Ungesicherte Schlüssel und Zertifikate bieten Angreifern ungehinderten Zugriff auf die Netzwerke ihres Opfers und sorgen dafür, dass sie bei vertrauenswürdigem Status und Zugriff lange Zeit unentdeckt bleiben.
Eine Umfrage von Venafi unter 850 Unternehmen zeigt, dass viele nicht wissen, wie sie Schwachstellen bei Schlüsseln und Zertifikaten erkennen und darauf reagieren können.
Doch Unternehmen, die nicht wissen, was vertrauenswürdig ist oder wie man Angriffe auf Schlüssel und Zertifikate erkennt und behebt, bleiben schutzlos bei Sicherheitsvorfällen und Kompromittierungen. Laut der Studie wissen die Mehrheit der IT-Sicherheitsexperten nicht, wie man die Kompromittierung kryptographischer Schlüssel und digitaler Zertifikate schnell erkennt oder beseitigt. Fast zwei Drittel (64 Prozent) der Sicherheitsexperten geben zu, nicht in der Lage zu sein, innerhalb von 24 Stunden auf Angriffe auf SSH-Schlüssel reagieren zu können. Nach einem erfolgreichen Angriff würden 78 Prozent der Befragten auch künftig nur Teilmaßnahmen ergreifen und wären so der Gefahr weiterer Angriffe ausgesetzt.
Laut Venafi seien die Ergebnisse der Umfrage besorgniserregend, angesichts des Aufwärtstrends bei Angriffen auf das Vertrauen und all den großen Schlüssel- und zertifikatbasierten Schwachstellen, die alleine in den vergangenen sechs Monaten aufgedeckt wurden. Von Heartbleed, ShellShock und POODLE über Lenovos Superfish-Schwachstelle bis zu FREAK und dem nun jüngsten LogJam-Schlupfloch wissen Cyberkriminelle, dass ungeschützte Schlüssel und Zertifikate angreifbar sind, und sie würden diese ausnutzen, um Website-Spoofing zu betreiben und Man-in-the-Middle-Angriffe auszuführen.
Die Bedrohungslandschaft habe sich laut Venafi stark verändert: Kriminelle Hacker seien in der Lage, diese neuen Schwachstellen auszunutzen, weil die meisten Sicherheitssysteme Schlüsseln und Zertifikaten blind vertrauen. Fehlt ein Immunsystem für das Internet, seien Unternehmen nicht in der Lage zu ermitteln, was zu ihren Netzwerken gehört und damit vertrauenswürdig ist.
Doch IT-Sicherheitsexperten müssen erkennen, dass Schlüssel und Zertifikate vertrauenswürdige Verbindungen für nahezu alles herstellen, was heutzutage IP-fähig ist. Besser wäre es, Webserver, Software, Mobilgeräte, Applikationen und Sicherheitsadministratoren sollten als “eigene Assets” erkannt werden und damit als vertrauenswürdig eingestuft.
Doch Schlüsseln und Zertifikaten werde oft blind vertraut, so dass Cyber-Kriminelle sie nutzen, um sich in verschlüsseltem Traffic zu verstecken, Webseiten zu spoofen, Malware einzuschleusen und Daten zu stehlen. Wenn IT-Sicherheitsexperten nicht in der Lage sind, Schlüssel und Zertifikate zu sichern und schnell auf Angriffe zu reagieren, bei denen diese genutzt werden, werde das Online-Vertrauen weiter schwinden – mit schwerwiegenden Folgen für die Wirtschaft, die stark vom Online-Vertrauen abhänge.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: Schlüssel und Zertifikate: Nur eingeschränkte Reaktion von Unternehmen bei Angriffen