... und warum wir die Schuld nicht dem Einbrecher zuschieben können.
Ein Artikel von Calum MacLeod, EMEA Marketing Evangelist bei Venafi.
Auf einer Autobahn in Kalifornien nimmt die Zukunft Gestalt an. Auf öffentlichen Straßen werden Autos ohne Fahrer getestet. Von Google bis Toyota, eine völlig neue Welt kommt viel früher auf uns zu, als wir uns das je vorgestellt haben. Wie werden wir Autos steuern, die mit 70 Meilen pro Stunde selbstfahrend die Autobahnen hinunterjagen, während wir neben ihnen herfahren oder in ihnen sitzen? Und wie können wir ihnen vertrauen? Wie werden Autos den Besitzer von einem Dieb (oder von den Kindern) unterscheiden können? Wie kann man auf Autobahnen sicher sein, dass ein fahrerloses Auto sicher funktioniert? Wie können wir gewährleisten, dass fahrerlose Autos nicht dazu benutzt werden, Verbrechen zu begehen oder Terrorangriffe zu starten? Ohne Vertrauen, Sicherheit und Schutz zu kontrollieren, bevor sich fahrerlose Autos auf den Weg machen, wird es keine fahrerlosen Autos geben.
Aber wie steht es mit der Unternehmens-IT? Das Unternehmen und die Regierung haben alles im Griff, nicht wahr? Sie würden sicherlich zuerst Kontrolle über Vertrauen, Datenschutz und Kontinuität aufbauen, oder wenn nicht im Voraus aufbauen, dann würden Sie sicherstellen, dass Ihr Unternehmen alles voll unter Kontrolle hätte. Kryptographische Schlüssel und digitale Zertifikate bilden das Fundament des Vertrauens, aber die traurige Realität ist, dass wir die Kontrolle verloren haben. Schlüssel und Zertifikate stellen ein nicht quantifiziertes Sicherheitsrisiko, einen betrieblichen Alptraum und drohende Audit- und Compliancefehler für fast jeden Betrieb und jede Regierung dar. Und das Problem wird immer größer und komplizierter.
Warum sind Schlüssel und Zertifikate so wichtig? Wie werden gespeicherte Daten verschlüsselt, wie spricht ein Anwendungsserver mit der Datenbank, wie schafft es ein Tablet in das Unternehmensnetzwerk oder woher wissen Sie, dass Sie auf der echten Internetseite Ihrer Bank gelandet sind? Zu all dem braucht man kryptographische Schlüssel und Zertifikate. Der gesamte Betrieb von Unternehmen und Regierungen hängt nur an ein paar Kilobytes. Aber fragen Sie einmal, wie und wo die Schlüssel und Zertifikate ihrer Organisation gespeichert sind. Wer kümmert sich um sie? Jetzt erscheinen diese grundlegenden Elemente des Vertrauens, des Datenschutzes und der Verfügbarkeit wie Verpflichtungen -wie große Verpflichtungen.
Hört sich an, als hätten wir die Kontrolle verloren? Ja. Würden wir fahrerlose Autos mit ähnlichen und vagen Kontrollebenen auf die Straße lassen? Nein. Welchen Gefahren sind Unternehmen und Regierung also ausgesetzt? Bestenfalls nur Kopfschmerzen; schlimmstenfalls einer kostspieligen Katastrophe.
Nach einer Reihe von Angriffen im Laufe der letzten zwei Jahre stellten Kriminelle im Dezember unbefugt, aber völlig legitim, Zertifikate für alles, was von Google bereitgestellt wird, aus, indem sie den Betrieb einer türkische Zertifizierungsstelle (CA) kompromittierten. In den USA und Europa wurden CAs auf ähnliche Art kompromittiert. Wüssten Sie, ob Sie Zertifikate von einer CA haben, die nicht mehr vertrauenswürdig ist? Wie würden Sie diese in den schrecklichen Stunden, nachdem Sie herausgefunden haben, dass Sie Ihrer eigenen Infrastruktur nicht mehr trauen können, ersetzen? Die holländische Regierung und tausende von Unternehmen haben nach dem Angriff von DigiNotar im Jahr 2011 genau dieses Szenario durchlebt.
