Home » Fachbeiträge » itsa 2022 » PKI, Kryptologie, X.509-Zertifikate und Cybersicherheit

PKI, Kryptologie, X.509-Zertifikate und Cybersicherheit

Ein Geschäftsvorfall mit Zertifikaten verursacht etwa drei bis fünf Millionen Dollar Schaden pro Jahr. Ein Unternehmen erlebt typischerweise drei bis fünf Vorfälle. Stellen Sie sich vor, Sie könnten nur einen davon verhindern!

7 Min. Lesezeit

Advertorial

Ein Geschäftsvorfall mit Zertifikaten verursacht etwa drei bis fünf Millionen Dollar Schaden pro Jahr (Quelle Ponemon & Gartner). Ein Unternehmen erlebt typischerweise drei bis fünf Vorfälle. Stellen Sie sich vor, Sie könnten nur einen davon verhindern! Oder besser gleich alle?

Hintergrund

Zertifikate werden von vielen Stellen ausgegeben. Damit ein Zertifikat als gültig betrachtet wird, muss man der Zertifizierungsstelle vertrauen. In Webbrowsern sind aus diesem Grund schon viele Zertifizierungsstellen als vertrauenswürdig eingestuft. Allerdings sind viele dieser Firmen und Organisationen den meisten Anwendern unbekannt. Der Anwender delegiert somit sein Vertrauen an den Hersteller der Software.

Ein weiteres Problem ist, dass dem Zertifikat selbst nur schwer anzusehen ist, wie sicher die bei seiner Ausstellung und Veröffentlichung eingesetzten Verfahren sind und für welche Anwendungen das Zertifikat überhaupt geeignet oder vorgesehen ist. Der Anwender müsste dafür die entsprechenden Dokumentationen der Zertifizierungsstelle, die Certificate Policy (CP) und das Certification Practice Statement (CPS), lesen, deren Inhalte durch RFC 3647 allgemein vorgegeben sind. Bei hohen Sicherheitsanforderungen können qualifizierte Zertifikate verwendet werden, deren Aussteller gesetzlich vorgegebenen Sicherheitsvorgaben und staatlicher Aufsicht unterliegen.

Problembereiche

Probleme wurden beispielsweise durch einen Vorfall deutlich, bei dem VeriSign auf die Firma Microsoft ausgestellte Zertifikate an Personen ausgab, die sich fälschlicherweise als Microsoft-Mitarbeiter ausgegeben hatten. Mit diesen Zertifikaten hatten die Betrüger nun einen augenscheinlich vertrauenswürdigen Beleg dafür, dass sie zur Firma Microsoft gehörten. Es wäre zum Beispiel möglich gewesen, Programmcode im Namen von Microsoft zu signieren, sodass er von Windows-Betriebssystemen ohne Warnung installiert würde. Obwohl diese Zertifikate sofort widerrufen wurden, nachdem der Fehler bemerkt wurde, stellten sie doch weiterhin ein Sicherheitsrisiko dar, da die Zertifikate keinen Hinweis darauf enthielten, wo ein möglicher Widerruf zu finden ist. Dieser Fall ist ein Zeichen dafür, dass man sich nicht immer auf die Vertrauenswürdigkeit von Zertifikaten und die Sorgfalt von Zertifizierungsstellen verlassen kann.

Die Sperrung eines Zertifikats ist nur dann effektiv, wenn bei der Prüfung aktuelle Sperrinformationen vorliegen. Zu diesem Zweck können Zertifikatsperrlisten (CRL) oder Onlineprüfungen (beispielsweise Online Certificate Status Protocol – OCSP) abgerufen werden.

Das Gartner-Institut hat eine Studie zu diesem Thema durchgeführt und eine Vielzahl von Themen identifiziert. Laut dieser Studie werden für 58 Prozent der Angriffe Zertifikate genutzt. Ebenfalls werden in Unternehmen fast alle Sicherheitsprodukte und -mechanismen über zertifikatsbasierte Methoden abgesichert. Somit bekommt das Zertifikat eine unternehmenskritische Bedeutung. Bekannt sind unter anderem folgende Problembereiche: Gültigkeitsdatum, Verschlüsselungsmethode und Stärke, Hashgenerierung, Aussteller, Nutzungsrechte/Privilegien, Schlüsselablageorte, Schlüsselspeicher.

Standards bei Zertifikate

Am weitesten verbreitet ist der Standard X.509 der internationalen Fernmeldeunion. X.509 ist ein ITU-T-Standard für eine Public-Key-Infrastruktur zum Erstellen digitaler Zertifikate. In der elektronischen Kommunikation finden X.509-Zertifikate Anwendung bei den TLS-Versionen diverser Übertragungsprotokolle, wie zum Beispiel beim Abruf von Webseiten mit dem HTTPS- Protokoll, oder zum Unterschreiben und Verschlüsseln von E-Mails nach dem S/MIME-Standard.

  • Detaillierungen der Standards werden über die Public Key Infrastructure Standards (PKCS #1–15) definiert.
  • ISO 7816 definiert zwei verschiedene Formate für sehr kompakte Zertifikate, die von Chipkarten interpretiert und geprüft werden können (Card Verifiable Certificates (CV-Zertifikate)). CV-Zertifikate kommen zum Beispiel beim Extended Access Control für elektronische Reisepässe und den deutschen Personalausweis sowie bei der elektronischen Patientenkarte und dem elektronischen Heilberufsausweis zum Einsatz.
  • Im Zahlungssystem EMV wird ein besonders kompaktes Zertifikatsformat verwendet.
  • Für die Verkehrstelematik, konkret für die Kommunikation mit Kraftfahrzeugen, sind in IEEE 1609.2 und ETSI TS 103 097 spezielle Zertifikatsformate definiert. IEEE 1609.2 definiert auch ein Datenformat für Sperrlisten.

Automatisierung und Management

Trotz des Einsatzes von unterschiedlichen Sicherheitstechnologien, wie Firewalls, Vulnerability-Scanner, SIEM etc., werden Unternehmen zunehmend Opfer von erfolgreichen Cyberattacken. Analysiert man die Angriffs- Vektoren, zeigt sich, dass viele erfolgreiche über Missbrauch von Identitäten und Zertifikate erfolgen.

PCert ermöglicht einen automatisierbaren, vollständigen Überblick über die unternehmensinterne IT-Vertrauens-, Crypto- und X.509-Zertifikatslandschaft. Dadurch lassen sich Risiken identifizieren oder eventuell auftretende Probleme frühzeitig und präventiv lösen.

Die Lösung unterstützt sowohl mittlere wie auch große Unternehmensnetzwerke und bietet zusätzlich wissensbasierte, servicegestützte Entscheidungshilfen an. Hier hat bisher eine Unterstützung in den wichtigsten Aspekten Identifizierung, Sammlung, Bewertung gefehlt. Da es in den existierenden Umgebungen bereits massive Probleme gibt, werden mit der Einführung weiterer Digitalisierung wie Internet of Things (massiv vernetzte Umgebungen) und Supply-Chain-Sicherheit diese Probleme wachsen. Die jederzeit drohende Schwächung zurzeit genutzter Crypto-Maßnahmen durch Softwarefehler und/oder schwache Schlüssel und Methoden erfordert außerdem eine schnelle Reaktion innerhalb des Unternehmens und damit eine Crypto-Agilität, um auf diese Bedrohung zu reagieren. Ohne Automatisierung des gesamten IT-Trust-Bereichs werden alle Sicherheitsmaßnahmen unnötig geschwächt. Ebenfalls ist eine anstehende Migration zu Post Quantum sicheren Verschlüsselungsmethoden vorzubereiten.

Dieses Thema ist nicht mehr manuell zu lösen, deswegen setzt hier PCert an. Um den Überblick über die interne Struktur zu bekommen, gibt es zwei
Ansätze:

  1. Der Anwender erlaubt nur vertrauenswürdige Software zur Installation und bekommt von der Herstellerfirma eine Zertifikatsübersicht.
  2. Der Anwender verifiziert die Zertifikatslandschaft mit einer automatisierten Softwarelösung und definiert seine Vertrauenslandschaft selbst.

Beide Ansätze erfordern Kenntnis der vollständigen Vertrauenslandschaft ohne Silos von Hersteller oder Zulieferer.

Unsere langjährige Erfahrung in der Erstellung von militärischen und luftfahrttechnischen Softwareprodukten sowie Certificate Authorities und Public- Key-Infrastrukturen ist in die Entwicklung von PCert eingeflossen und dadurch wurde auf höchstmögliche Softwarequalität geachtet. Zusätzlich wurde ein weites Spektrum von Sicherheitsrichtlinien von Anfang an in die Produkte mit einbezogen, sodass bei Bedarf eine herausragende Sicherheit auch auf staatlichem Level mit minimalen Aufwendungen erreicht werden kann.

PCert entdeckt Ihre Computer-Vertrauensbeziehungen (Krypto-Assets wie X.509, SSH, PGP, Keystores) und unterstützt Sie dabei, sie gemäß Ihren Unternehmensregeln unabhängig von Einzelpersonen und Silos zu verwalten und Ihren Cybersicherheitsansatz (SOC, CIT) mit einer neuen leistungsstarken Cybersicherheitsfähigkeit zu stärken.

PCert-Scanner

Ermöglicht Ihrem Unternehmen das Sammeln und Überwachen alle X.509- Zertifikate, Keystores (+Schlüssel) auf Ihren Computern (bis zu 400k pro Gerät), Servern (bis zu 200k pro Gerät) oder anderen Geräten.

Verschaffen Sie sich einen unternehmensweiten Überblick und Risikobewertung für die Einhaltung gesetzlicher Vorschriften (zum Beispiel SOX, ISO
27.001) oder bereiten Sie die Neugestaltung Ihrer Vertrauenslandschaft (beispielsweise PKI, HSM) vor.

PCert AIO-Plattform

Sammelt alle Scan-Ergebnisse, generiert eine unternehmensweite Übersicht, setzt Policies durch, tauscht, verknüpft und registriert Zertifikate mit den Geräten, bietet Management und Verifikation Ihrer IT-Trust Landscape und hilft Ihnen, auch unbekannte Cyberrisiken oder Schwachstellen zu verstehen und Eindringlinge zu erkennen.

Über Data-Warehouse:

Die Data-Warehouse GmbH ist seit 1987 am Markt erfolgreich tätig und hat sich zu einem Systemhaus mit eigenem Produktportfolio im Bereich gesamtheitliches, qualitätsgesichertes Informationsmanagement, Logistik- und Prozessoptimierung, gesamtheitliche Sicherheitsstrategie und Datenschutzberatung entwickelt.

Wir schaffen auf Wunsch ein hocheffizientes IT-Umfeld mit minimalem Consultingbedarf und produktneutraler Beratung. Unsere Bandbreite umfasst alle Tätigkeiten von der klassischen Beratung über den Aufbau von IM-Strategien über die Optimierung existierender Lösungen (Prozesse, Architekturen), Datenkonsolidierung, bis hin zur Umsetzung und dem Betrieb.

Im Hochsicherheitsumfeld bieten wir Erfahrungen in Projekten zum Beispiel mit nationalen und internationalen Partnerschaften (zum Beispiel Airbus, ESG und weitere) auf erfolgreiche Unterstützung von Kunden wie Airbus, BAESystems, Alenia, CASA, der Luftwaffe, Heer, Marine und dem österreichischen Bundesheer zurückgreifen. Unsere Services werden weltweit in jeder Projektgröße angeboten.

Unsere Strategie unterstützt die Philosophie der agilen, individuellen Lösungsfindung und ist seit Jahrzehnten in der Industrie bewährt bei der Durchführung von Informationskonsolidierungen, Prüfung und Etablierung von Computersicherheit, schrittweisen Ablösung von IT-Systemen, Unterstützung von ERP-Systemen, Qualitätssicherung von Daten und Informationen, Aufbau von zentralen Informationssystemen und automatisierter Langzeitarchivierung. Durch eigene hocheffiziente Produktlinien im Bereich Datenmanagement, Cybersicherheit und Softwareentwicklung können (fast) alle Themenbereiche individuell mit standardisierter Plattform und minimalem Aufwand gelöst werden.

Produkte:

IQIMS-OC für die transparente, revisions- und rechtssichere Speicherung von Informationen. Ermöglicht iterative und evolutionäre, hocheffiziente und langfristig aktuelle Lösungen, bei gleichzeitiger Senkung von IT-Kosten, Entlastung des eigenen IT-Personals, transparente Einbindung in IT-Landschaften (ERP/SinN), Minimierung der Programmierung und Abhängigkeiten.

IQIMS Ebus-J: Vollständige ausgereifte 4 GL zur aufwandsminimierten, iterativen crossplattformkompatiblen Produktion von Softwarelösungen mit eigener Datenbank. Schnell erlernbare Programmiersprache (BASIC) für sichere, schnelle auch komplexe Lösungen in C, Java, n-tier Java, HTML. Einbindung von beliebigen Bibliotheken, DB. Keine Exportbeschränkungen durch Drittstaaten da „Made in Bavaria“. Tixxle: Mobile Collaboration & Kommunikationslösung (Notizzettel für das Internet), Verbindung mobiler zu stationärer Kommunikation usw.

PCert: Mandantenfähiger Key- und Zertifikatsscanner zur Auditierung des Unternehmens. Unternehmensweite Sammlung, Analyse und Auswertungen, Detektion und Identifikation ungültiger, doppelter Zertifikate als Schwachstelle. Unterstützung der Compliance, Risk und Unternehmenssicherheit.

Referenzen: z.B. Dt. Luftwaffe, Österr. Bundesheer, Eurofighter GmbH, NATO, Airbus , Airbus DS, Cassidian Cyber Security, Dt. Post, EV Group, 1&1 AG, IKK,KZV, Telefonica O2, Dt. Börse AG, Dresdner Bank AG und viele mehr.

Andere interessante Fachbeiträge

Sieben Punkte für die IT-Sicherheit 2022/23

In sieben Punkten spannen Sicherheitsexperten den Bogen vom Sicherheitsbewusstsein der Mitarbeitenden bis zur nahen Zukunft mit künstlicher Intelligenz (KI) und Machine Learning. Vor allem aber wird deutlich: IT-Sicherheit ist ein permanenter Prozess. 

Eine Welt ohne Passwörter

Einerseits nehmen Cyberangriffe auf Unternehmen weiter zu, andererseits wollen Mitarbeitende möglichst einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. Wie IT-Security-Abteilungen diesen Spagat managen, verrät Tobias Becker, SaaS Sales Leader für die DACH-Region beim Sicherheitsexperten LastPass, im Interview.

Microservice-, Container- und (Multi-)Cloud-gerechte Security

Um Security in komplett neu gestalteten Strukturen und Architekturen von vornherein angemessen mitzubauen, kommen neben neuen Entwicklungsmodellen wie DevOps und DevSecOps auch neue Security-Ansätze zum Einsatz – allen voran risikobasierte Authentifizierung und Continuous Adaptive Trust.