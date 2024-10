Die Umsetzung effektiver und skalierbarer PKI-Strategien erfordert die Wahl des richtigen Partners. Moderne Werkzeuge können den Sicherheitsteams einen umfassenden Einblick in die Zertifikatslandschaft geben und sie in die Lage versetzen, die PKI effektiv zu betreiben, ohne sich zu überfordern.

In den letzten Jahren haben schwerwiegende Verstöße gegen die Cybersicherheit immer wieder den Betrieb von Regierungsbehörden, globalen Unternehmen und Organisationen der kritischen Infrastruktur gestört. Doch nicht alle Bedrohungen rühren von kriminellen Akteuren her. Ausfallzeiten und Versäumnisse sind oft auch auf interne Fehler zurückzuführen.

Die digitale Infrastruktur ist kompliziert, und etwas so Einfaches wie ein undokumentiertes TLS-Zertifikat kann den Betrieb zum Erliegen bringen. In jedem Fall aber leidet das »digitale« Vertrauen, wenn es zu einem Vorfall kommt. Die Behebung solcher Vorfälle kostet nicht nur Zeit und erhebliche Ressourcen, sondern führt auch zu einem Vertrauensverlust, der bis hin zum Umgehen von Sicherheitsfunktionen führen kann.

Das Weltwirtschaftsforum (WEF) definiert digitales Vertrauen als »die Erwartung des Einzelnen, dass digitale Technologien und Dienstleistungen – und die Organisationen, die sie anbieten – die Interessen aller Beteiligten schützen und die gesellschaftlichen Erwartungen und Werte aufrechterhalten«. Der Aufbau eines digitalen Ökosystems, das digitales Vertrauen verdient, erfordert die Gewissheit, dass Geräte, Anwendungen und Daten korrekt und sicher vor Bedrohungen sind.

Public Key Infrastructure. Die Public Key Infrastructure (PKI) ist das kryptographische Ökosystem, das die Ausstellung digitaler Identitäten in Form von x.509 Zertifikate regelt. Diese sind die Grundlagen der digitalen Identitäten für Nutzer, Geräte und Anwendungen und werden eingesetzt, um sensible Daten wie Software oder Konfigurationen zu schützen und die Kommunikationskanäle abzusichern. Eine PKI basiert auf einer Vertrauenshierarchie. Zertifikate werden von Zertifizierungsstellen (Issuing CAs) ausgestellt, die wiederum über Zwischenzertifizierungsstellen (Intermediate Certificate Authorities, ICAs) bis zur Root Certificate Authority reichen. In großen Organisationen sind die Issuing CAs für bestimmte digitale Funktionen zuständig. DevOps könnte beispielsweise eine eigene Zertifizierungsstelle haben. Digitale Zertifikate finden sich in praktisch jedem Geschäftsprozess. Sie sichern Websites und E-Mail-Clients, IoT-Geräte und Anwendungen aller Art und vieles mehr. Laut Keyfactor‘s 2024 PKI & Digital Trust Report verwendet ein durchschnittliches Unternehmen zu jeder Zeit mehr als 80.000 interne Zertifikate [1].

Mehrere Faktoren erschweren die Verwaltung von PKIs in großem Maßstab:

Fehlende PKI-Spezialkenntnisse: Die meisten Unternehmen haben kein eigenes PKI-Team. In der Regel werden PKI und Zertifikate von IT-, Sicherheits- oder Infrastrukturteams verwaltet. Diese Techniker verfügen selten über die notwendigen Spezialkenntnisse, und außerdem erhöhen manuelle Prozesse das Potenzial für Benutzerfehler.

Unklare Zuständigkeitsverhältnisse: Aufgrund des Mangels an Spezialisten für die Verwaltung von PKI und Zertifikaten in den Organisationen, gibt es keine übergeordnete Vision oder zentrale Steuerung für die PKI. Dies führt dazu, dass die Teams Zertifikate auf eigene Faust verwenden, um individuelle Lösungen zu entwickeln, wobei unsichere Prozesse geschaffen werden.

Geringe Fehlertoleranz: Ein einziges abgelaufenes Zertifikat kann ausreichen, um ganze Systeme lahmzulegen. Daher ist das Auffinden, Verfolgen und Verwalten von Zertifikaten von entscheidender Bedeutung.

Innovationen wie künstliche Intelligenz, IoT und Quantencomputing bringen neue Anwendungsfälle und Risiken für Unternehmen mit sich und führen gleichzeitig zu einem größeren Zertifikatsvolumen. Dadurch wird es schwieriger, PKIs von geringer Qualität zu verwalten und zu modernisieren. Die Suche nach den richtigen Partnern wird der Schlüssel zur Umsetzung effektiver und skalierbarer PKI-Strategien sein. Die richtige Wahl der Werkzeuge kann den Teams einen tiefgreifenden Einblick in die Zertifikatslandschaft geben und sie in die Lage versetzen, die PKI effektiv zu betreiben, ohne sich zu überfordern.

Secure Shell Protokoll (SSH). Das Secure-Shell-Protokoll (SSH) ist ein kryptografisches Netzwerkprotokoll, das den sicheren Betrieb von Geräten über unsichere Netzwerke ermöglicht. Mit anderen Worten, es sichert Fernverbindungen zum Netzwerk. Es ermöglicht auch Maschine-zu-Maschine-Sitzungen, die eine Automatisierung erlauben. Zu diesem Zweck verwendet SSH Public-Key-Kryptografie, das heißt, es erzeugt automatisch öffentlich-private Schlüsselpaare zur Verschlüsselung von Netzwerkverbindungen. Die Sicherheit und ordnungsgemäße Verwaltung dieser Schlüssel ist für den Aufbau von digitalem Vertrauen von entscheidender Bedeutung.

