Kommentar: Zertifikat-Missmanagement sorgt für bundesweiten Ausfall von Kartenzahlungen
Es müssen nicht immer Angreifer sein. Auch Nachlässigkeit etwa bei der Identitätenverwaltung kann gravierende Folgen haben.
Es müssen nicht immer Angreifer sein. Auch Nachlässigkeit etwa bei der Identitätenverwaltung kann gravierende Folgen haben. Der landesweite Ausfall von Verifone, der die Kartenzahlungsterminals zahlreicher Supermarkt- und Tankstellenketten über mehrere Tage außer Gefecht gesetzt hat, ist dafür das jüngste Beispiel.
Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi, findet zu diesem Vorfall klare Worte: „Der landesweite Ausfall von Verifone ist eine weitere Warnung an Unternehmen, wie wichtig ein effektives Identitätsmanagement für Maschinen ist. Diese Ausfälle können jeden treffen, und es gab in der Vergangenheit bekannte Beispiele wie LinkedIn und O2, die genau das gleiche Problem mit Zertifikaten hatten. Im Wesentlichen erlauben Zertifikate eine sichere Kommunikation zwischen Maschinen, sie werden jedoch oft schlecht verwaltet. Wenn die Zertifikate unerwartet ablaufen, versetzt dies Unternehmen stark in Bedrängnis, da Anwendungen, Dienste oder Server offline genommen werden. Bei diesem speziellen Vorfall waren Menschen nicht in der Lage, Lebensmittel und Kraftstoff von großen Supermärkten und Tankstellen zu erhalten. Der Vorfall hatte jedoch nicht nur Auswirkungen auf die Verbraucher, sondern auch auf Verifone selbst und seine Kunden, denn diese Art von Vorfällen kann den Ruf eines Unternehmens ernsthaft schädigen. Verbraucher erwarten ein sehr hohes Serviceniveau und sind enttäuscht, wenn die Dienstleistungen, die sie für ihr Leben brauchen, nicht verfügbar sind.
Jüngste Daten zeigen, dass ein durchschnittliches Unternehmen bis 2024 mehr als eine halbe Million Maschinenidentitäten in seinem Netzwerk haben wird. Wie Ausfälle wie dieser zeigen, ist es unmöglich, diese Menge an Identitäten manuell zu verfolgen, daher müssen Unternehmen die Verwaltung automatisieren. So können Entwickler weiterhin mit Hochdruck arbeiten, ohne sich um die Verwaltung von Maschinenidentitäten kümmern zu müssen. Sicherheits- und IT-Teams können dann nachts ruhig schlafen, da sie wissen, dass sie am nächsten Tag nicht mit ablaufenden Zertifikaten und Betriebsausfällen konfrontiert werden.“
Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi