Von unserem Gastautor Scott Carter, Senior Manager Marketing bei Venafi

[datensicherheit.de, 19.02.2020] Tagtäglich werden überall auf der Welt Milliarden von Maschinenidentitäten (digitale Zertifikate und kryptographische Schlüssel) ausgestellt, erneuert und widerrufen. Doch immer wieder schleichen sich in diese Prozesse Fehler ein, die dann teuer werden können, wenn es zu Ausfällen oder Sicherheitsvorfällen kommt. Deshalb beschäftigt sich der vorliegende Beitrag mit diesen drei grundlegenden Vorgängen, um den Verantwortlichen Tipps und Tricks an die Hand zu geben, quasi eine Schritt für Schritt Anleitung. Sobald ein Benutzer ein digitales Zertifikat von einer Zertifizierungsstelle (CA) erworben hat, kann er darüber verfügen wie er möchte. Das heißt jedoch nicht, dass er sich dann nicht mehr weiter darum kümmern muss. Denn für die Erneuerung von Zertifikaten ist er verantwortlich, ebenso wie für die eventuelle Neuausstellung oder den Widerruf.

• Erneuerung: Die Zertifikatserneuerung ist ein Verfahren, mit dem ein Benutzer ein neues Zertifikat für den gleichen öffentlichen Schlüssel erwirbt, der in einem ablaufenden Zertifikat verwendet wird. Die meisten SSL-Zertifikate laufen ein Jahr nach Erwerb ab. Damit das Vertrauen der Webnutzer durchgehend gewahrt bleibt, sollten Zertifikatseigentümer planen, ein Zertifikat im letzten Quartal vor dem Ablauf zu erneuern. Die Erneuerung können sie anfordern, indem sie über das Hosting-Bedienfeld ihrer CA einen neuen Certificate Signing Request (CSR) erzeugen. Die CA wird diesen Antrag dann bearbeiten und die Schritte zur Identitätsprüfung im gleichen Zeitraum abschließen, der auch bei der Bearbeitung des CSR für ein neues Zertifikat erforderlich ist – vorausgesetzt, dass sich die Domain, der Name des Unternehmens und die sonstigen Angaben des Inhabers nicht geändert haben. Anschließend sendet die CA das Zertifikat an den zuständigen Ansprechpartner. Der Inhaber muss dann das neue Zertifikat installieren und konfigurieren, bevor er das alte elektronische Dokument entfernt.
• Neuausstellung: Die Neuausstellung von Zertifikaten (auch Re-Keying genannt) ist ein Verfahren, bei dem ein Benutzer einen neuen privaten Schlüssel und einen CSR für ein vorhandenes Zertifikat erzeugt. Wie bei DNSimple erläutert, gibt es verschiedene Gründe, warum ein Benutzer ein Zertifikat neu ausstellen lassen muss: etwa, wenn er seinen privaten Schlüssel verloren oder gelöscht hat, wenn er Informationen zum Zertifikat ändern will oder wenn er die Verschlüsselungsstärke des Zertifikats ändern möchte. Sobald das Verfahren zur Neuausstellung abgeschlossen ist, wird ein neues digitales Zertifikat erstellt.
• Widerruf: Manchmal wird der private Schlüssel eines Zertifikats unsicher. Die Zertifizierungsstelle Let’s Encrypt weist darauf hin, dass dies geschehen kann, wenn ein Benutzer den Schlüssel auf einer öffentlichen Website teilt oder wenn Hacker den Schlüssel von den Servern eines Unternehmens stehlen. In Fällen wie diesen kann der Benutzer das Zertifikat widerrufen. Daraufhin wird es annulliert und damit die HTTPS-Verbindung aus der Domain des Inhabers entfernt. Es ist dann Sache des Benutzers, ein neues digitales Zertifikat zu erwerben, zu installieren und zu konfigurieren.

Für ein Unternehmen ist es sehr arbeitsaufwändig, die Übersicht darüber zu wahren, wo sich alle digitalen Zertifikate befinden. Und noch größer ist der Aufwand für die Erneuerung, die Neuausstellung und gegebenenfalls den Widerruf eines Zertifikats. Letztlich geht es hier je nach Unternehmensgröße und Anzahl der Anwendungen, Algorithmen, IT-Systeme und anderen um teilweise Zehntausende Maschinenidentitäten. Folglich können die Prozesse zur Erstellung und Erneuerung viel Zeit kosten und sehr fehleranfällig sein, wenn sie lediglich manuell und mit Excel-Listen durchgeführt werden. Jeder Fehler kann entweder von Angreifern ausgenutzt werden, um Webnutzer anzugreifen oder aber um den Service zum Absturz zu bringen. Sie können die Services sogar gänzlich kapern und den Datenverkehr von einer Webseite zu einer infizierten oder bösartigen umleiten. Darüber hinaus kann ein Ausfall eines Online-Shops oder Services Kunden vergraulen und ganze Geschäftsmodelle gefährden. In der Folge wird der Ruf des Unternehmens gefährdet und ihm letztlich finanzieller Schaden zugefügt.

Bild: Venafi

Scott Carter, Senior Manager Marketing bei Venafi

Schlussfolgerung: Automation für Neuausstellung, Erneuerung und Widerrufung

Um ihre digitalen Zertifikate angemessen verwalten zu können, brauchen Unternehmen eine Lösung, die die Erneuerung, Neuausstellung und den Widerruf vereinfacht. Die Plattform von Venafi automatisiert nach Unternehmensangaben  die drei beschriebenen Schritte. Unternehmen können die REST-API des Tools verwenden, um die Erneuerung, Neuausstellung und/oder den Widerruf von Zertifikaten über ein einziges Portal anzustoßen. Diese Zentralisierung beschleunigt jedes dieser Zertifikatsmanagement-Verfahren und minimiert dadurch das Zeitfenster, in dem ein Angreifer Schaden anrichten könnte. Außerdem benachrichtigt die Plattform automatisch den Inhaber, wenn ein Zertifikat demnächst abläuft.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern

datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

datensicherheit.de, 07.06.2019
ForgeRock: Datendiebstähle werden für Unternehmen immer kostspieliger

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

[datensicherheit.de, 04.03.2014] Die Deutsche Forschungsgemeinschaft (DFG) hat über drei Millionen Euro für die Erneuerung des gesamten Datennetzes an der Universität Greifswald genehmigt. Der Antrag im Rahmen des Programms für Großgeräte der Länder wurde vom Universitätsrechenzentrum zusammen mit der Universitätsmedizin erarbeitet. Ziel ist, die teilweise mehr als acht Jahre alte Technik abzulösen und eine höhere Ausfall- und Datensicherheit zu gewährleisten.

Professor Dr. Ralf Schneider, Direktor des Universitätsrechenzentrums, bewertet das gemeinsam erarbeitete Konzept als zukunftsorientiert. „Damit wird das von Hochschule und Universitätsmedizin als zusammenhängendes Datennetz aufgebaute System auch in Zukunft gemeinsam weitergeführt und die erfolgreiche Partnerschaft zwischen Hochschule und Universitätsmedizin fortgesetzt und intensiviert.“
Das Universitätsrechenzentrum betreibt das Gesamtnetzwerk und erbringt Serviceleistungen für die Universitätsmedizin.

In den vergangenen Jahren sind die Anforderungen an das Datennetzwerk rasch gewachsen. Das erklärt der technische Leiter des Universitätsrechenzentrums, Dr. Gordon Grubert: „Der stetig wachsende Zugriff auf das Datennetz insbesondere durch Wireless LAN (WLAN) in praktisch allen Gebäuden der Hochschule und der zunehmende Bedarf nach wissenschaftlichem Arbeiten aus der Ferne via Virtual Private Networking (VPN) sind Ursachen für eine wesentlich verstärkte Netzbelastung, wodurch ein Netzwerkupdate notwendig wird.“

In der Universitätsmedizin ist nach dem Neubau und dem Umzug der Kliniken von verschiedenen Standorten in den zentralen Klinikkomplex am Berthold-Beitz-Platz und der zunehmenden Digitalisierung, beispielsweise in der Krankenversorgung, eine Netzwerkanpassung nötig. „Das Datenaufkommen ist massiv gewachsen. Beispiel für die zunehmende Digitalisierung sind digitale Krankenakten, der Ausbau der Telemedizin, eine engere Verzahnung von Versorgung, Forschung und Lehre sowie der zeitnahe Transfer gesicherter Erkenntnisse aus der Forschung, wie zum Beispiel aus der der individualisierten Medizin in die Routineversorgung“, so Dipl.-Ing. Andreas Gütersloh, der Leiter der Stabsstelle Klinische Informationstechnologien an der Universitätsmedizin. Um diesen steigenden Anforderungen gerecht zu werden, ist als Basis ein leistungsfähiges und sicheres Netzwerk unerlässlich.

Ein Ziel des neuen Netzkonzeptes ist ein unabhängiger Ausbau des Netzbereichs der Universitätsmedizin. Sowohl deren spezielle Ansprüche an Ausfall- und Datensicherheit auf hohem Niveau, insbesondere der Schutz personenbezogener Patientendaten, als auch die stetig gewachsenen Ansprüche an das Datennetz für Forschung und Lehre an der Universität werden damit erfüllt.

Weitere Informationen zum Thema:

Ernst-Moritz-Arndt-Universität Greifswald
Universitätsrechenzentrum