Aber dafür kann man nicht nur die Kriminellen verantwortlich machen. Die Organisationen selbst waren völlig unvorbereitet - sie wussten nicht, wie viele Schlüssel und Zertifikate sie hatten, wer diese managt und wie sie verwendet werden und was in einem Notfall oder im Fall einer Gefährdung zu tun ist. Tatsächlich haben die Organisationen den Cyber-Dieben die Tür weit geöffnet. Als Konsequenz dieser und anderer Angriffe hat das NIST (US National Institute of Standards and Technology) eine Richtlinie herausgegeben, die empfiehlt, dass alle Organisationen einen Katalog aller verwendeter Zertifikate entwickeln und darauf vorbereitet sein sollten, auf die fast sichere Zwangsläufigkeit reagieren zu müssen, dass in Zukunft eine oder mehrere CAs kompromittiert werden.
Und sind es nicht Kriminelle, die mit Schlüsseln und Zertifikaten verheerenden Schaden anrichten, dann sind es Fehler und Ignoranz. Fragen Sie sich, warum ihr Online-Banking abstürzt, die Grenzkontrolle die Pässe nicht kontrollieren kann oder die Gepäckabfertigung stoppt. Kontrollieren Sie das Ablaufdatum Ihres digitalen Zertifikats. Tausende von Unternehmen und Regierungen mussten Lehrgeld zahlen, weil keine Ablaufkontrolle und keine Richtlinien für digitale Zertifikate vorhanden waren. Die häufigste Ursache ist das für die Inventarisierung von zunächst einer Handvoll von Zertifikaten verwendete Datenblatt, in dem jetzt Tausende von Zertifikaten aufgelistet sind. Wenn Zertifikate ablaufen, bedeutet das, dass Systeme aufhören zu arbeiten. Für viele können unplanmäßige Systemausfälle eine extrem teure und schädliche Erfahrung werden.
Sicherheits- und Betriebsrisiken nehmen immer mehr zu und Prüfer und Behörden begreifen langsam den Mangel an Kontrolle über Schlüssel und Zertifikate, der bei Organisationen herrscht. Die britische ICO (Information Commisioners Office) definierte in ihrem Guidance on Cloud Computing “robustes Schlüsselmanagement” als notwendig für die Sicherstellung des Datenschutzes und die Einhaltung des britischen Datenschutzgesetzes.
Bei Eintreten eines Datenschutzverstoßes erwarten die Datenschutzbehörden nachweisliche Kontrolle über die Schlüssel und Zertifikate, einschließlich prüffähiger Zugangskontrollen und Abgrenzung der Aufgaben. Und bei Schlüsseln, die für die SSH-Authentifizierungen zur Cloud-Verschlüsselung genutzt werden, stellen die Prüfer auch harte Fragen und senden fehlgeschlagene Prüfungen zurück.
Und wenn Sie glauben, dass wir die Kontrolle noch nicht ganz verloren haben, warten Sie nur ab. Forrester sagt für 2014 Cloud-Ausgaben von weltweit über $75B USD voraus, das heißt, es werden noch viele Unternehmensdaten in den „wilden Äther“ geschickt. Und mit BYOD und anderen mobilen Projekten besitzen und kontrollieren Unternehmen die Geräte, mit denen auf sensible Daten zugegriffen wird, nicht mehr.
Forrester beschrieb diese rasch eintreffende Zukunft bereits im Jahr 2010 treffenderweise als „Own Nothing“. IT besitzt den Server nicht mehr, oder die Festplatte oder die Endpunkte, die das Unternehmen und die Regierung bedienen. Sie meinen, das wäre ein totaler, absoluter Kontrollverlust? Interessanterweise beschrieb Forrester die Möglichkeit „alles zu kontrollieren“. Das gemeinsame Element, das jedes Unternehmen mit der Cloud und den Mobilgeräten verbindet, sind kryptographische Schlüssel und Zertifikate. Wenn Sie diese Schlüssel und Zertifikate kontrollieren, dann kontrollieren Sie wirklich alles.
Bei der Aufgabe, Ihrer Organisation wieder die Kontrolle über Schlüssel und Zertifikate zurückzugeben, dreht sich nicht alles nur um Technologie. Systemadministratoren und andere Mitarbeiter sind mit dem Management von Systemen beschäftigt, die auf Schlüsseln und Zertifikaten zur Datensicherheit und Systemauthentifizierung beruhen. Und ohne vernünftige Richtlinien ist es nicht möglich, Ordnung in die Technologie und die am Schlüssel- und Zertifikatmanagement beteiligten Personen zu bringen. Sobald Technologie, Personen und Richtlinien festgelegt sind, kann eine Organisation zur Automatisierung von Schlüssel- und Zertifikatmanagement übergehen - und schließlich wieder die Kontrolle über die kritischen Elemente Vertrauen, Datenschutz und Kontinuität übernehmen.