"Traue niemandem" - ein Satz, der an Akte X erinnert - ist heute ein vertrautes Konzept im Bereich der Cybersicherheit.
Da der Druck zum Schutz von Unternehmenssystemen und -daten wächst und die Angriffe immer raffinierter werden, können es sich die IT- und Sicherheitsteams von heute einfach nicht leisten, automatisch irgendeiner Sache (oder Person) innerhalb oder außerhalb ihres Netzwerks zu vertrauen. Nicht einmal Systemadministratoren.
Damals, als ich eine junge Webmistress war(ja, das war ein Titel), waren die Dinge noch ganz anders...
Ich war gerade dabei, mich in die Funktionsweise unserer neu erstellten Website einzuarbeiten, als jemand erwähnte, dass wir eine E-Commerce-Funktion hinzufügen sollten. Plötzlich wurde die Informationssicherheit zu einem Thema, über das ich nachdenken musste.
Natürlich hatten wir damals noch keine Sicherheitsrichtlinien, also ging ich einfach auf eine Website, kaufte ein SSL Zertifikat und installierte es auf dem Webserver. Wenn ich Zeit hatte, schickte ich das Zertifikat und das Passwort per E-Mail an meinen Vorgesetzten, nur für den Fall, dass wir es brauchten.
Im Laufe der Zeit lernte ich, wie ich intern vertrauenswürdige Zertifikate für beliebige Zwecke wie die Sicherung von Dateiübertragungen (FTP) und interner Kommunikation (S/MIME) anfordern konnte. Ich meldete mich einfach bei Active Directory Certificate Services (ADCS) an und forderte ein Zertifikat mit den Daten an, die mir angemessen erschienen.
Auch hier gab es keine Maßnahmen.
Die Zeiten haben sich gewiss geändert. Die meisten Unternehmen setzen heute standardisierte IT-Sicherheitsrichtlinien und -praktiken für alle Funktionen in allen Geschäftsbereichen durch. Aber die Möglichkeit eines Administrators, unabhängig ein Zertifikat direkt bei einer internen oder externen Zertifizierungsstelle (CA) anzufordern, hat sich nicht geändert.
Abtrünnige Admins oder Schurken?
IT- und Systemadministratoren haben privilegierten Zugriff und verfügen über immense Macht über Daten, Geräte und Anwendungen. Ohne sie kann man nicht überleben, doch nur wenige Vorfälle können ein Unternehmen so lahmlegen wie ein abtrünniger Administrator.
Aber wir sollten abtrünnige Administratoren nicht mit Schurken gleichsetzen. In vielen Fällen haben abtrünnige Agenten ehrliche Absichten (denken Sie an James Bond), aber sie ziehen es vor, außerhalb der Unternehmensrichtlinien und -praktiken zu arbeiten, die sie als zu restriktiv oder zeitaufwendig für ihre tägliche Arbeit ansehen.
Laut Definition bedeutet "abtrünnig" "ein Verhalten, das nicht erwartet wird oder nicht normal ist, oft in einer Weise, die Schaden verursacht". Das ist das eigentliche Problem.
In der Realität möchte die große Mehrheit der Administratoren die besten Richtlinien und Verfahren befolgen, aber die traditionell langsamen und manuellen Schritte zur Erstellung einer Zertifikatsignierungsanforderung (CSR) veranlassen sie dazu, sich für schnellere, nicht konforme Alternativen zu entscheiden. Und selbst bei denjenigen, die sich an die Richtlinien und Verfahren halten, machen Menschen Fehler. Menschliche Fehler werden immer einen Weg in manuelle IT-Prozesse finden.
Mit jedem Fehler wächst die Zahl der nicht konformen Zertifikate über die Kapazität Ihres PKI-Teams hinaus. Und dann passiert es. Ein Prüfer findet mehrere nicht konforme Zertifikate und verlangt sofortige Abhilfe. Die PKI-Teams müssen sich an die Administratoren wenden, um alle nicht richtlinienkonformen Zertifikate zu finden, zu erneuern und zu ersetzen.
War das zu erwarten? Wahrscheinlich nicht. Aber sollte es wirklich eine Überraschung sein? Ganz und gar nicht.
Noch wichtiger ist, dass der durch diese Vorfälle verursachte Schaden kritisch ist. In einem kürzlich erschienenen Blogbeitrag hat mein Kollege und Chief Security Officer bei Keyfactor, Chris Hickman, den Keyfactor-Ponemon-Bericht über "The Impact of Unsecured Digital Identities" (Die Auswirkungen ungesicherter digitaler Identitäten) erörtert . Chris weist darauf hin, dass Unternehmen in den letzten 24 Monaten durchschnittlich fünf fehlgeschlagene Audits mit einem durchschnittlichen wirtschaftlichen Verlust von mehr als 14 Millionen US-Dollar erlitten.
Wenn es keine Kontrolle darüber gibt, wie Administratoren Zertifikate anfordern, erneuern und installieren, ist es viel wahrscheinlicher, dass sie gegen IT-Richtlinien verstoßen, und es wird schnell unmöglich zu wissen, wo sich jedes Zertifikat befindet, wie es verwendet wird oder wem es gehört.
Ein Gleichgewicht finden: Automatisierung und Kontrolle
Das Ziel von IT-Administratoren ist es, sicherzustellen, dass die von ihnen verwalteten Systeme und Anwendungen die festgelegten Service-Levels erfüllen. In diesem Zusammenhang ist es nur sinnvoll, dass sie auch die Schlüssel und Zertifikate verwalten.
Gleichzeitig sollte das PKI-Team letztlich die Kontrolle über jeden Schlüssel und jedes Zertifikat im Unternehmen haben und darüber, wie sie erlangt werden. Aber ohne Leitplanken gibt es keine Möglichkeit, Richtlinien durchzusetzen, die teure (und offen gesagt peinliche) Szenarien wie die im Bericht beschriebenen verhindern.
Es geht darum, ein Gleichgewicht zwischen dem Bedürfnis des PKI-Teams nach Kontrolle und dem Bedürfnis der Administratoren nach Schnelligkeit herzustellen. Die Bereitstellung einer Struktur für die Ausstellung und den Lebenszyklus von Zertifikaten ist der einfachste Weg, um sicherzustellen, dass Ihr PKI-Team die nötige Transparenz und Kontrolle hat, um Beschwerden zu vermeiden. Außerdem können IT- und Systemadministratoren durch die Automatisierung Ausfälle vermeiden, ohne wertvolle Zeit zu verlieren.
Die Implementierung der richtigen Lösung und Prozesse zur Sicherung und Automatisierung digitaler Identitäten hilft Ihrem Unternehmen, eine Kultur des Vertrauens aufzubauen und das Risiko unseriöser oder einfach nur zeitknapper Administratoren zu vermeiden.
Für weitere Informationen laden Sie den vollständigen Keyfactor-Ponemon Report herunter:
