Home » Fachbeiträge » Cybersecurity » Digitale Identitäten – neue Anwendungsbereiche und Herausforderungen

Digitale Identitäten – neue Anwendungsbereiche und Herausforderungen

Die digitale Identität ist ein Schlüsselfaktor für die Cybersicherheit. Von vermeintlich einfachen Aufgaben wie der vertrauenswürdigen E-Mail-Kommunikation über papierloses Unterzeichnen von Verträgen bis hin zur Identifikation der Endgeräte einer kompletten IoT-Infrastruktur – digitale Identität ist das Herzstück von all dem.

3 Min. Lesezeit
Quelle: iStock.com/Rawpixel

Advertorial

Die digitale Identität ist ein Schlüsselfaktor für die Cybersicherheit. Von vermeintlich einfachen Aufgaben wie der vertrauenswürdigen E-Mail-Kommunikation über papierloses Unterzeichnen von Verträgen bis hin zur Identifikation der Endgeräte einer kompletten IoT-Infrastruktur – digitale Identität ist das Herzstück von all dem.

Was ist eine digitale Identität?

Eine digitale Identität kann als jegliche Form von elektronischen Daten beschrieben werden, die zur Erkennung einer Person, eines Objekts oder einer Dienstleistung verwendet werden. Sie ist das Online-Äquivalent eines Ausweises und erfordert Details über die „Sache“, die identifiziert wird, welche von einer dritten Partei validiert werden muss, um die Identität zu autorisieren. Eine entscheidende Komponente der digitalen Identität ist Vertrauen, welches durch eine Reihe an Möglichkeiten geschaffen werden kann. Beispielsweise können verifizierte E-Mail-Adressen, gültige Zertifikate auf einer Website und digitale Ausweise mit Chipkarte als Art der Identitätsprüfung genutzt werden. PKI-(Public-Key-Infrastruktur-)basierte Zertifikate dienen dabei also als Methode, die Identitäten auszugeben und können vielseitig eingesetzt werden. Zertifikate können zum Beispiel zum Signieren von E-Mails oder Dokumenten, aber auch zum Authentifizieren von Geräten und Benutzern verwendet werden.

Wo finden Zertifikate noch Anwendung?

1) Sicherung von E-Mails mit S/MIME

Mehr als 90 Prozent der Ransomware-Angriffe werden über Phishing-E-Mails ausgeführt. Durch die Sicherung von Geschäfts-E-Mails können Kunden darauf vertrauen, dass die von den Mitarbeitern des Unternehmens empfangenen Mitteilungen gültig und rechtmäßig sind. Dies kann mit S/MIME erreicht werden. Kurz gesagt verwendet S/MIME zwei kryptografische Funktionen, mit denen die Identität des E-Mail-Absenders überprüft und die Kommunikation während der Übertragung auf Mailservern durch Verschlüsselung geschützt werden kann.

Durch die Verwendung eines solchen Protokolls kann nicht nur das Vertrauen der Kunden gestärkt werden, sondern auch das Unternehmen geschützt werden, indem potenzielle Phishingversuche blockiert werden.

2) Umsetzung oder Überprüfung der BYOD-Richtlinie (Bring Your Own Device)

Wenn Mitarbeiter ihre eigenen Geräte verwenden, sollte die Einführung einer BYOD-Richtlinie in Betracht gezogen werden, und wenn bereits eine Richtlinie vorhanden ist, sollte sie auf Schwachstellen überprüft werden.

Zertifikate können die Identität der Endgeräte nachweisen und zur Zugriffsverwaltung – auf interne Systeme oder das gesamte Netzwerk – verwendet werden.

3) IoT und Geräte-Identifikation

Die Authentifizierung der Identität ist die wichtigste Voraussetzung für alle Dinge, die mit dem Internet verbunden sind. Insbesondere in der IoT-Ära werden die Daten zwischen verschiedenen Dingen und Akteuren zusätzlich zur traditionellen Internetnutzung ausgetauscht.

PKI bietet mit der zentral gesteuerten Vertrauenshierarchie die perfekte Grundlage, um Identitäten an die Geräte zu vergeben und notfalls zurückzuziehen.

Sogenannte Geburtszertifikate können bei der Produktionsstätte an das Endgerät vergeben werden. Dieses Zertifikat wird verwendet, um das Endgerät gegenüber der IoT-Infrastruktur auszuweisen.

4) Server- und Website-Identität

SSL – Secure Sockets Layer – bieten einen sicheren Kanal zwischen zwei Maschinen oder Geräten, die über das Internet oder ein internes Netz arbeiten. Ein gängiges Beispiel ist die Verwendung von SSL zur Sicherung der Kommunikation zwischen einem Webbrowser und einem Webserver. Dadurch wird die Adresse einer Website von HTTP auf HTTPS geändert, wobei das „S“ für sicher steht.

SSL-Zertifikate können aber auch eine Identität mitliefern. Organizational Validated SSL/TLS Zertifikate tragen beispielsweise den Namen der Firmierung in dem Zertifikat und können damit verwendet werden, um sicherzugehen, dass man nicht Opfer einer Website-Redirect-Attacke wurde.

Warum ist die Verwaltung von Zertifikaten wichtig?

Je größer das Unternehmen, desto schwieriger wird es, den Überblick über diese Identitäten zu behalten, da für jede neue Identität ein Zertifikat erzeugt werden muss. Das Sammeln und Speichern von Zertifikaten ist eine Herausforderung – von der Pflege und dem Schutz bis hin zum Widerruf der Zertifikate, sobald sie nicht mehr benötigt werden. 81 Prozent der Unternehmen hatten in den letzten 24 Monaten zwei oder mehr Ausfälle im Zusammenhang mit Zertifikaten. Selbst mittelständische Unternehmen haben Schwierigkeiten, den Überblick über ihre Zertifikatsverwaltung zu behalten: 71 Prozent der Unternehmen wissen nicht, wie viele Zertifikate und Schlüssel sie besitzen, und 51 Prozent der Unternehmen geben an, dass sie nicht genügend IT-Personal für die Verwaltung ihrer PKI haben. Abgelaufene Zertifikate und Daten stellen für Unternehmen ein Risiko für Cyberangriffe dar, weshalb es wichtig ist, das Zertifikatsmanagement zu automatisieren, um dies zu vermeiden.

Neben unserer Inhouse-Lösung, dem Auto Enrollment Gateway (AEG), legt GlobalSign sehr viel Wert darauf, für jedes Kundenprojekt die richtige Lösung zu bieten. GlobalSign ist stolz darauf, mit den größten Certificate Lifecycle Management und E-Mail Gateway Anbietern auf dem Markt zusammenzuarbeiten, um eine voll automatisierte Komplettlösung für die Zertifikatsverwaltung zu bieten.

 

Autor: Andreas Brix

Andere interessante Fachbeiträge

Cyberrisiko-Check nach SPEC 27076

In der Ära der Digitalisierung wird es für kleine Betriebe immer wichtiger, ihre Wettbewerbsfähigkeit zu bewahren. Dabei spielt die fortschreitende Bedrohung durch Cyberangriffe, insbesondere Ransomware, eine zunehmend besorgniserregende Rolle. Doch wie können sich diese Unternehmen gegen die Gefahren der Cyberwelt schützen? Eine Antwort bietet der innovative CyberRisiko-Check.

Konflikte managen statt austragen

Die fachbereichsübergreifende Ausrichtung als Stabsstelle platziert CISOs an den Reibungspunkten verschiedenster Interessenlagen, wo Konflikte eher die Regel sind. Hier stehen sie vor weiteren Anforderungen, werden bei wichtigen Entscheidungen nicht rechtzeitig einbezogen und laufen Gefahr, zum gemeinsamen Feind der anderen Beteiligten zu werden.

KRITIS: Weite Kreise und enge Vorgaben

Fehler oder Lücken in der Dokumentation von IT-Systemen in Rechenzentren sind riskant, schließlich verzögern sie im Ernstfall schnelles Handeln. Zudem können sie zu erheblichen Strafen führen, sobald Unternehmen zur kritischen Infrastruktur unseres Landes zählen.