Der Countdown für die Keyfactor Tech Days läuft - sichern Sie sich noch heute Ihren Platz!

DigiNotar - Was ist schief gelaufen?

Warum PKI-Verfahren für Ihr Unternehmen so wichtig sind

Die meisten Menschen, die mit Public Key Infrastructure vertraut sind, haben von den unglücklichen Ereignissen bei der niederländischen öffentlichen Zertifizierungsstelle DigiNotar gehört. Als gebürtiger Niederländer und PKI-Spezialist hatte ich ein besonderes Interesse an diesem Ereignis. Zum Zeitpunkt des Vorfalls im September 2011 war ich zufällig in den Niederlanden und hatte das Glück, die Dinge aus erster Hand zu sehen und zu lesen.

DigiNotar war die erste öffentliche Zertifizierungsstelle, die in Konkurs ging, weil sie gehackt wurde. Dies ist für die PKI-Welt von großer Bedeutung, da es zeigt, wie wichtig die PKI-Sicherheit und die Einhaltung von Verfahren sind, um ein Unternehmen im Geschäft zu halten. Darüber hinaus hätte der Konkurs von DigiNotar möglicherweise verhindert werden können, wenn das Unternehmen einfach das getan hätte, was ich für einen der wichtigsten Aspekte der IT-Sicherheit halte: Die perfekte Befolgung der Verfahren, jedes Mal und zu jeder Zeit.

Hier ist eine kurze Zeitleiste der Ereignisse, die im Zwischenbericht ("Operation Black Tulip") von Fox-IT veröffentlicht wurden:

  • 06-Jun-2011
Möglicherweise erste Erkundung durch den/die Angreifer
  • 17-Jun-2011
Server in der DMZ unter der Kontrolle des/der Angreifer(s)
  • 19-Jun-2011
Von DigiNotar im Rahmen des täglichen Audit-Verfahrens aufgedeckter Vorfall
  • 02-Jul-2011
Erster Versuch, ein gefälschtes Zertifikat zu erstellen
  • 10-Jul-2011
Das erste erfolgreiche gefälschte Zertifikat (*.Google.com)
  • 20-Jul-2011
Letztes bekanntes erfolgreiches betrügerisches Zertifikat wurde erstellt
  • 22-Jul-2011
Letzter ausgehender Verkehr zur IP des/der Angreifer(s) (nicht bestätigt)
  • 22-Jul-2011
Beginn der Untersuchung durch eine IT-Sicherheitsfirma (nicht bestätigt)
  • 27-Jul-2011
Übergabe des Sicherheitsberichts der IT-Sicherheitsfirma
  • 27-Jul-2011
Erste bösartige *.google.com OCSP-Anfrage
  • 28-Jul-2011
Erstmals gesehen, dass gefälschte Zertifikate aus dem Iran verifiziert wurden
  • 04-Aug-2011
Massive Aktivität von *.google.com auf OCSP-Responder starten
  • 27-Aug-2011
Erste Erwähnung des *.google.com-Zertifikats in einem Blog
  • 29-Aug-2011
GOVCERT.NL wird von CERT-BUND (Deutschland) gemeldet
  • 29-Aug-2011
Das *.google.com-Zertifikat wird widerrufen
  • 30-Aug-2011
Beginn der Untersuchung durch Fox-IT
  • 30-Aug-2011
Sensor zur Reaktion auf Vorfälle aktiv
  • 01-Sep-2011
  • 20-Sep-2011

 

OCSP basiert auf einer weißen Liste. DigiNotar meldet Konkurs an

Vergangenheit und Gegenwart von öffentlichen CA-Operationen.

Als die öffentlichen Zertifizierungsstellen eingeführt wurden, war ihre tägliche Arbeit noch ganz anders als heute. Beispielsweise dauerte es früher mehrere Tage, um ein SSL Zertifikat zu erhalten, während es heute nur noch wenige Minuten dauert. Die Anforderungen der modernen Gesellschaft an Geschwindigkeit und Effizienz haben die IT-Unternehmen gezwungen, schnellere und bessere Wege zu finden, um die Bedürfnisse ihrer Kunden zu erfüllen. Während Wachstum für jeden Geschäftsinhaber aufregend sein kann, verleitet das Bedürfnis nach Geschwindigkeit manchmal dazu, Warnungen und Verfahren zu ignorieren, um eine Aufgabe schneller zu erledigen. Je mehr der Ruf des Unternehmens wächst und je härter die Konkurrenz wird, desto schwieriger wird es auch, ein gutes Erscheinungsbild nach außen zu wahren, da Unzulänglichkeiten dem Unternehmen potenziell Geschäftseinbußen und finanzielle Verluste bescheren können. Daher geraten, wie im Fall von DigiNotar, viele Geschäftsinhaber in Panik, wenn ihr Unternehmen von einem Hackerangriff betroffen ist. Die Versuchung, an allen Ecken und Enden zu sparen, ist groß, vor allem, wenn es um die Einhaltung von Verfahren geht. Das Eingeständnis eines Problems, wie z. B. eines Hackerangriffs, könnte zum Verlust eines geschätzten Kunden und einer Menge Geld führen, und das ist ein Risiko, das viele Unternehmer nicht eingehen wollen. Aber in der Welt der Sicherheit ist Risiko selten gleichbedeutend mit Belohnung, und die Befolgung ordnungsgemäßer Verfahren, wie mühsam sie auch sein mögen, kann den Unterschied ausmachen, ob Ihr Unternehmen langfristig im Geschäft bleibt oder ob es gezwungen ist, Konkurs anzumelden.

Prozeduren, Prozeduren, Prozeduren.

Wenn ich mit Kunden über PKI spreche, verbringe ich die meiste Zeit damit, die richtigen Verfahren zu besprechen, anstatt mich auf die technischen Aspekte zu konzentrieren. Oftmals sind sie davon überrascht und reagieren vielleicht sogar abweisend. Auch wenn der Kunde vielleicht nur die PKI-Sicherheit in Bezug auf seine Netze besprechen möchte, ermutige ich ihn, sich auch die Zeit zu nehmen, um die physische Seite der IT-Sicherheit zu betrachten, die ebenfalls sehr wichtig ist. Dazu gehört auch der Aspekt der Öffentlichkeitsarbeit, z. B. wie man mit unglücklichen Ereignissen wie einer Netzwerkabschaltung oder einem Sicherheitsverstoß umgeht und sie ankündigt.

Zu den von mir behandelten Themen gehören:

  • Zugang zum PKI-Raum
  • Erstellung einer Zertifizierungsrichtlinie (CP) und einer Erklärung zur Zertifizierungspraxis (CPS), (Rechtsfragen)
  • Validierungsprozess für den Endbenutzer (Person, Gerät)
  • Aufbau Ihres PKI-Teams (PKI-Rollen)
  • Was ist zu tun, wenn Sie angegriffen oder gehackt werden (Öffentlichkeitsarbeit)

Diese Verfahren gelten nicht nur für interne private CAs, sondern auch für öffentliche CAs.

Wir alle haben schon einmal von "Murphys Gesetz" gehört, das besagt, dass alles, was schief gehen kann, auch schief gehen wird. Dies ist eine ausgezeichnete Erinnerung für jeden, der PKI einsetzt, da man immer vom schlimmsten Fall ausgehen sollte, wenn man versucht ist, Verfahren zu übersehen oder zu verbiegen, wie lächerlich sie auch erscheinen mögen. Wenn Sie einmal auf die Toilette gehen und beschließen, die Tür zum PKI-Raum aufzustemmen, anstatt sie zu verschließen, kann es passieren, dass jemand in den Raum läuft und sich in Ihr System hackt.

Wir sind gehackt worden. Was sollen wir jetzt tun?

Die Antwort lautet: Verfahren einhalten! Unternehmen wie VeriSign, Entrust, Comodo oder CyberTrust, um nur einige zu nennen, haben Verfahren zum Schutz ihrer PKI eingeführt. Comodo wurde von denselben Hackern gehackt wie DigiNotar. Warum also ging DigiNotar in Konkurs, als es gehackt wurde, und die anderen Unternehmen nicht?

Die Antwort ist ganz einfach. Sie haben die PKI-Verfahren nicht befolgt und die Sicherheitsanforderungen nicht erfüllt. Sobald DigiNotar entdeckte, dass jemand ihre Systeme gehackt hatte, hätten sie dies öffentlich bekannt geben müssen, was sie aber nicht taten. Stattdessen haben sie es verschwiegen und versucht, es zu vertuschen, was die Situation nur vergrößert und verschlimmert hat.

Wenn Sie einen Angriff oder einen Hack auf Ihre PKI vermuten, sollten Sie als erstes eine öffentliche (oder interne, wenn Sie eine private PKI haben) Mitteilung machen. Das Eingeständnis eines Angriffs mag zwar einen Schlag für Ihren Ruf oder Ihr Ego bedeuten, aber es könnte das Einzige sein, was Ihr Unternehmen am Ende rettet. Die Mitarbeiter sind nicht nur in der Lage, wachsam zu sein und sich vor weiteren Angriffen zu schützen, sondern sie werden auch sensibilisiert und melden verdächtige Aktivitäten, was dem Unternehmen helfen könnte, den Angreifer zu finden und zu stoppen.

Diginotar hat nicht nur keine Ankündigung gemacht, sondern auch den Fehler begangen, Missbrauch und unbefugten Zugriff auf den privaten Schlüssel zuzulassen, was zu einer Sicherheitsgefährdung führte. Wenn Sie feststellen, dass Ihr System kompromittiert wurde, sollten Sie sofort Maßnahmen ergreifen, bevor weiterer, größerer Schaden entsteht.

Sicherheit ist sinnvoll.

Das unglückliche Schicksal von Diginotar erinnert uns daran, wie wichtig es für den Erfolg eines Unternehmens ist, über eine PKI zu verfügen und sie richtig einzusetzen. Mit den richtigen Maßnahmen und der buchstabengetreuen Einhaltung der Verfahren kann ein Unternehmen tragische Ereignisse vermeiden, die zu Verlusten und schließlich zum Konkurs führen können. Scheuen Sie sich nicht, Fragen zu stellen oder Ihr Unternehmen mit Richtlinien und Verfahren zu überfrachten. Wenn Sie PKI-Hilfe benötigen, helfen CSS-Berater wie ich Ihnen gerne dabei, Ihr Unternehmen und Ihr Vertrauen zu sichern.