In den letzten Jahren haben schwerwiegende Verstöße gegen die Cybersicherheit den Betrieb von Regierungsbehörden, globalen Unternehmen und der Infrastruktur, von der unsere Lebensweise abhängt, gestört.
Aber nicht alle Risiken sind bösartig. Ausfallzeiten und Versäumnisse sind auch auf interne Fehler zurückzuführen. Die digitale Infrastruktur ist kompliziert, und etwas so Einfaches wie ein undokumentiertes Zertifikat kann den Betrieb zum Erliegen bringen.
In jedem Fall leidet das digitale Vertrauen. Die Behebung solcher Vorfälle kostet nicht nur erhebliche Ressourcen, sondern verursacht auch einen Imageschaden, der noch lange nach der Behebung des Problems nachwirkt.
Das Weltwirtschaftsforum (WEF) definiert digitales Vertrauen als "die Erwartung des Einzelnen, dass digitale Technologien und Dienstleistungen - und die Organisationen, die sie anbieten - die Interessen aller Beteiligten schützen und die gesellschaftlichen Erwartungen und Werte wahren".
Der Aufbau eines digitalen Ökosystems, das digitales Vertrauen verdient, beruht auf der Gewissheit, dass Geräte, Anwendungen und Daten korrekt und sicher vor Bedrohungen sind. Wie Zero Trust und KI ist auch digitales Vertrauen ein Konzept, das durch Technologie ermöglicht wird.
In diesem Blog werden wir über die technologischen Elemente sprechen, die digitales Vertrauen ermöglichen.
Infrastruktur für öffentliche Schlüssel
Die Public Key Infrastructure (PKI) ist das kryptografische Ökosystem, das die Ausstellung von digitalen Zertifikaten regelt. Diese Zertifikate schützen sensible Daten, sichern die Kommunikation und bieten digitale Identitäten für Benutzer, Geräte und Anwendungen.
PKI schafft eine Hierarchie des Vertrauens. Zertifikate werden von zwischengeschalteten Zertifizierungsstellen (ICAs) ausgestellt, und diese ICAs leiten bis zur Stammzertifizierungsstelle weiter. In großen Organisationen sind die ICAs für bestimmte digitale Funktionen zuständig. DevOps könnte zum Beispiel eine eigene Zertifizierungsstelle haben.
Digitale Zertifikate sind in praktisch jedem Geschäftsprozess zu finden. Sie sichern Websites und E-Mail-Clients, IoT Geräte und Anwendungen aller Art und vieles mehr. Laut Keyfactor's 2024 PKI & Digital Trust Berichtverwendet ein durchschnittliches Unternehmen mehr als 80.000 interne Zertifikate zu jeder Zeit.
Einige Faktoren erschweren die Verwaltung von PKI in großem Maßstab.
- Nischenkompetenz
Den meisten Unternehmen fehlt ein eigenes PKI-Team. In der Regel werden PKI und Zertifikate von IT-, Sicherheits- oder Infrastruktur-Teams verwaltet. Diese Techniker verfügen selten über PKI-Nischenkenntnisse, und manuelle Prozesse erhöhen die Gefahr von Benutzerfehlern. - Fehlende Eigenverantwortung
Auch wenn die oben genannten Teams PKI und Zertifikate verwalten, gibt es keine übergeordnete Vision oder zentrale Steuerung für PKI. Dies führt dazu, dass die Teams Zertifikate verwenden, um ihre eigenen Lösungen zu beschaffen und ihre eigenen unsicheren Prozesse zu schaffen. - Geringe Fehlertoleranz
Ein einziges abgelaufenes Zertifikat reicht aus, um ganze Systeme offline zu schalten. Das macht die Erkennung, Verfolgung und Verwaltung von Zertifikaten zu einer Praxis, bei der viel auf dem Spiel steht.
Innovationen wie KI, IoT und Quantencomputing führen neue Anwendungsfälle und Risiken für das Unternehmen ein und führen zu einem größeren Zertifikatsvolumen. Daher wird es für minderwertige PKI schwieriger, sie zu verwalten und zu modernisieren.
Die Suche nach den richtigen Partnern ist der Schlüssel zur Umsetzung effektiver, skalierbarer PKI-Strategien. Die richtige Auswahl der Tools verschafft den Teams einen echten Einblick in die Zertifikatslandschaft und versetzt sie in die Lage, PKI richtig zu betreiben, ohne auszubrennen.
Sicheres Shell-Protokoll (SSH)
Das Secure-Shell-Protokoll (SSH) ist ein kryptografisches Netzwerkprotokoll, das den sicheren Betrieb von Geräten über ungesicherte Netzwerke ermöglicht. Mit anderen Worten: Es sichert Fernverbindungen zum Netz. Sie ermöglichen auch Maschine-zu-Maschine-Sitzungen, die eine Automatisierung ermöglichen.
SSH tut dies mit Hilfe der Public-Key-Kryptografie, bei der automatisch öffentlich-private Schlüsselpaare zur Verschlüsselung von Netzwerkverbindungen erstellt werden. Die Sicherung und ordnungsgemäße Verwaltung dieser Schlüssel ist entscheidend für den Aufbau digitalen Vertrauens.
Organisationen verwenden eine Menge von SSH-Schlüsseln. Es ist üblich, 50 bis 200 Schlüssel auf einem Server oder eine Million SSH-Schlüssel in einer Organisation zu finden. Ohne eine Verwaltungsstrategiekönnen Angreifer diese Schlüssel kompromittieren, um ein hohes Maß an Zugang zu erhalten und Sicherheitskontrollen zu umgehen. Von dort aus können sie betrügerische Daten einspeisen, die Verschlüsselung software untergraben, Malware einsetzen oder Systeme ganz zerstören.
Die Ermittlung aller SSH-Schlüssel in der IT-Umgebung ist für deren Schutz unerlässlich. Veraltete und verwaiste Schlüssel müssen erfasst und die Vertrauensbeziehungen jedes SSH-Schlüsselpaars müssen abgebildet werden. Ist dies geschehen, können Unternehmen ihre SSH-Implementierung überprüfen, um Schwachstellen zu finden und Prozesse zu verbessern. Schlüssel, die schwache Verschlüsselungsalgorithmen verwenden oder unnötigen Root-Zugriff ermöglichen, müssen aktualisiert werden.
Code-Signierung
Die Codesignierung ist ein kryptografischer Prozess, der einem Teil von software einen Authentizitätsstempel verleiht. Entwickler signieren Anwendungen, software oder eingebettete Firmware mit privaten Schlüsseln, um zu beweisen, dass der Code aus einer legitimen Quelle stammt und nicht manipuliert worden ist.
Ohne Code-Signierungoder ohne sichere Code-Signierungkönnen Benutzer versehentlich software von einer bösartigen Quelle herunterladen. Angriffe auf die Codesignatur ermöglichen es Angreifern, die software Lieferkette zu kompromittieren, so dass bösartige software an Tausende von Nutzern weitergegeben werden können.
Heutzutage geben die Entwickler ständig neue software und Updates heraus. Es kann schwierig sein, die Geschwindigkeit der Entwicklung mit bewährten Sicherheitsverfahren in Einklang zu bringen, und die Einbettung des Codesignierungsprozesses in den bestehenden software Entwicklungszyklus stellt eine Herausforderung dar.
Für das Code Signing ist eine eigene Reihe von Zertifikaten und Schlüsseln erforderlich, die ein wertvolles Ziel für böswillige Akteure sind, die sie auf Untergrundmärkten verkaufen können.
Um den Code-Signierungsprozess zu sichern, müssen Unternehmen Code-Signierungsschlüssel auf hardware Sicherheitsmodulen und nicht an unsicheren Orten wie Entwickler-Workstations oder Build-Servern speichern. Außerdem ist es ratsam, den Zugriff auf diese Schlüssel auf eine begrenzte Anzahl von autorisierten Benutzern zu beschränken. Eine Aufgabentrennung zwischen diesen Benutzern kann das Schadenspotenzial im Falle einer Kompromittierung eines Codesignierungsschlüssels drastisch reduzieren.
Sicherheit der Transportschicht
Wie SSH ist auch Transport Layer Security (TLS) ein kryptografisches Protokoll, das Daten bei der Übertragung von einem Nutzer zum anderen über das Internet schützt. In der Adressleiste Ihres Internetbrowsers zeigt das kleine Vorhängeschloss-Symbol an, dass die Daten, die zu und von dieser Website gesendet werden, durch TLS geschützt sind.
TLS schützt sensible Informationen wie Passwörter, Kreditkartennummern, Surfgewohnheiten und mehr vor dem Abfangen durch böswillige Akteure. Obwohl TLS für Websites praktisch eine Selbstverständlichkeit ist, ist es bei der Absicherung von Internet-Prozessen wie E-Mail weniger üblich (obwohl es empfohlen wird).
TLS Zertifikate sind dem Internet zugewandt und interagieren mit vielen Anwendungen Dritter (z. B. Webbrowsern). Daher müssen sie die Standards der Stellen erfüllen, mit denen sie interagieren müssen. Google Chrome kennzeichnet beispielsweise Zertifikate, die mit einer Lebensdauer von mehr als 90 Tagen konfiguriert sind oder die einen veralteten Hash-Algorithmus wie SHA-1 verwenden.
Diejenigen, die ihre PKI mit den neuesten Best Practices auf dem neuesten Stand halten, werden sich als widerstandsfähiger und vertrauenswürdiger für die digitale Zukunft erweisen.
Zertifikat Lebenszyklus-Automatisierung (CLA)
Denken Sie daran, dass Zertifikate und PKI in der Regel von IT-, Sicherheits- oder Infrastruktur-Teams verwaltet werden. Diesen Teams fehlt es nicht nur an fundierten PKI-Kenntnissen, sondern sie müssen PKI neben ihren primären Aufgaben bewältigen.
Angesichts des explosionsartigen Anstiegs des Zertifikatsvolumens und des anhaltenden Arbeitskräftemangels im Bereich der Cybersicherheit lassen sich manuelle Zertifikatsverwaltungsprozesse nicht skalieren und verschärfen die Bedingungen, die zu einem Burnout des Teams führen.
Die Automatisierung des Lebenszyklus von Zertifikaten verschafft diesen Teams eine beträchtliche Bandbreite und schließt die Gefahr eines Ausfalls praktisch aus. Eine geeignete Plattform für die Verwaltung des Lebenszyklus von Zertifikaten (CLM) löst viele Probleme auf einen Schlag.
- Proaktive Erkennung und Protokollierung erfassen ein vollständiges Inventar aller Zertifikate in der IT-Umgebung - auch nicht verfolgte, nicht dokumentierte Zertifikate, die im Verborgenen liegen und darauf warten, abzulaufen.
- Als universeller Knotenpunkt für alle Zertifikate bietet die Plattform CLM den Teams einen umfassenden Überblick über die Zertifikatslandschaft in einem einzigen Tool. Mit dieser Transparenz können sie Richtlinien erstellen und vorantreiben, die sichere Zertifikatspraktiken unterstützen.
- Da sich alle Zertifikate an einem Ort befinden, können die Teams den Lebenszyklus ihrer Zertifikate automatisieren. Dies schafft die Möglichkeit, nie wieder ein abgelaufenes Zertifikat zu erleben.
Die DNA des digitalen Vertrauens
Digitale Zertifikate, Schlüssel und Kryptografie werden auf absehbare Zeit weiterhin als technische DNA des digitalen Vertrauens dienen. Wenn sie richtig eingesetzt werden, können diese Tools Unternehmen vor den Bedrohungen durch KI, Quantum und Compliance schützen.
Wie auch immer, diese seismischen Verschiebungen in der Technologie werden kommen. Unternehmen, die in flexible, widerstandsfähige PKI-Richtlinien investieren, werden in naher Zukunft erfolgreich sein.
Möchten Sie mehr erfahren? Lesen Sie den PKI & Digital Trust Report 2024 von Keyfactor.