Die größten Zertifikatsausfälle des Jahres 2023 und was wir daraus lernen können

Unternehmen verlassen sich auf PKI, kryptografische Schlüssel und digitale Zertifikate, um mehr Benutzer, Rechner und Anwendungen als je zuvor sicher mit ihrer IT-Umgebung zu verbinden. Unternehmen haben jedoch zunehmend Schwierigkeiten, ihre wachsende PKI- und Rechneridentitätslandschaft zu verwalten. 

Das Bewusstsein für zertifikatsbezogene Herausforderungen führt nicht immer zu deren Lösung, wie KeyfactorDer Bericht "2023 State of Machine Identity Management offenbart:

• Die Unterstützung auf Führungsebene für das maschinelle Identitätsmanagement nimmt zu... doch immer mehr Unternehmen geben an, dass die Verwaltung von Schlüsseln und Zertifikaten die operative Belastung für ihre Teams erhöht hat. 
• Immer mehr Unternehmen geben an, dass sie über eine ausgereifte, unternehmensweite Identitätsmanagement-Strategie verfügen... doch immer mehr Unternehmen geben auch an, dass sie nicht genau wissen, wie viele Schlüssel und Zertifikate sie besitzen.
• Die Reduzierung der PKI-Komplexität und die Verhinderung von zertifikatsbezogenen Ausfällen sind die obersten Prioritäten für das Identitätsmanagement von Maschinen... dennoch verwendet das durchschnittliche Unternehmen neun verschiedene PKI- und Zertifizierungsstellenlösungen.

Diese Komplikationen erhöhen die Wahrscheinlichkeit von zertifikatsbezogenen Ausfällen und Ausfallzeiten. Solche Unterbrechungen beeinträchtigen die Marke in der Wahrnehmung der Kunden und führen zu erheblichen Kosten für die Behebung.

Angesichts der explosionsartigen Zunahme von digitalen Identitäten und Zertifikaten in einem durchschnittlichen Unternehmen ist die Verwaltung von Hunderttausenden von Zertifikaten keine leichte Aufgabe. 

Im Jahr 2023 haben wir gesehen, dass die Verwaltung von Zertifikaten selbst für die anspruchsvollsten Unternehmen eine Herausforderung darstellt. Aus diesen Fehlern können Unternehmen lernen, wie sie zertifikatsbezogene Ausfälle verstehen und verhindern und ihre PKI besser verwalten können.

Im Juli, deaktivierte ein Zertifikatsausfall Microsoft Teams, Outlook und andere Dienste. Obwohl Microsoft das Problem innerhalb weniger Minuten gefunden und behoben hatte, kam es für einige Stunden zu Unterbrechungen.

Bei weiteren Untersuchungen wurde festgestellt, dass das deutsche Zertifikat sharepoint.de TLS fälschlicherweise der primären Domäne sharepoint.com hinzugefügt worden war. 

Obwohl dieser Vorfall keineswegs eine Katastrophe ist, zeigt er doch, wie leicht man einen Fehler bei den Zertifikaten machen kann. Wenn die Verwaltung von Zertifikaten so weit wie möglich aus den Händen von Menschen genommen wird, verringert sich die Gefahr menschlicher Fehler. Wenn Unternehmen versuchen, die Zertifikatsverwaltung zu rationalisieren, sollten sie Folgendes anstreben so viel wie möglich zu automatisieren.

Im April, fielen die Starlink-Satelliten von SpaceX für mehrere Stunden aus und beeinträchtigten die Nutzer auf der ganzen Welt. Der CEO von SpaceX, Elon Musk, nannte auf Twitter/X ein "abgelaufenes Zertifikat der Bodenstation" als Ursache.

Experten vermuten, dass es sich bei dem abgelaufenen Zertifikat um ein TLS -Zertifikat handelte, das dazu geführt hätte, dass eine Website oder webbasierte Anwendung offline gegangen wäre. Musk beklagte weiter, dass diese "einzelne Sicherheitslücke" "unentschuldbar" sei.

Er hat Recht. Zum einen, unterhält eine durchschnittliche Organisation über eine Viertelmillion Zertifikate zu einem beliebigen Zeitpunkt. Es braucht nur ein einziges nicht verfolgtes Zertifikat, das abläuft, um den Betrieb zum Stillstand zu bringen.

Zum anderen positionieren sich die Unternehmen von Musk alle als Disruptoren. Starlink wird 2022 eine Million Nutzer haben. Im Kampf um das Vertrauen der Menschen in eine neue Art, Dinge zu tun, können Unterbrechungen wie diese die Akzeptanz verlangsamen, der Marke schaden und in der Zwischenzeit erhebliche Störungen verursachen. 

Im Jahr 2021 überarbeitete Microsoft seine Uhr-App für Windows 11 und fügte eine Spotify-Integration hinzu, die Songs abspielt, die sich perfekt für konzentriertes Arbeiten eignen. Spotify hat sogar einige auf Produktivität ausgerichtete Wiedergabelisten zusammengestellt, um die Integration zu bereichern.