Unternehmen verwenden eine große Anzahl von SSH-Schlüsseln. Es ist nicht ungewöhnlich, 50 bis 200 Schlüssel auf einem Server oder eine Million SSH-Schlüssel in einem Unternehmen zu finden. Ohne eine Verwaltungsstrategie können Angreifer diese Schlüssel kompromittieren, um sich ein hohes Maß an Zugriff zu verschaffen und Sicherheitskontrollen zu umgehen. Von dort aus können sie betrügerische Daten einschleusen, Verschlüsselungssoftware unterwandern, Malware einsetzen oder Systeme komplett zerstören. Das Aufspüren aller SSH-Schlüssel in der IT-Umgebung ist entscheidend für deren Schutz. Veraltete und verwaiste Schlüssel müssen identifiziert und die Vertrauensbeziehungen jedes SSH-Schlüsselpaares abgebildet werden. Ist dies geschehen, können Unternehmen ihre SSH-Implementierung auf Schwachstellen überprüfen und Prozesse verbessern. Schlüssel, die schwache Verschlüsselungsalgorithmen verwenden oder unnötigen Root-Zugriff erlauben, müssen aktualisiert werden.

Code-Signierung. Code Signing ist ein kryptografischer Prozess, der Software mit einem Authentizitätsstempel versieht. Entwickler signieren Anwendungen, Software oder eingebettete Firmware digital mit privaten Schlüsseln, um zu beweisen, dass der Code aus einer legitimen Quelle stammt und nicht manipuliert wurde. Ohne sicheres Code Signing können Benutzer versehentlich Software aus einer bösartigen Quelle herunterladen. Angriffe auf Code Signing ermöglichen es Angreifern, die Softwarelieferkette zu kompromittieren und bösartige Software an Tausende von Benutzern zu verteilen.

Heutzutage veröffentlichen Entwickler ständig neue Software und Updates. Es ist schwierig, die Entwicklungsgeschwindigkeit mit bewährten Sicherheitsverfahren in Einklang zu bringen, und die Einbettung des Code-Signing-Prozesses in den bestehenden Softwareentwicklungszyklus stellt eine weitere Herausforderung dar. Um den Code Signing-Prozess zu sichern, müssen Unternehmen die Code-Signing-Schlüssel auf Hardware-Sicherheitsmodulen und nicht an unsicheren Orten wie Entwickler-Workstations oder Build-Servern speichern. Darüber hinaus ist es ratsam, den Zugriff auf diese Schlüssel auf eine begrenzte Anzahl autorisierter Benutzer zu beschränken.

Transport Layer Security. Transport Layer Security (TLS) ist wie SSH ein Verschlüsselungsprotokoll, das Daten bei der Übertragung von einem Benutzer zum anderen über das Internet schützt. Das kleine Schlosssymbol in der Adressleiste des Browsers zeigt an, dass Daten, die von und zu dieser Website gesendet werden, durch TLS geschützt sind. Dieses Protokoll schützt sensible Daten wie Passwörter, Kreditkartennummern, Surfgewohnheiten und vieles mehr davor, von böswilligen Akteuren abgefangen zu werden. Während TLS für Websites praktisch eine Selbstverständlichkeit ist, ist es bei der Absicherung von Internetprozessen wie E-Mail weniger verbreitet (obwohl es empfohlen wird). TLS-Zertifikate sind auf das Internet ausgerichtet und interagieren mit vielen Anwendungen von Drittanbietern (etwa Webbrowsern). Daher müssen sie den Standards der Anwendungen entsprechen, mit denen sie interagieren sollen.

Certificate Lifecycle Automation (CLA). Es ist wichtig zu wissen, dass Zertifikate und PKI in der Regel von IT-, Sicherheits- oder Infrastrukturteams verwaltet werden. Diesen Teams mangelt es nicht nur an fundierten PKI-Kenntnissen, sondern sie müssen die PKI zusätzlich zu ihren Hauptaufgaben verwalten. Angesichts des explosionsartigen Anstiegs des Zertifikatsvolumens und des anhaltenden Fachkräftemangels im Bereich der Cybersicherheit sind manuelle Zertifikatsverwaltungsprozesse nicht skalierbar und erhöhen die Belastungen der Sicherheitsverantwortlichen. Durch die Automatisierung des Zertifikatslebenszyklus können diese Teams erheblich entlastet und das Ausfallrisiko praktisch eliminiert werden. Eine geeignete CLM-Plattform (Certificate Lifecycle Management) kann viele dieser Probleme auf einen Schlag lösen.

Digitales Vertrauen. Digitale Zertifikate, Schlüssel und Kryptographie bilden auch in absehbarer Zukunft das technische Fundament des digitalen Vertrauens. Bei korrektem Einsatz können diese Werkzeuge Unternehmen nicht nur gegen die wachsenden Bedrohungen durch künstliche Intelligenz und Quantencomputing schützen, sondern sie auch auf komplexe regulatorische Anforderungen vorbereiten. Diese Entwicklungen machen tiefgreifende technologische Veränderungen in den IT-Infrastrukturen unvermeidlich. Nur Organisationen, die in flexible und robuste PKI-Strategien investieren, werden für zukünftige Herausforderungen bestens gerüstet sein.

Andreas Philipp,

Business Development Manager, IOT

bei Keyfactor

