millionen Dollar verlieren, nur weil es eine entscheidende Sache vergessen hat …

foto cc0 aa schlüssel sicherheit 3Es ist eine Sache, Geld durch Markt- oder Branchenfluktuation zu verlieren. Aber Geld zu verlieren, weil man ein SSL-Zertifikat nicht erneuert hat, geht mit weiteren, zumeist fatalen Konsequenzen einher. Das sind insbesondere ein beschädigtes Markenimage und die verloren gegangene Vertrauenswürdigkeit gegenüber potenziellen und bestehenden Kunden.

Untersuchungen zeigen, dass fast zwei Drittel der Unternehmen einräumen in den letzten zwei Jahren Kunden verloren zu haben. Und zwar, weil sie versäumt hatten die Website mit den richtigen Zertifikaten zu sichern. Haben Kunden das Vertrauen in die Webseite und damit das Unternehmen verloren, liegt der Wechsel zur Konkurrenz nahe. Mit einer unsicheren Webseite riskieren Unternehmen, dass Daten gestohlen oder missbraucht werden. Die finanziellen Folgen solcher Datenschutzverletzungen können Kosten in Höhe mehrerer Millionen verursachen. Das sind zum einem die Kosten, die unmittelbar daraus entstehen den Vorfall zu beheben. Dazu kommen Ausgleichszahlungen, Anwaltskosten, Geldstrafen und Kommunikationskosten.

Laut einem Ponemon Report von 2015 sind in einem durchschnittlichen Unternehmen in den letzten zwei Jahren bereits mehr als zwei Systemstörungen aufgrund von ›Ausfällen im Zusammenhang mit Zertifikaten‹ aufgetreten. Die durchschnittlichen Kosten für einen außerplanmäßigen Ausfall im Zusammenhang mit Zertifikaten betragen geschätzte 15 Millionen Dollar.

Fallstudie Microsoft Azure

2013 erlebte Microsofts Azure Cloud-Plattform einen weltweiten Ausfall aufgrund eines abgelaufenen SSL-Zertifikats. Und das zu einer Zeit als auch Probleme bei Microsofts Xbox Musik- und Videodiensten gemeldet wurden. Und diese Bekanntmachung erfolgte am selben Tag an dem Microsoft zugeben musste Opfer des gleichen Cyber-Hacks wie Apple und Facebook geworden zu sein. Man kann sich leicht vorstellen wie viele Kunden benachrichtigt werden mussten und welchen PR-Aufwand diese Nachrichten mit sich brachten. Gleichzeitig war Microsoft gezwungen sämtliche Produkte und Dienste zu untersuchen, die zum Zeitpunkt des Angriffs gekauft worden sein könnten.

Wie lässt sich sicherstellen, dass eine Website sicher ist?

Durch die zunehmende Zahl von Angriffen, greifen Auditoren bei Standards und Vorschriften rigoroser durch. Firmen müssen nachweisen, dass sie alles tun, um Kunden- und Unternehmensdaten wirksam zu schützen. Auf der IT Governance Website finden Sie beispielsweise ‚Veröffentlichte Standards‘ zur Compliance. Da Unternehmen wie Google inzwischen Organisationen mit sicheren Websites im Ranking bevorzugen, setzt sich dieser Trend als ein wichtiger Teil der Unternehmens- und IT-Sicherheit zunehmend weiter durch.

Was Unternehmen tun können, damit ihre Website sicher ist:

Eine interne Prüfung durchführen

Man sollte damit beginnen, alle aktuellen Zertifikate und Schlüssel zusammenzutragen und mögliche Lücken zu finden.

Sie können beispielsweise Ihre Website-Server mit einem kostenlosen Konfigurations-Checker Tool überprüfen. Mit einem Certificate Inventory Tool stellen Sie fest, wo bereits Zertifikate installiert sind und wann Sie erneuert werden müssen, unabhängig von der ausstellenden Zertifizierungsstelle.

Listen Sie alle Termine, zu denen ein Zertifikat abläuft, auf. Zusätzlich hilft es Ihnen und der IT-Abteilung, die Ablaufdaten eines Zertifikats in einen entsprechenden Kalender einzutragen, so dass Sie Zertifikate immer rechtzeitig erneuern und die Sicherheit der Seite gewährleistet bleibt. Managed SSL-Lösungen sind eine Alternative, bei der Sie Ihre Zertifikate über eine Online-Plattform kontrollieren und im Voraus benachrichtigt werden, wenn ein Zertifikat erneuert werden muss.

Durchsetzen interner Richtlinien

Nachdem Sie sich über die ISO-Normen informiert haben, sollten Sie die entsprechenden Prozesse einführen und dokumentieren. So weiß jeder im Unternehmen so weit wie möglich Bescheid, warum Sie was tun und wie der/die jeweilige Mitarbeiter/in involviert ist.

Es sollten unternehmensweite Schulungen durchgeführt werden, so dass Mitarbeiter Änderungen nachvollziehen können. Teil der Schulungen sollte es ebenfalls sein, die Mitarbeiter im Hinblick auf Datenschutzmaßnahmen und aktuelle Angriffstrends wie zum Beispiel beim Phishing auf dem Laufenden zu halten sowie zu Regeln wie und wo man vertrauliche Daten am besten speichert.

Wirksame Verfahren ein Unternehmen intern und extern zu schützen sind beispielsweise:

  • Zwei-Faktor-Authentifizierung auf allen Mitarbeiterrechnern
  • Schlüsselkarten, mit denen Sie nur die Räume betreten können, für die Sie eine Zugangsberechtigung haben
  • Unternehmensrichtlinien für Bildschirmsperren, sobald Sie ihren Arbeitsplatz verlassen
  • Alle E-Mails signieren, um die Urheberschaft nachzuweisen und Manipulationen zu verhindern

Sorgen Sie dafür, dass Sie auf dem neuesten Stand der IT-Sicherheit bleiben

Sie können bereits selbst einen großen Teil dazu beitragen, Ihre Website und Daten zu schützen, indem Sie auf dem neuesten Stand in Sachen IT und Sicherheit bleiben.

Wenn Sie sich regelmäßig informieren, können Sie schneller auf neue Bugs oder Viren reagieren oder Updates einspielen. Beispielsweise wurde vor Kurzem berichtet, dass SHA-1 (der für digitale Zertifikate entwickelte und darin eingesetzte Hashalgorithmus) in nur wenigen Jahren gehackt werden könnte. Es wird empfohlen SHA-1-SSL-Zertifikate schnellstmöglich auf SHA-256 zu aktualisieren.

Personal und Ressourcen

Wenn Ihr Unternehmen eine bestimmte kritische Größe erreicht hat, muss man noch stärker darauf achten, dass sich Personalentscheidungen direkt auf die IT-Sicherheit auswirken. Das betrifft insbesondere die Ressourcen, auf die Mitarbeiter zugreifen dürfen. Wie solche Maßnahmen im Einzelnen aussehen, variiert je nach Branche und dem internen wie externen Sicherheitsbedürfnis. Greifen Sie im Zweifelsfall auf erfahrene Berater und Unternehmen zurück, die mit der Thematik hinreichend vertraut sind.

Und ein letzter Hinweis: Seien Sie vorsichtig bei Urlaubszeiten. Überprüfen Sie, ob Ihre Zertifikate nicht ablaufen und lassen Sie sie erneuern, bevor Sie in den wohlverdienten Urlaub gehen.

Lea Toms – Regional Marketing Manager bei GlobalSign

 

Weitere Artikel zu