Aber im Februar 2023, wurde das Feature abgeschaltet und blieb Monate lang. Die Nutzer konnten ihre Spotify-Konten nicht mehr mit der Uhr-App verknüpfen. Nachdem sich Nutzer sowohl in Spotify- als auch in Microsoft-Supportforen beschwert hatten, identifizierte Spotify ein Problem.

Aufgrund eines abgelaufenen Zertifikats war der oATH-Header, der an die API von Spotify gesendet wurde, nicht mehr gültig. Mit anderen Worten: Der Fehler lag auf der Seite von Microsoft.

Dies hätte schnell behoben werden sollen, und die Benutzer waren frustriert, weil das Problem so lange anhielt.

Dieser Vorfall zeigt, wie ein Ausfall eines Zertifikats den Erfolg einer neuen Funktion oder Integration gefährden kann.

In unserer Welt der digitalen Dienste vergisst man leicht, dass die Entwicklung eines neuen Dienstes mit einem gewissen Maß an Wartung verbunden ist - in diesem Fall mit Zertifikaten. Bei der Freigabe neuer Angebote müssen Unternehmen über die Markteinführung hinaus denken und die erforderlichen Ressourcen bereitstellen, damit die Funktionen langfristig funktionieren.

Danach ist es an der Zeit, sich mit der eigentlichen Sicherheitseinrichtung zu befassen. Dazu müssen Sie Folgendes tun:

Im Januar 2023, verschafften sich Eindringlinge unbefugten Zugang zu einigen der Code-Repositories von GitHub und stahlen Code Signing-Zertifikate für die Desktop- und Atom-Anwendungen von GitHub. Wurden die gestohlenen Zertifikate entschlüsselt, konnten die Angreifer böswillig veränderte Versionen der Anwendung erstellen und sie als offizielle Updates von GitHub ausgeben.

Glücklicherweise waren die Code Signing-Zertifikate von GitHub passwortgeschützt, so dass kein Schaden entstand. GitHub widerrief einfach die gestohlenen Zertifikate und veröffentlichte neue Versionen der Anwendungen mit neuen Zertifikaten. 

Nvidia wurde im Jahr 2022 Opfer eines ähnlichen Angriffs.bei dem die Hackergruppe Lapsus$ die Code-Signatur-Zertifikate von Nvidia durchsickern ließ, damit andere böswillige Akteure sie zum Signieren von Malware verwenden konnten.

GitHubs Krypto-Flexibilität erwies sich als ausschlaggebend für die Vermeidung einer solchen Katastrophe. Heutzutage sind Cyberangriffe keine Frage des "ob", sondern des "wann". Unternehmen müssen Pläne erstellen, um Bedrohungen einzudämmen und sie zu verhindern, damit sie im Falle eines Angriffs das Problem erkennen und beheben können, ohne dass die Benutzer beeinträchtigt werden.

Im Mai, Zertifikate auf Ciscos Viptela und Meraki SD-WAN hardware abgelaufen.ab, wovon über 20.000 Kunden betroffen waren. Die abgelaufenen Zertifikate unterbrachen Cloud, Datenspeicherung, E-Commerce-Tools und andere Dienste.

Die Zertifikate und hardware wurden von Cisco geerbt, als das Unternehmen 2017 Viptela kaufte. Die Zertifikate hatten eine Lebensdauer von 10 Jahren, aber es scheint, dass Cisco ihr Auslaufen nicht vorhergesehen hat. 

Es scheint, dass Cisco das Problem nur langsam behoben hat, was ein Redditor als "das größte Cisco-Ding aller Zeiten" bezeichnete.

Selbst im Jahr 2024 gibt es keine Möglichkeit, ein System nach einer Fusion nahtlos mit einem übernommenen System zu integrieren. Es gibt so viele Variablen, Konfigurationen und Berechtigungen, die berücksichtigt werden müssen - der Status der Zertifikatslebenszyklen ist eine davon.

Es ist schon schwer genug, in der eigenen Umgebung ein nicht erfasstes Zertifikat zu finden. Es in einer fremden, übernommenen Umgebung zu finden, ist noch schwieriger. Dieser Vorfall zeigt die Risiken von Fusionen und Übernahmen, aber auch die Vorteile einer automatisierten, zentralisierten Zertifikatsverwaltungslösung.

Vielleicht ist es sowohl ein Trost als auch eine Warnung, dass Ausfälle von Zertifikaten einige der innovativsten Unternehmen der Welt treffen. Mit ziemlicher Sicherheit können wir im Jahr 2024 mit weiteren Ausfällen rechnen.

Zertifikatsbedingte Ausfälle sind ein Nebenprodukt mangelnder Transparenz und Kontrolle über die Zertifikatslandschaft eines Unternehmens. Wenn Unternehmen die Erkennung von Zertifikaten automatisieren und sie über einen einheitlichen Hub verfolgen, stellen Zertifikatsausfälle keine Bedrohung mehr dar. 

Möchten Sie erfahren, wie Ihr Unternehmen in diesem Jahr störende Ausfälle vermeiden kann? Nehmen Sie Kontakt mit uns auf - unser Team ist bereit, Ihnen zu helfen.