Fünf Risiken von Maschinenidentitäten

Erhebliche Auswirkungen auf Unternehmen sind möglich

Von unserem Gastautor Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

[datensicherheit.de, 01.07.2019] Risiken von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) sind nicht immer kritisch. IT-Verantwortliche müssen jedoch verstehen, wie wichtig sie für die IT-Sicherheitslage des Unternehmens sind. Aus diesem Grund wurde eine Liste zusammengestellt mit fünf wichtigen Risiken, an denen sich die Verantwortlichen abarbeiten können:

1. Zertifikatsbedingte Ausfälle
   Wenn Zertifikate ausgestellt werden, wird ihnen ein Verfallsdatum zugewiesen. Wenn ein Zertifikat nicht vor Ablauf ersetzt wird, kann es einen zertifikatsbedingten Ausfall auf dem von ihm unterstützten System auslösen. Dieser ungeplante Ausfall und die damit verbundenen Ausfallzeiten dauern an, bis ein neues Zertifikat ausgestellt und installiert wird. Ohne die richtige Intelligenz, wie z.B. zu wissen, wo genau ein Zertifikat installiert ist und wer dieses System besitzt, sind zertifikatsbedingte Ausfälle bekanntlich schwer zu diagnostizieren.
2. Sicherheitsverstöße
   Die meisten Sicherheitskontrollen vertrauen auf digitale Kommunikation, die über Maschinenidentitäten authentifiziert wird. Aber wenn die kryptographischen Schlüssel und digitalen Zertifikate kompromittiert oder gefälscht werden, können Cyberkriminelle sie nutzen, um legitim zu erscheinen. Sie können dann unter anderem Sicherheitskontrollen umgehen. Cyberkriminelle verwenden auch gestohlene Maschinenidentitäten, um privilegierten Zugriff auf kritische Systeme zu erhalten, damit sie tiefer in das Unternehmensnetzwerk eindringen und über einen längeren Zeitraum versteckt bleiben können.
3. Langsame Incident Response
   Je länger eine Sicherheitsbedrohung, ein Ausfall oder eine Sicherheitsverletzung andauert, desto größer ist das Potenzial für schwere Schäden. Wenn beispielsweise eine Zertifizierungsstelle (CAs) kompromittiert wurde, könnten die Verantwortlichen wirklich schnell genug alle und zwar wirklich alle Zertifikate dieser Zertifizierungsstelle ersetzen? Andere große Sicherheitsereignisse, die eine rechtzeitige Reaktion erfordern, sind die Entdeckung einer Maschinenidentität unter Verwendung eines verwundbaren Algorithmus wie SHA-1, die Ausnutzung eines kryptographischen Bibliotheksfehlers wie Heartbleed oder wenn ein führender Browser-Anbieter entscheidet, Zertifikaten dieser kompromittierten CA nicht mehr zu vertrauen. Wenn Unternehmen auf jede Art von Ereignis reagieren müssen, das sich auf die Maschinenidentität auswirkt, ist die Zeit der Reaktion zum Erhalt der IT-Sicherheit entscheidend.
4. Operative Unzulänglichkeiten
   Unternehmen verbringen in der Regel durchschnittlich vier Stunden pro Jahr damit, jedes digitale Zertifikat zu verwalten, das als Maschinenidentität dient. Bei Tausenden oder sogar Hunderttausenden von Maschinenidentitäten kann sich der daraus resultierende Aufwand schnell summieren. Die Verwaltung von Maschinenidentitäten kann durch andere Faktoren erschwert werden, wie z.B. durch Administratoren, die mit Zertifikaten oder Trust Centern nicht vertraut sind. Und wenn Ihre Maschinenidentitäts-Operationen nicht reibungslos ablaufen – was in den meisten Unternehmen der Fall ist -, kann der Zeitaufwand schnell ansteigen, insbesondere wenn es zu einem Ausfall oder einer Verletzung kommt.
5. Negative Audit-Ergebnisse
   Maschinenidentitäten unterliegen zunehmend den Richtlinien und Vorschriften von Unternehmen, Behörden oder Branchenvorgaben. Darunter befinden sich mehrere Standards, die sich speziell auf die Verwaltung und Sicherheit von kryptografischen Schlüsseln und Zertifikaten konzentrieren. Da die meisten Unternehmen keine Lösung zum Schutz der Maschinenidentität nutzen, ist es nicht ungewöhnlich, dass Auditoren feststellen, dass ein Unternehmen nicht in der Lage ist, Maschinenidentitäten zu überwachen, Richtlinien durchzusetzen oder eine effektive Verwaltung aufrechtzuerhalten. Das führt zu erheblichen Sicherheits- und Zuverlässigkeitsrisiken. Wenn Verantwortliche mit der Bearbeitung negativer Compliance-Findings beauftragt sind und kein Programm zum Schutz der Maschinenidentität installiert haben, stehen sie vor einem langwierigen, manuellen Projekt.

Foto: Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

Fazit

Von Serviceausfällen bis hin zu Sicherheitsverletzungen können schwach verwaltete Maschinenidentitäten verheerende Auswirkungen auf Unternehmen haben. Wenn eine Maschinenidentität kompromittiert und in einem Cyberangriff verwendet wird oder einen IT-Ausfall bzw. eine Störung verursacht, können die negativen Folgen erheblich sein. Unternehmen können unter einem geschädigten Ruf, Umsatzeinbußen, kostspieligen Abhilfemaßnahmen und höheren Verwaltungskosten leiden. Dagegen schützt eine Lösung, die alle Maschinenidentitäten automatisiert an einem zentralen Ort erfasst, verwaltet und zur Not per Knopfdruck ersetzen kann, wenn einer CA das Vertrauen entzogen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten