Zertifikate – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 14 May 2024 14:39:47 +0000 de hourly 1 E-Mail-Sicherheit: PSW GROUP rät, mit Zertifikaten die Kommunikation zu verschlüsseln https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung#respond Tue, 14 May 2024 14:39:47 +0000 https://www.datensicherheit.de/?p=44680 Die Verschlüsselung von E-Mails und ihren Anhängen als entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

psw-group-patrycja-schrenk

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

]]>
https://www.datensicherheit.de/e-mail-sicherheit-psw-group-rat-zertifikate-kommunikation-verschluesselung/feed 0
BSI: 12 IT-Sicherheits-Zertifikate auf der it-sa 2023 vergeben https://www.datensicherheit.de/bsi-12-it-sicherheits-zertifikate-it-sa-2023-vergabe https://www.datensicherheit.de/bsi-12-it-sicherheits-zertifikate-it-sa-2023-vergabe#respond Sun, 22 Oct 2023 20:53:28 +0000 https://www.datensicherheit.de/?p=43607 BSI-Zertifizierung soll Weg zur IT-Sicherheit erleichtern

[datensicherheit.de, 22.10.2023] Im Rahmen der IT-Sicherheits-Fachmesse „it-sa Expo&Congress 2023“ in Nürnberg hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben zwölf IT-Sicherheits-Zertifikate vergeben. Das BSI habe die Aufgabe, Zertifizierungen von IT-Produkten, -Komponenten und -Systemen durchzuführen. Die unabhängige Prüfung durch das BSI soll Vertraulichkeit, Authentizität und Verfügbarkeit transparent nachweisen.

bsi-claudia-plattner-stefan-hofschen-bundesdruckerei

Foto: BSI

v.l.n.r.: BSI-Präsidentin Claudia Plattner bei der Übergabe des Zertifikats an Dr. Stefan Hofschen (Vorsitzender der Geschäftsführung der Bundesdruckerei GmbH)

Zehn BSI-Zertifizierungen nach IT-Grundschutz

Mit dem IT-Grundschutz-Zertifikat des BSI könnten Unternehmen und Institutionen unter anderem belegen, „dass bei ihnen ein funktionierendes IT-Sicherheitsmanagement vorhanden ist und kontinuierlich weiterentwickelt wird“. Auf der „it-sa 2023“ habe das BSI mehrere IT-Grundschutz-Zertifikate vergeben:

So habe das Land Nordrhein-Westfalen für die zentrale Produktions- und Service-Stelle (ZPS) im Rechenzentrum der Finanzverwaltung ein IT-Grundschutz-Zertifikat des BSI erhalten. Diese Zertifizierung umfasse die IT-Infrastruktur mit den zentralen fachlichen Basisdiensten und -anwendungen der ZPS am Standort Düsseldorf.

Die „it-sa“-Gastgeberstadt Nürnberg habe das Zertifikat für die IT-Komponente „Netzübergang zum Verbindungsnetz des Bundes“ erhalten. Zu den Unternehmen, deren Produkte oder Dienstleistungen ebenfalls nach dem IT-Grundschutz des BSI zertifiziert wurden, zählten die sector27 GmbH, die noris network AG, die DATANET GmbH, die PwC Cyber Security Services GmbH, die Thüringer Netkom GmbH, die centron GmbH, die GEMINI DIRECT marketing solutions GmbH und die DB Schenker Deutschland AG.

Zwei BSI-Zertifizierungen nach Technischen Richtlinien

Neben der Zertifizierung im Hinblick auf IT-Sicherheitseigenschaften biete das BSI auch eine Zertifizierung nach Technischen Richtlinien (TR) an. Diese werde notwendig, „wenn über die Realisierung bestimmter Sicherheitseigenschaften hinaus die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder -Systems gefordert ist“. In besonderem Maße gelte dies für IT-Produkte und -Systeme, „die für den Einsatz in sicherheitskritischen Bereichen der Bundesrepublik Deutschland vorgesehen sind“. Anforderungen an die elektronische Fälschungssicherheit, Betriebszuverlässigkeit oder Interoperabilität stehen dabei laut BSI „im Vordergrund“.

In diesem Zusammenhang habe die Bundesdruckerei GmbH eine Zertifizierung nach der Technischen Richtlinie BSI-TR 03105 für die im Auftrag des BMI entwickelte Komponente „Smart-eID Applet“ erhalten. Diese TR formuliere die Anforderungen an die Interoperabilität des elektronischen Personalausweises. Mit der BSI-Zertifizierung werde die Speicherung von Identitätsdaten auf dem Smartphone möglich. Nach der einmaligen Ableitung der Identitätsdaten von einem Personalausweis, elektronischen Aufenthaltstitel oder der eID-Karte für Unionsbürger könnten digitale Bürgerdienste, wie etwa KFZ-Zulassungen oder BAFöG-Anträge, über den Online-Identitätsnachweis mit der Ausweis.App bald genutzt werden, „ohne dass – wie bisher – zunächst das physische Dokument ausgelesen werden muss“.

Neben der Bundesdruckerei GmbH habe auch die Rhenus Docs to Data GmbH ein BSI-Zertifikat nach einer Technischen Richtlinie erhalten: „Die BSI-TR 03138 definiert die technischen Voraussetzungen für das sogenannte ersetzende Scannen.“ Bei der digitalen Erfassung von Papierbelegen sei die Aufbewahrung der Originale mit großem Aufwand verbunden. Beim ersetzenden Scannen werde das elektronische Abbild des Belegs aufbewahrt, so dass die papiernen Originale vernichtet werden könnten. Die Produktentwicklung nach der Technischen Richtlinie des BSI ermögliche eine zuverlässige, rechts- und IT-sichere technische Realisierung des ersetzenden Scannens.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03105 Conformity Tests for Official Electronic ID Documents

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03138 Ersetzendes Scannen (RESISCAN)

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

]]>
https://www.datensicherheit.de/bsi-12-it-sicherheits-zertifikate-it-sa-2023-vergabe/feed 0
Ausfall von Kartenzahlungen: Problem mit Zertifikaten https://www.datensicherheit.de/ausfall-kartenzahlungen-problem-zertifikate https://www.datensicherheit.de/ausfall-kartenzahlungen-problem-zertifikate#respond Sat, 04 Jun 2022 12:40:40 +0000 https://www.datensicherheit.de/?p=41860 Wenn Zertifikate unerwartet ablaufen, versetzt dies Unternehmen stark in Bedrängnis

[datensicherheit.de, 04.06.2022] Der landesweite Ausfall von Verifone ist laut Kevin Bocek, „VP Security Strategy & Threat Intelligence“ bei Venafi, „eine weitere Warnung an Unternehmen, wie wichtig ein effektives Identitätsmanagement für Maschinen ist“ – und er warnt: „Diese Ausfälle können jeden treffen, und es gab in der Vergangenheit bekannte Beispiele wie ,LinkedIn‘ und O2, die genau das gleiche Problem mit Zertifikaten hatten.“

Kevin Bocek, Venafi

Foto: Venafi

Kevin Bocek rät zum effektiven Identitätsmanagement für Maschinen

Zertifikate erlauben sichere Kommunikation zwischen Maschinen

Im Wesentlichen erlaubten Zertifikate eine sichere Kommunikation zwischen Maschinen, sie würden jedoch oft schlecht verwaltet. „Wenn die Zertifikate unerwartet ablaufen, versetzt dies Unternehmen stark in Bedrängnis, da Anwendungen, Dienste oder Server offline genommen werden.“ Bei diesem speziellen Vorfall nun seien Menschen nicht in der Lage gewesen, Lebensmittel und Kraftstoff von großen Supermärkten und Tankstellen zu erhalten.

„Der Vorfall hatte jedoch nicht nur Auswirkungen auf die Verbraucher, sondern auch auf Verifone selbst und seine Kunden, denn diese Art von Vorfällen kann den Ruf eines Unternehmens ernsthaft schädigen, erläutert Bocek. Verbraucher erwarteten ein sehr hohes Service-Niveau und seien enttäuscht, „wenn die Dienstleistungen, die sie für ihr Leben brauchen, nicht verfügbar sind“.

Ablaufende Zertifikaten können Betriebsausfälle bewirken

Jüngste Daten zeigten, dass ein durchschnittliches Unternehmen bis 2024 mehr als eine halbe Million Maschinenidentitäten in seinem Netzwerk haben werde. Bocek betont: „Wie Ausfälle wie dieser zeigen, ist es unmöglich, diese Menge an Identitäten manuell zu verfolgen, daher müssen Unternehmen die Verwaltung automatisieren.“

So könnten Entwickler weiterhin mit Hochdruck arbeiten, ohne sich um die Verwaltung von Maschinenidentitäten kümmern zu müssen. „Sicherheits- und IT-Teams können dann nachts ruhig schlafen, da sie wissen, dass sie am nächsten Tag nicht mit ablaufenden Zertifikaten und Betriebsausfällen konfrontiert werden“, so Bocek abschließend.

]]>
https://www.datensicherheit.de/ausfall-kartenzahlungen-problem-zertifikate/feed 0
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie https://www.datensicherheit.de/iiot-security-digitale-identitaeten-praxisbericht https://www.datensicherheit.de/iiot-security-digitale-identitaeten-praxisbericht#respond Thu, 16 Jul 2020 13:58:34 +0000 https://www.datensicherheit.de/?p=37028 Wie sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren können

[datensicherheit.de, 16.07.2020] Konzepte zur Vernetzung von Maschinen und Transportsystemen in Produktionsumgebungen setzen voraus, dass sich diese Komponenten „kennen“ und einander vertrauen. Ein Automatisierungsspezialist setzt auf eine anwendungsbezogene Lösung, um Komponenten bereits bei der Produktion mit digitalen Identitäten auszustatten. Dieser Ansatz mit einer lokalen Registrierungsautorität überzeugte die Firma im Test und bringt die Welt der Informationstechnik (IT) und Betriebstechnik (OT) näher.

Clients brauchen vertrauenswürdie Identitäten

Funktionen für die Authentifizierung, Autorisierung sowie Zugriffskontrolle sichern Anwendungen und Netzwerke. Um sich zu authentifizieren, braucht ein Client seine vertrauenswürdige Identität. Dazu stellt in einer Public Key Infrastructure (PKI) die Certificate Authority (CA) ein digitales Zertifikat aus. Nachdem solche gesicherten Identitäten in die Produktionsnetze integriert wurde, ist es möglich, dass sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren. Über die Zertifikate sind ihre digitalen Identitäten jederzeit belegt. Das PKI-Konzept lässt sich noch präziser an die Sicherheitsanforderungen in Umgebungen für die Industrie 4.0 anpassen. Hier ist die Frage wie Produkte während der Herstellung ihre digitale Identität erhalten.

Für ein höchstmögliches Sicherheitsniveau können Sicherheitsexperten einen komplexen IT-Stack installieren und konfigurieren. Dabei passiert Folgendes: Die Registration Authority (RA) der PKI, die normalerweise Schlüssel per Zufallsgenerator erzeugt oder die öffentlichen Schlüssel der Geräte entgegennimmt, Geräteidentitäten validiert und dafür Zertifikate anfragt, rückt an die Fertigungslinie heran. Die RA wird zum lokalen Registrierungs-Punkt (lRP) in der vernetzten Produktion. Außer der Fachkraft, die das System konfiguriert hat, durchschaut allerdings kaum jemand, was genau abläuft. Auf Veränderungen in der Anlage oder Steuerung kann keiner der Produktionsverantwortlichen selbst reagieren und die Einstellungen ändern.

Andreas Philipp, Business Development Manager bei PrimeKey

Andreas Philipp, Business Development Manager, Bild: Primekey

Der pragmatische Sicherheitsansatz für den Praxistest und den Betrieb

Im Gegensatz dazu steht der Ansatz, für den sich ein Unternehmen der Automatisierungstechnik entschieden hat. Dieses wollte eine anwendungsbezogene, schnell anpassbare und leicht zu wartende Security Appliance, die den Part des lokalen Registrierungs-Punkts übernimmt und die vertrauenswürdige Verbindung zur zentralen PKI sicherstellt. Das Anforderungsprofil eines Sicherheitswerkzeugkastens für die Industrie erfüllt der Identity Authority Manager – Industrial (IdAM) von PrimeKey. Dieser basiert auf einer Industrie-PC-Plattform mit einem Intel XEON E3-Prozessor, 16 Gigabyte Arbeitsspeicher und einer SSD mit 256 GByte Speicherkapazität.

Der Automatisierungsanbieter entschloss sich, den Proof of Concept (PoC) direkt im Werk durchzuführen. Für diesen Praxistest wurde die Security-Appliance in jeder Fertigungslinie platziert, die speicherprogrammierbaren Steuerungen, Controller für Computerized-Numeric-Control-(CNC)-Maschinen oder IPC (Industrie-PC) produziert. Die Techniker des Herstellers richten die Verbindung zwischen den Fertigungssystemen und der Identity Authority Manager ein. Der PoC startet, bei dem die IdAM Appliances aktiv werden: Sie nehmen die Identitätsanfragen der Produkte entgegen, stellen deren Identität eindeutig fest, holen von der zentralen Produkt-PKI die Zertifikate und implementieren diese in die gerade gefertigten Komponenten.

Die Kommunikation zwischen der Fertigungslinie und dem IdAM wird im ersten Schritt anhand von definierten Sequenzdiagrammen abgeleitet. Die Zertifikatsanfrage der Produkte werden dann nach der Validierung mit Standardprotokollen zur Zertifikatsanfrage umgesetzt. Hierzu unterstützt der IdAM Standards, wie zum Beispiel CMP (Certificate Management Protocol) oder EST (Enrollment over Secure Transport). Physikalisch ist es ebenfalls möglich, über unterschiedlichen Schnittstellen (z. B. Ethernet, serielle Schnittstellen oder Feldbus-Systeme) mit dem IdAM zu kommunizieren. Die Integration der Abläufe zur Validierung der Identität und die Möglichkeit, weitere Datenquellen wie Datenbanken und Excelsheets zu berücksichtigen, punktet bei den Fachleuten, die für Test, Prüffeld und Qualitätssicherung zuständig sind, da er ihnen eine Integrationsumgebung bietet, um die Zertifikatserstellung gemäß den Produktionsabläufen zu erstellen und editieren.

Funktionsgetrieben schnell zum Ziel

Das Beispiel zeigt: Das pragmatische Umsetzen der Identitätsfeststellung für Komponenten, die gerade hergestellt werden, ist funktionsgetrieben und führt so schnell sowie direkt zum Ziel. Doch die Hauptaufgabe besteht darin, den Umgang mit Geräteidentitäten in Produktionsnetzen stringent zu handhaben. Bislang gibt es nur wenige Branchen, die eine vergleichbare Stringenz im Netzwerk Management erreichen. Zu diesen zählt beispielsweise die Telekommunikation mit den Kernnetzen.

Lerneffekt: Mehr Sicherheit

Generell bewegen sich Sicherheitskonzepte und angewandte Kryptographie sowohl in der OT und IT auf hohem Niveau. Experten, die in beiden Welten zu Hause sind, bringen alles mit, um Paradigmen oder Sicherheitsstandards von der IT in eine vernetzte Produktionsumgebung zu übertragen und anzupassen. Sie sind vor solchen Aussagen gefeit wie: „Ein IdAM ist überflüssig, solange eine Secure Elements (SE) in den Komponenten und Geräten implementiert wird und dann den Certificate Signing Request (CSR) erzeugt. Das ist sicher“. Eben nicht, da der Chip vor seiner Installation in die Komponente das initiale Schlüsselpaar erzeugt, ohne das zu schützende Bauteil zu kennen. Die manipulationssichere Variante setzt nur der IdAM um, der dem Produkt direkt am Fließband eine Identität gibt – mit den aktuellen, also tatsächlichen, Attributen. So lernen IT- und OT-Welt voneinander. Der gemeinsame Ansatz ist hierbei: Sicherheit für IoT und IIoT-(Industrial Internet of Things)-Umgebungen fängt bei der Planung von Produkten an – und muss in der Entwicklung das gleiche Gewicht wie die Funktionszuverlässigkeit erhalten. Unter der Voraussetzung sinkt das Risiko, dass es zu Sicherheitsvorfällen kommt.

Aufbau des Identity Authority Managers von Primekey

Aufbau des Identity Authority Managers von Primekey, © Primekey

Der schematische Aufbau des Identity Authority Managers von Primekey, der als local Registration Point in der Fertigungslinie Schlüssel erzeugt, Geräteidentitäten validiert und dafür Zertifikate anfragt. (Quelle: PrimeKey)

Weitere Informationen zum Thema:

PrimeKey
Unternehmenswebsite

datensicherheit.de, 29.06.2020
Digitale Identitäten in der Produktion

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

]]>
https://www.datensicherheit.de/iiot-security-digitale-identitaeten-praxisbericht/feed 0
PSD2 fordert Qualifizierte Website-Zertifikate https://www.datensicherheit.de/psd2-fordert-qualifizierte-website-zertifikate https://www.datensicherheit.de/psd2-fordert-qualifizierte-website-zertifikate#respond Fri, 27 Sep 2019 21:32:06 +0000 https://www.datensicherheit.de/?p=34779 Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

[datensicherheit.de, 27.09.2019] IT-Sicherheitsexperten der PSW GROUP machend darauf aufmerksam, dass seit dem 14. September 2019 die Zahlungsrichtlinie PSD2 verpflichtend ist. Diese zweite „Payment Service Directive“ geht demnach mit Veränderung für Banken, Zahlungsdienstleister und Kunden einher, beschere ihnen aber auch einen Vorteil: Die Richtlinie werde dem Online-Banking zu gesteigerter Sicherheit verhelfen.

Patrycja Tulinska

Patrycja Tulinska: „Richtlinie wird Online-Banking zu gesteigerter Sicherheit verhelfen“

Von der Europäischen Kommission im Zahlungsdiensterecht beschlossene EU-Richtlinie

Die neue Vorschrift PSD2 ist laut PSW GROUP eine EU-Richtlinie, welche von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde. Sie solle Zahlungsdiensten und Zahlungsdienstleistern in Europa zu einem gerechten Wettbewerb verhelfen. „Hierfür werden Banken verpflichtet, ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Weiterhin sei auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.

Erwerb einer BaFin-Lizenz an langwierigen Prüfprozess des Finanzdienstleisters gekoppelt

Die Umsetzung von PSD2 sei an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. Tulinska: „Für die Offenlegung von Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle verpflichtet. Abgesichert werden diese mit qualifizierten Website-Zertifikaten, kurz QWACs genannt. Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht oder einer anderen nationalen Aufsichtsbehörde.“ Diese Lizenz bestätige, „dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten“. Zudem lege sie den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten dürfe. Der Erwerb einer BaFin-Lizenz sei an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt und könne bis zu drei Monate dauern.

Qualifizierte Website-Zertifikate entsprechend dem eiDAS-Standard

Qualifizierte Website-Zertifikate entsprächen dem „eiDAS“-Standard und würden ausschließlich von qualifizierten „Trust Service“-Providern ausgegeben. Daher gälten sie besonders in der EU als angesehen und vertrauenserweckend: „QWACs belegen die Identität des Zahlungsdienstleisters und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über die Website“, ergänzt Tulinska. PDS2-konforme Zertifikate könnten auch über die PSW GROUP bezogen werden. „Da es sich um eine kompliziertere Beratung handelt, sind diese Zertifikate vorerst nur auf Anfrage erhältlich.“

Weitere Informationen zum Thema:

PSW GROUP, 13.09.2019
Verschlüsselung / PSD2 – Neue Richtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 20.07.2019
Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

]]>
https://www.datensicherheit.de/psd2-fordert-qualifizierte-website-zertifikate/feed 0
Zertifikate: Lebenszyklus soll erneut verkürzt werden https://www.datensicherheit.de/zertifikate-lebenszyklus-soll-erneut-verkuerzt-werden https://www.datensicherheit.de/zertifikate-lebenszyklus-soll-erneut-verkuerzt-werden#respond Fri, 16 Aug 2019 18:55:18 +0000 https://www.datensicherheit.de/?p=34235 Das „CA/Browser Forum“ schlägt vor, den Lebenszyklus von HTTPS-Zertifikaten auf 13 Monate zu reduzieren

[datensicherheit.de, 16.08.2019] Laut Venafi wurde der Lebenszyklus von Zertifikaten „bereits im März 2018 von 39 auf 27 Monate verkürzt“ – nun aber sehe der jüngste Vorschlag des „CA/Browser Forum“ vor, den Lebenszyklus von HTTPS-Zertifikaten ab März 2020 auf nur 13 Monate zu reduzieren, um die Sicherheit zu erhöhen.

Jens Sabitzer

Foto: Venafi

Jens Sabitzer empfiehlt automatisiertes Programm zum Schutz der Maschinenidentitäten

Lebenszyklus-Verkürzung soll es Kriminellen erschweren, gestohlene Zertifikate zu missbrauchen

Diese Verkürzung solle es Kriminellen schwieriger machen, gestohlene Zertifikate zu missbrauchen, „da die Zeitspanne, während der jene gültig sind, verkürzt wird“. Es könnte Unternehmen auch zwingen, die neuesten und sichersten der verfügbaren Verschlüsselungs-Algorithmen zu verwenden.
Obwohl der Vorschlag, die Lebenszeit von TLS/SSL-Zertifikaten zu verkürzen, möglicherweise die IT-Sicherheit bis zu einem gewissen Punkt verbessern werde, rieten einige Experten den Unternehmen eindringlich, zusätzliche Schutzmaßnahmen zu implementieren, um die Sicherheit innerhalb ihrer Netzwerke zu erhöhen.

Nur eine Möglichkeit, Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig zu halten

„Nachdem der Lebenszyklus von Zertifikaten im Jahr 2018 bereits auf 27 Monate reduziert wurde, würde der neue Vorschlag des ,CA/Browser Forum‘ diesen noch weiter auf nur 13 Monate verkürzen. Gleichzeitig sehen Unternehmen aber, wie die Nutzung von Zertifikaten dramatisch zunimmt. Die einzige Möglichkeit, wie Firmen mit diesen beiden Änderungen Schritt halten können, besteht darin, in ein automatisiertes Programm zum Schutz der Maschinenidentitäten zu investieren“, erläutert Jens Sabitzer, „Global Security Architect“ bei Venafi.
Er betont: „Wenn Sie davon ausgehen, dass der Druck auf die Lebensdauer von Zertifikaten anhält, während die Nutzung von Zertifikaten weiter zunehmen wird, ist diese Investition die einzige Möglichkeit, wie Unternehmen in Zeiten der Digitalisierung wettbewerbsfähig bleiben können.“

TLS-Zertifikate: Viele Faktoren beeinflussen Sicherheit öffentlich zugänglicher Websites

Ash Pala, Sicherheitsarchitekt bei Venafi ergänzt: „Viele Faktoren beeinflussen die Sicherheit der TLS-Zertifikate auf öffentlich zugänglichen Websites. Einerseits hat das ,CA/Browser Forum‘ einen guten Grund, den Lebenszyklus von Zertifikaten auf 13 Monate zu verkürzen, andererseits gibt es starke Argumente von Troy Hunt und anderen Sicherheitsforschern über den Wert von EV-Zertifikaten.“
Seiner Ansicht nach sei die Begrenzung der Lebensdauer von öffentlich zugänglichen Zertifikaten auf 13 Monate im Allgemeinen im Einklang mit den Richtlinien und Zielen von Unternehmen, „die den agilen oder DevOps-Ansatz für ihre interaktiven und transaktionalen Websites übernommen haben, wo das Volumen der kurzlebigen Zertifikate weiter steigt“. Das von DigiCert vorgetragene Gegenargument, dass die Nutzung von Zertifikaten auf gefälschten Websites zunehme und dass diese sehr kurzlebigen Domains speziell für böswillige Absichten entwickelt worden seien, sei „in vielerlei Hinsicht ein ganz anderes Problem, das den Lebenszyklus von Zertifikaten nicht beeinflusst.

Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken!

„Wir wissen bereits, was passiert, wenn Änderungen an der Lebensdauer von Zertifikaten auf den Markt gebracht werden. Große Unternehmen holen sich einfach eine Ausnahme, zahlen vielleicht ein wenig zusätzliches Geld und fahren dann mit dem Business-as-usual fort“, erläutert Mark Miller, „Director of Customer Support“ bei Venafi.
Er stimme DigiCert zu, dass die Kontrolle der Lebensdauer von Zertifikaten als Sicherheitsmaßnahme nur theoretisch sei. In der Praxis würden dagegen jene Unternehmen die Risiken für ihre IT-SIcherheit erheblich reduzieren, „die ihre Sicherheitskontrollen und -richtlinien tatsächlich durchsetzen und die Automatisierung nutzen, um kompromittierte Schlüssel schnell zu entdecken – und das ist überhaupt nicht theoretisch“.

Digitale Zertifikate dienen als Maschinenidentitäten

Die digitalen Zertifikate dienten als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. Wenn Unternehmen mangels Transparenz in der IT-Infrastruktur keinen Überblick hätten, wie viele Maschinenidentitäten verwendet werden, welche Geräte sie verwenden und wann sie ablaufen, sei „das offensichtlichste Ergebnis ein Ausfall, sobald diese Maschinenidentitäten tatsächlich ablaufen“.
Die Ergebnisse einer aktuellen Studie laut Venafi:

  • Fast zwei Drittel der Unternehmen, 60 Prozent, erlebten zertifizierungsbedingte Ausfälle, die sich im letzten Jahr auf kritische Geschäftsanwendungen oder -dienste ausgewirkt haben. 74 Prozent wurden in den letzten 24 Monaten mit ähnlichen Ereignissen konfrontiert.
  • Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit minimalen Wachstumsraten von mehr als 50 Prozent rechnet.
  • 85 Prozent der CIOs glauben, dass die zunehmende Komplexität und Interdependenz von IT-Systemen die Ausfälle in Zukunft noch schmerzhafter machen wird.
  • Während 50 Prozent der CIOs befürchten, dass sich zertifizierungsbedingte Ausfälle auf das Kundenerlebnis auswirken, sind 45 Prozent über den Zeit- und Ressourcenverbrauch besorgt.

Am Ende des Lebenszyklus der Zertifikate entstehen gefährliche Schwachstellen

Darüber hinaus entstünden mit dem Ablauf der Zertifikate gefährliche Schwachstellen, über die Kriminelle in das System gelangen könnten, um beispielweise TLS/SSL-Zertifikate zu stehlen, die später im „Darknet“ zu Preisen zwischen 260 und 1.600 US-Dollar verkauft würden.
Der Einsatz eines Programms zum Schutz von Maschinenidentitäten, das größere Transparenz, Intelligenz und Automatisierung in das Netzwerk einbringe und über den gesamten Lebenszyklus aller Zertifikate biete, sei „ein sicherer und praktischer Weg, um zertifikatsbezogene Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

infosecurity, Phil Muncaster, 13.08.2019
Certificate Giant Slams Plan to Shorten HTTPS Lifespans

VENAFI
White Paper / CIO Study: Certificate-Related Outages Continue to Plague Organizations

VENAFI
SSL/TLS Certificates and Their Prevalence on the Dark Web (First Report)

datensicherheit.de, 29.03.2019
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

]]>
https://www.datensicherheit.de/zertifikate-lebenszyklus-soll-erneut-verkuerzt-werden/feed 0
Studie: Trend zur Cloud – IT-Security spielt entscheidende Rolle https://www.datensicherheit.de/studie-trend-cloud-it-security-entscheidende-rolle https://www.datensicherheit.de/studie-trend-cloud-it-security-entscheidende-rolle#respond Mon, 29 Apr 2019 11:42:01 +0000 https://www.datensicherheit.de/?p=31930 Zertifikate gelten dabei als Vertrauensanker

[datensicherheit.de, 29.04.2019] Cloud oder keine Cloud – diese Frage stellt sich kaum noch ein Unternehmen: Laut der aktuellen Cloud Security Studie 2019 von IDG Research Services in Zusammenarbeit mit genua nutzen bereits 64,7 % der deutschen Unternehmen die Cloud, weitere 16,5 % planen dies. Durch die Cloud-Nutzung können Unternehmen Kosten senken, Abläufe effizient gestalten und attraktive Arbeitsbedingungen bieten. Um davon nachhaltig zu profitieren, müssen Firmen aber die Risiken in den Griff bekommen: 58 % der Unternehmen haben bereits Angriffe auf ihre Cloud Services festgestellt oder können diese nicht ausschließen. Folglich wird der Sicherheit beim Datenzugriff höchste Priorität eingeräumt, Zertifikate gelten dabei als Vertrauensanker. Das deutsche IT-Unternehmen genua GmbH und die Bundesdruckerei GmbH bieten Lösungen zur sicheren Cloud-Nutzung. Die Cloud Security Studie 2019 kann auf der Website von genua kostenfrei runtergeladen werden: www.genua.de/cloud-security

Zertifikate und Prüfsiegel als Vertrauensanker

Wie können Unternehmen das Sicherheitsniveau von Cloud-Diensten einschätzen? Über 90 % halten dabei laut der Studie Zertifizierungen und Prüfsiegel von unabhängigen Dritten für wichtig. Diesen Weg verfolgt auch der IT-Sicherheitshersteller genua: Wichtige Produkt-Releases werden regelmäßig dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgelegt und nach internationalen Standards zertifiziert. Vor Kurzem wurde genua vom BSI zudem als erstes Unternehmen zum „Qualifizierten Hersteller“ ernannt und kann jetzt Sicherheitslösungen für den anspruchsvollen Geheimschutzbereich schneller auf dem Markt bringen. Kunden von genua haben so die Gewähr, hochwertige IT-Sicherheitslösungen eines vertrauenswürdigen Herstellers einzusetzen. Für die Cloud Security bietet genua Gateways zur Kontrolle kritischer Schnittstellen und VPN-Systeme zur verschlüsselten Datenübertragung.

Cloud Security Gateway schützt die Schnittstelle Cloud-Internet

Das Cloud Security Gateway sorgt für Sicherheit an der Schnittstelle Cloud-Internet: Das Gateway prüft den Inhalt der empfangenen Daten, um unerwünschte Inhalte oder gefährliche Malware zu erkennen und abzublocken. Die umfassende Inhaltskontrolle unterscheidet das Cloud Security Gateway von anderen Sicherheitslösungen wie Paketfiltern und Next Generation Firewalls, die keine oder nur stichprobenartige Content-Analysen leisten. Technologisch basiert das Cloud Security Gateway auf der Firewall genugate, deren zuverlässige Sicherheitsleistung regelmäßige BSI-Zertifizierungen nach Common Criteria (CC) EAL 4+ belegen.

Cloud Edge Gateway GS.Gate für sichere Cloud-Anbindung von Maschinen

Das Cloud Edge Gateway GS.Gate lässt sich herstellerunabhängig an Maschinen in Produktionsbereichen anbinden, um Betriebsdaten zu erfassen, zu analysieren und über verschlüsselte Verbindungen an die Cloud weiterzuleiten. Das zentrale Merkmal des GS.Gate ist das Security by Design. Von einem Microkernel-Betriebssystem werden strikt getrennte Bereiche für Analyseanwendungen und Sicherheitssysteme erzeugt. Der Sicherheitsgewinn: Richtung Internet sind nur die gehärteten Sicherheitssysteme sichtbar, die durch Updates gegen aktuelle Bedrohungen gewappnet sind. Dahinter können die Analyseanwendungen ohne ständige Updates betrieben und somit Störungen vermieden werden. Das Security by Design hat genua für Lösungen entwickelt, die für den anspruchsvollen Geheimschutzbereich zugelassen sind.

Firewall & VPN-Appliance genuscreen für verschlüsselte Datentransfers

Die Firewall & VPN-Appliance genuscreen ermöglicht den verschlüsselten Datenaustausch zwischen Firmennetz- oder Behördennetz und der Cloud. Starke Verschlüsselungsverfahren, die auch mit größtem Aufwand nicht geknackt werden können, gewährleisten die Vertraulichkeit der übertragenen Daten. genuscreen ist vom BSI zertifiziert nach CC EAL 4+ sowie zugelassen für den Einsatz bis zum Geheimhaltungsgrad VS-NfD (Verschlusssache – Nur für den Dienstgebrauch). Somit können Behörden und Firmen mit Aufgaben im Geheimschutzbereich mit genuscreen eingestufte Daten austauschen.

Cloud-Lösung Bdrive erfüllt hohe Sicherheitsanforderungen

Die Cloud-Lösung Bdrive der Bundesdruckerei ermöglicht eine sichere Zusammenarbeit in Organisationen und über Organisationsgrenzen hinaus. Dabei schützt sie zuverlässig vor Datendiebstahl: Bdrive verschlüsselt und fragmentiert Daten bereits auf der Workstation des Anwenders. Anschließend werden die Daten redundant verteilt bei unabhängigen Cloud-Providern in Deutschland gespeichert. Eine Ende-zu-Ende-Verschlüsselung und Mehrfaktor-Authentifizierung gewährleisten, dass nur Befugte Zugriff auf die Daten haben. Nicht einmal die Bundesdruckerei als Anbieter von Bdrive kann auf die Daten der Anwender zugreifen oder sie einsehen. Das hohe Sicherheitsniveau der Cloud-Lösung wird mit einer Zertifizierung nach CC EAL 4+ belegt, das Verfahren läuft derzeit beim BSI.

Weitere Informationen zum Thema:

genua GmbH
Studie Cloud Security 2019

datensicherheit.de, 28.04.2019
Herausforderungen bei Cloud-First-Strategie meistern

datensicherheit.de, 21.04.2019
Studie: Zugriff auf Daten und Anwendungen in der Cloud mit Mobilgeräten

datensicherheit.de, 17.04.2019
Office 365: Zunehmendes Risiko von Cloud-Account-Attacken

datensicherheit.de, 07.03.2019
Multicloud-Umgebungen: Fünf Tipps für Datensicherheit

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 21.02.2019
Cyberkriminalität: Druck auf Cloud-Anbieter nimmt zu

]]>
https://www.datensicherheit.de/studie-trend-cloud-it-security-entscheidende-rolle/feed 0
Venafi-Studie: Fast zwei Drittel der Unternehmen erlebten im vergangenen Jahr zertifikatsbedingte Ausfälle https://www.datensicherheit.de/venafi-studie-zwei-drittel-unternehmen-vergangenes-jahr-zertifikatsbedingte-ausfaelle https://www.datensicherheit.de/venafi-studie-zwei-drittel-unternehmen-vergangenes-jahr-zertifikatsbedingte-ausfaelle#respond Fri, 29 Mar 2019 11:07:47 +0000 https://www.datensicherheit.de/?p=31090 CIOs geben weltweit zu, dass zertifizierungsbedingte Ausfälle routinemäßig kritische Geschäftsanwendungen und -dienste beeinträchtigen.

[datensicherheit.de, 29.03.2019] Venafi® gibt die Ergebnisse einer Studie über den Umfang und die Häufigkeit von zertifizierungsbedingten Ausfällen in kritischen Geschäftsinfrastrukturen bekannt. An der Studie nahmen über 550 Chief Information Officers (CIOs) aus den USA, Großbritannien, Frankreich, Deutschland und Australien teil.

Zertifikatsbedingte Ausfälle beeinträchtigen die Zuverlässigkeit und Verfügbarkeit wichtiger Netzwerksysteme und -dienste und sind gleichzeitig äußerst schwierig zu diagnostizieren und zu beheben. Leider leidet die überwiegende Mehrheit der Unternehmen routinemäßig unter diesen Ereignissen. Tatsächlich erlebten laut der Studie fast zwei Drittel der Unternehmen (60 Prozent) zertifizierungsbedingte Ausfälle, die sich im letzten Jahr auf kritische Geschäftsanwendungen oder -dienste ausgewirkt haben. Darüber hinaus sahen sich 74 Prozent innerhalb der letzten 24 Monate mit ähnlichen Ereignissen konfrontiert.

Kevin Bocek, Venafi

Foto: Venafi

Kevin Bocek, VP Security Strategy and Threat Intelligence, Venafi

Zertifizierungsbedingte Ausfälle werden in Zukunft wahrscheinlich komplizierter, häufiger und kostspieliger werden. Die Studie ergab auch, dass:

  • 85 Prozent glauben, dass die zunehmende Komplexität und Interdependenz der IT-Systeme Ausfälle in Zukunft noch schmerzhafter machen wird.
  • Fast 80 Prozent schätzen, dass der Einsatz von Zertifikaten in ihren Unternehmen in den nächsten fünf Jahren um 25 Prozent oder mehr wachsen wird, wobei mehr als die Hälfte mit minimalen Wachstumsraten von mehr als 50 Prozent rechnet.
  • Während 50 Prozent der CIOs befürchten, dass sich Zertifikatsausfälle auf das Kundenerlebnis auswirken, sind 45 Prozent mehr über den Zeit- und Ressourcenverbrauch besorgt.

„Vor kurzem betraf ein maschinenidentitätsbedingter Ausfall 32 Millionen Mobilfunkkunden in Großbritannien, und Schätzungen zufolge hätte dies das Unternehmen über 100 Millionen US-Dollar kosten können“, sagt Kevin Bocek, Vice President, Security Strategy and Threat Intelligence bei Venafi. „Letztendlich müssen Unternehmen die Kontrolle über alle ihre Zertifikate erlangen; andernfalls ist es einfach eine Frage der Zeit, bis man abläuft und einen lähmenden Ausfall verursacht. CIOs benötigen dazu mehr Transparenz, Intelligenz und Automatisierung des gesamten Lebenszyklus aller Zertifikate.“

Maschinen verwenden digitale Zertifikate als Maschinenidentitäten

Während sich Menschen mit Benutzernamen und Passwörtern identifizieren und autorisierten Zugriff auf Anwendungen und Dienste erhalten, verwenden Maschinen digitale Zertifikate als Maschinenidentitäten, um sicher mit anderen Maschinen zu kommunizieren und autorisierten Zugriff auf Anwendungen und Dienste zu erhalten. In diesem Jahr werden Unternehmen über 10 Milliarden US-Dollar für den Schutz und die Verwaltung von Passwörtern ausgeben, aber sie werden fast nichts für den Schutz und die Verwaltung von Maschinenidentitäten ausgeben. Die meisten Unternehmen haben kein klares Verständnis dafür, wie viele Maschinenidentitäten verwendet werden, welche Geräte sie verwenden und wann sie ablaufen. Dieser Mangel an umfassender Transparenz und Intelligenz führt zu Ausfällen.

Bocek fügte hinzu: „Da Zertifikate die Authentifizierung und Kommunikation zwischen Maschinen steuern, ist es wichtig, dass sie nicht unerwartet ablaufen. Und da die Symptome eines maschinenidentitätsbedingten Ausfalls viele andere Hard- und Softwarefehler nachahmen, ist die Diagnose bekanntlich zeitaufwändig und schwierig.“

Weitere Informationen zum Thema:

Venafi
White Paper: CIO Study: Certificate-Related Outages Continue to Plague Organizations

Venafi
Blog: Majority of Businesses Still Experience Outages: Are You Protecting Your Certificates?

datensicherheit.de, 08.11.2018
Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet

datensicherheit.de, 19.09.2018
Heartbleed: OpenSSL-Schwachstelle wird immer noch ausgenutzt

datensicherheit.de, 09.08.2018
WhatsApp-Sicherheitsvorfall untergräbt das Vertrauen im Internet

]]>
https://www.datensicherheit.de/venafi-studie-zwei-drittel-unternehmen-vergangenes-jahr-zertifikatsbedingte-ausfaelle/feed 0
Stark wachsende SSL/TLS-Zertifikats-Schwarzmärkte im Darknet https://www.datensicherheit.de/wachstum-ssl-tls-zertifikate-schwarzmaerkte-darknet https://www.datensicherheit.de/wachstum-ssl-tls-zertifikate-schwarzmaerkte-darknet#respond Fri, 08 Mar 2019 16:40:08 +0000 https://www.datensicherheit.de/?p=30387 Marktplätze für einzelne Zertifikate und eine breite Palette an cyberkriminellen Services

[datensicherheit.de, 09.03.2019] Die von Venafi geförderte Studie, wurde von Forschern der Evidence-based Cybersecurity Research Group an der Andrew Young School of Policy Studies an der Georgia State University und der University of Surrey durchgeführt. Aufgedeckt wurden blühende Marktplätze für TLS-Zertifikate, auf denen einzelne Zertifikate verkauft und mit einer breiten Palette von cyberkriminellen Services angeboten wurden. Zusammen bieten diese Dienste Maschinenidentitäten als Service für Cyberkriminelle, beispielsweise um Websites zu fälschen, in verschlüsselten Datenverkehr zu lauschen, Man-in-the-Middle-Angriffe durchführen und sensible Daten zu stehlen.

Zu den wichtigsten Ergebnissen der Studie gehören:

  • Fünf der beobachteten Tor-Netzwerke bieten eine kontinuierliche Versorgung mit SSL/TLS-Zertifikaten sowie eine Reihe damit zusammenhängender Dienstleistungen und Produkte.
  • Die Preise für Zertifikate variieren zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und dem Umfang der zusätzlichen Dienstleistungen.
  • Forscher haben erweiterte Validierungszertifikate gefunden, die mit Diensten zur Unterstützung bösartiger Websites wie Google-indexierte „alte“ Domains, After-Sale-Support, Webdesign-Services und die Integration mit einer Reihe von Zahlungsabwicklern – einschließlich Stripe, PayPal und Square – ausgestattet sind.
  • Mindestens ein Anbieter auf BlockBooth verspricht, Zertifikate von renommierten Zertifizierungsstellen zusammen mit gefälschten Firmenunterlagen – einschließlich DUNS-Nummern – auszustellen. Dieses Paket von Produkten und Dienstleistungen ermöglicht es Angreifern, sich für weniger als 2.000 US-Dollar glaubwürdig als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Eine repräsentative Recherche über diese fünf Marktplätze ergab 2.943 Erwähnungen für „SSL“ und 75 für „TLS“. Im Vergleich dazu gab es nur 531 Erwähnungen für „Ransomware“ und 161 für „Zero Day“. Es zeigte sich auch, dass sich einige Marktplätze – wie Dream Market – auf den Verkauf von TLS-Zertifikaten zu spezialisieren scheinen und Maschinenidentität-as-a-Service-Produkte anbieten. Darüber hinaus fanden Forscher heraus, dass Zertifikate oft mit anderen Services von Cyberkriminellen, einschließlich Ransomware, kombiniert und angeboten werden.

Kevin Bocek, Venafi

Foto: Venafi

Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi

In einem Interview mit datensicherheit.de (ds) nimmt Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi, Stellung zu den Ergebnissen.

ds: Haben die Wissenschaftler neben TLS oder SSL auf den untersuchten Märkten auch andere Zertifikate gefunden, z.B. SHA-1 oder SHA-2?

Bocek: Ja, alle beworbenen Maschinenidentitäten waren für die neuesten digitalen SHA-2-Zertifikatsvarianten, denen Browser weltweit vertrauen. Dies ist wichtig, weil Cyberkriminelle vertrauenswürdig erscheinen und keine Warnungen auslösen wollen.

Verkäufer im Darkweb verwenden SSL in der Werbung, weil Hacker ebenso wie Sicherheitsexperten TLS immer noch nicht allgemein als den aktuellen Standard für sichere und vertrauenswürdige Kommunikation anerkennen.

ds: Warum gab es Ihrer Meinung nach nur sehr wenige Hinweise auf Ransomware oder Zero Day-Sicherheitslücken, aber so viele Hinweise auf SSL und TLS?

Bocek: Die überraschende Dominanz der TLS-Maschinenidentitäten ist darauf zurückzuführen, dass Hacker im Internet vertrauenswürdig erscheinen müssen. Alle führenden Browser listen Websites ohne digitale TLS-Zertifikate nun als unsicher oder unzuverlässig auf. Dies ruiniert die Pläne von Cyberkriminellen, die jeden Angriff auf ein vertrauenswürdiges digitales TLS-Zertifikat beschränken. Dies erklärt, warum die Maschinenidentität so wichtig ist und im Vergleich zu Ransomware und Zero-Day-Sicherheitslücken dominiert.

ds: Können Sie typische Dienstleistungen rund um TLS und SSL auf diesen Marktplätzen beschreiben?

Bocek: Um Angriffe – wie Phishing-Attacken – so zuverlässig wie möglich zu gestalten, bieten Cyberkriminelle die vertrauenswürdigsten digitalen TLS-Zertifikate, Extended Validation (EV), an, damit die Browserleiste grün leuchtet (das grüne Schloss auch Padlock genannt). Zu diesem Zweck bieten die Verkäufer falsche Unternehmensnamen und die notwendigen Unterlagen an, die für die Qualifizierung für Extended Validation-Maschinenidentitäten erforderlich sind. Verkäufer können Hackern sogar noch weiterhelfen, indem sie die für die Nutzung digitaler TLS-Zertifikate erforderlichen Geräte einrichten, einschließlich solcher, die für Phishing mit gefälschten Waren- und Dienstleistungen, Glücksspielen oder illegalen Drogenhandel verwendet werden.

ds: Haben Sie auch Dienstleistungen für ein vertrauenswürdiges „deutsches“ Unternehmen gefunden?

Bocek: Für diese Forschung konzentrierten sich die Ermittler auf Tor Darknet-Marktplätze, die sich an englischsprachige Verbraucher (USA, Großbritannien, Australien, etc.) richten. Die Darknet-Verkäufer dort arbeiten in englischer, russischer und chinesischer Sprache.

ds: Was sind denn die nächsten Schritte in der wissenschaftlichen Untersuchung?

Bocek: Die Ermittler planen, die angebotenen Zertifikate weiter zu prüfen und wie diese je nach Verkäufer variieren. Die Forscher hoffen, Wirtschaft und Regierung besser darauf vorzubereiten, gültige Maschinenidentitäten wie digitale TLS-Zertifikate zu identifizieren, die von Hackern für Cyberkriminalität und Cyberangriffe verwendet werden sollen.

Forschungsdesign und Methodik

Um die Forschungsziele zu erreichen, tauchten die Forscher in Online-Märkte und Hackerforen ein, die von Oktober 2018 bis Januar 2019 im Tor-Netzwerk, I2P und Freenet aktiv waren, und suchten nach „zum Verkauf stehenden“ Anzeigen von kompromittierten und gefälschten TLS-Zertifikaten. Während dieser Zeit führte das Forschungsteam 16 wöchentliche Recherchen durch und entdeckte fast 60 relevante Online-Markt-Webseiten auf Tor und 17 Webseiten auf I2P. Die Forscher überprüften die Angebote im Detail und führten in einigen Fällen Gespräche mit den Verkäufern, um ein besseres Verständnis der zu verkaufenden Waren und Dienstleistungen zu erlangen.

Weitere Informationen zum Thema:

Venafi
TLS Certificates and Their Prevalence on the Darknet

datensicherheit.de, 24.01.2019
Zertifikatsmanagement muss automatisiert und skalierbar sein

datensicherheit.de, 08.11.2018
Venafi-Studie: 86 Prozent der deutschen Sicherheitsexperten halten Wahldaten für gefährdet

datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten

]]>
https://www.datensicherheit.de/wachstum-ssl-tls-zertifikate-schwarzmaerkte-darknet/feed 0
Fraunhofer SIT zur Fälschung von Webzertifikaten https://www.datensicherheit.de/fraunhofer-sit-faelschung-webzertifikate https://www.datensicherheit.de/fraunhofer-sit-faelschung-webzertifikate#respond Tue, 11 Sep 2018 19:02:58 +0000 https://www.datensicherheit.de/?p=28729 Forscherteam zeigt wie eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann

[datensicherheit.de, 11.09.2018] Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Domain Validation zur Verifitkation der Identität einer Website

Zertifikate werden von sogenannten Web-CAs ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Weitere Informationen zum Thema:

Fraunhofer SIT
Domain Validation ++ / Die sichere Version von Domain Validation

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS

datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge

datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke

datensicherheit.de, 21.03.2017
Fraunhofer SIT bietet Volksverschlüsselung für kleine und mittlere Unternehmen

]]>
https://www.datensicherheit.de/fraunhofer-sit-faelschung-webzertifikate/feed 0