Digitale Identitäten – neue Anwendungsbereiche und Herausforderungen
Die digitale Identität ist ein Schlüsselfaktor für die Cybersicherheit. Von vermeintlich einfachen Aufgaben wie der vertrauenswürdigen E-Mail-Kommunikation über papierloses Unterzeichnen von Verträgen bis hin zur Identifikation der Endgeräte einer kompletten IoT-Infrastruktur – digitale Identität ist das Herzstück von all dem.
Advertorial
Die digitale Identität ist ein Schlüsselfaktor für die Cybersicherheit. Von vermeintlich einfachen Aufgaben wie der vertrauenswürdigen E-Mail-Kommunikation über papierloses Unterzeichnen von Verträgen bis hin zur Identifikation der Endgeräte einer kompletten IoT-Infrastruktur – digitale Identität ist das Herzstück von all dem.
Was ist eine digitale Identität?
Eine digitale Identität kann als jegliche Form von elektronischen Daten beschrieben werden, die zur Erkennung einer Person, eines Objekts oder einer Dienstleistung verwendet werden. Sie ist das Online-Äquivalent eines Ausweises und erfordert Details über die „Sache“, die identifiziert wird, welche von einer dritten Partei validiert werden muss, um die Identität zu autorisieren. Eine entscheidende Komponente der digitalen Identität ist Vertrauen, welches durch eine Reihe an Möglichkeiten geschaffen werden kann. Beispielsweise können verifizierte E-Mail-Adressen, gültige Zertifikate auf einer Website und digitale Ausweise mit Chipkarte als Art der Identitätsprüfung genutzt werden. PKI-(Public-Key-Infrastruktur-)basierte Zertifikate dienen dabei also als Methode, die Identitäten auszugeben und können vielseitig eingesetzt werden. Zertifikate können zum Beispiel zum Signieren von E-Mails oder Dokumenten, aber auch zum Authentifizieren von Geräten und Benutzern verwendet werden.
Wo finden Zertifikate noch Anwendung?
1) Sicherung von E-Mails mit S/MIME
Mehr als 90 Prozent der Ransomware-Angriffe werden über Phishing-E-Mails ausgeführt. Durch die Sicherung von Geschäfts-E-Mails können Kunden darauf vertrauen, dass die von den Mitarbeitern des Unternehmens empfangenen Mitteilungen gültig und rechtmäßig sind. Dies kann mit S/MIME erreicht werden. Kurz gesagt verwendet S/MIME zwei kryptografische Funktionen, mit denen die Identität des E-Mail-Absenders überprüft und die Kommunikation während der Übertragung auf Mailservern durch Verschlüsselung geschützt werden kann.
Durch die Verwendung eines solchen Protokolls kann nicht nur das Vertrauen der Kunden gestärkt werden, sondern auch das Unternehmen geschützt werden, indem potenzielle Phishingversuche blockiert werden.
2) Umsetzung oder Überprüfung der BYOD-Richtlinie (Bring Your Own Device)
Wenn Mitarbeiter ihre eigenen Geräte verwenden, sollte die Einführung einer BYOD-Richtlinie in Betracht gezogen werden, und wenn bereits eine Richtlinie vorhanden ist, sollte sie auf Schwachstellen überprüft werden.
Zertifikate können die Identität der Endgeräte nachweisen und zur Zugriffsverwaltung – auf interne Systeme oder das gesamte Netzwerk – verwendet werden.
3) IoT und Geräte-Identifikation
Die Authentifizierung der Identität ist die wichtigste Voraussetzung für alle Dinge, die mit dem Internet verbunden sind. Insbesondere in der IoT-Ära werden die Daten zwischen verschiedenen Dingen und Akteuren zusätzlich zur traditionellen Internetnutzung ausgetauscht.
PKI bietet mit der zentral gesteuerten Vertrauenshierarchie die perfekte Grundlage, um Identitäten an die Geräte zu vergeben und notfalls zurückzuziehen.
Sogenannte Geburtszertifikate können bei der Produktionsstätte an das Endgerät vergeben werden. Dieses Zertifikat wird verwendet, um das Endgerät gegenüber der IoT-Infrastruktur auszuweisen.
4) Server- und Website-Identität
SSL – Secure Sockets Layer – bieten einen sicheren Kanal zwischen zwei Maschinen oder Geräten, die über das Internet oder ein internes Netz arbeiten. Ein gängiges Beispiel ist die Verwendung von SSL zur Sicherung der Kommunikation zwischen einem Webbrowser und einem Webserver. Dadurch wird die Adresse einer Website von HTTP auf HTTPS geändert, wobei das „S“ für sicher steht.
SSL-Zertifikate können aber auch eine Identität mitliefern. Organizational Validated SSL/TLS Zertifikate tragen beispielsweise den Namen der Firmierung in dem Zertifikat und können damit verwendet werden, um sicherzugehen, dass man nicht Opfer einer Website-Redirect-Attacke wurde.
Warum ist die Verwaltung von Zertifikaten wichtig?
Je größer das Unternehmen, desto schwieriger wird es, den Überblick über diese Identitäten zu behalten, da für jede neue Identität ein Zertifikat erzeugt werden muss. Das Sammeln und Speichern von Zertifikaten ist eine Herausforderung – von der Pflege und dem Schutz bis hin zum Widerruf der Zertifikate, sobald sie nicht mehr benötigt werden. 81 Prozent der Unternehmen hatten in den letzten 24 Monaten zwei oder mehr Ausfälle im Zusammenhang mit Zertifikaten. Selbst mittelständische Unternehmen haben Schwierigkeiten, den Überblick über ihre Zertifikatsverwaltung zu behalten: 71 Prozent der Unternehmen wissen nicht, wie viele Zertifikate und Schlüssel sie besitzen, und 51 Prozent der Unternehmen geben an, dass sie nicht genügend IT-Personal für die Verwaltung ihrer PKI haben. Abgelaufene Zertifikate und Daten stellen für Unternehmen ein Risiko für Cyberangriffe dar, weshalb es wichtig ist, das Zertifikatsmanagement zu automatisieren, um dies zu vermeiden.
Neben unserer Inhouse-Lösung, dem Auto Enrollment Gateway (AEG), legt GlobalSign sehr viel Wert darauf, für jedes Kundenprojekt die richtige Lösung zu bieten. GlobalSign ist stolz darauf, mit den größten Certificate Lifecycle Management und E-Mail Gateway Anbietern auf dem Markt zusammenzuarbeiten, um eine voll automatisierte Komplettlösung für die Zertifikatsverwaltung zu bieten.
Autor: Andreas Brix
