Zertifikatsmanagement muss automatisiert und skalierbar sein

Sicherheitszertifikate wesentliche Voraussetzung für den Aufbau vertrauenswürdiger Netzwerke

[datensicherheit.de, 24.01.2019] Über den Umgang und Bedeutung von Sicherheitszertifikaten sprach Carsten J. Pinnow, Herausgeber und Chefredakteur von datensicherheit.de (ds) mit Darron Gibbard, Chief Technical Security Officer EMEA North bei Qualys.

ds: Wie wichtig sind Software-Zertifikate in Netzwerken? Ist das softwaredefinierte Netzwerk schwieriger zu schützen?

Gibbard: Das Problem ist hier nicht die zunehmende Software-Nutzung an sich, sondern dass die Sicherheitsmaßnahmen schwer zu skalieren sind. Sicherheitszertifikate sind eine wesentliche Voraussetzung für den Aufbau vertrauenswürdiger Netzwerke, und sie müssen stets auf dem neuesten Stand gehalten werden. Problematisch wird das, wenn Sie Millionen von Zertifikaten haben, die alle verfolgt und aktuell gehalten werden müssen. Hier kommt es schnell zu Versäumnissen, vor allem, wenn auch Hardware oder Software von Drittanbietern oder externe Dienstleister mit im Spiel sind.

ds: Was könnte das für die Zukunft bedeuten? Mit welchen Konsequenzen müssen wir rechnen?

Gibbard: Für kritische Infrastrukturen muss vor allem ein erstklassiges Verfahren angewandt werden, das die richtigen Grundlagen schafft. Andernfalls können sich eigentlich geringfügige Probleme auf breitere Infrastrukturen und Dienste auswirken.

Wir müssen diese Dienste als Gesamtheit betrachten, von ihren einzelnen Komponenten bis hin zu den Services, die die Benutzer am Ende erhalten. Wenn nicht sämtliche Komponenten effektiv verwaltet und abgesichert werden, besteht das Risiko, dass es künftig vermehrt zu Ausfällen kommt.

Bild: Qualys

Darron Gibbard, Chief Technical Security Officer EMEA North bei Qualys

ds: Wie lässt sich das verhindern?

Gibbard: Zertifikatsmanagement ist eine wichtige, ja unerlässliche Aufgabe. Wenn man sie automatisiert und damit skalierbar macht, kann man die Verwaltung optimieren und menschliche Fehler vermeiden.

Wichtige Schritte, um Problemen vorzubeugen:

1. Schwachstellen bei TLS/SSL-Zertifikaten laufend ausräumen: Sie müssen mit verschiedenen Fehlkonfigurationen rechnen, wie etwa fehlenden Feldern, Nutzung interner Namen, Verwendung überholter Hash-Algorithmen oder schwacher Verschlüsselung. Wenn die Zertifikate in das übergreifende Schwachstellenmanagement-Programm einbezogen werden, lassen sich solche Schwächen wirksam beheben. Sehr häufig werden die Zertifikatsserver jedoch aus Gründen der Sensibilität und Verfügbarkeit aus dem allgemeinen Schwachstellenmanagement ausgeklammert. Ein Sicherheitsmanager braucht Produkte, die alle Schwachstellen laufend erkennen, und muss dafür sorgen, dass die Schwachstellenmanagement-Lösung auch auf die Zertifikatsserver Zugriff hat.
2. Alle Zertifikate in Ihrem Netzwerk ermitteln: Wie oben bereits erwähnt, ist es wichtig, die Zertifikatsserver in Ihre Programme für Asset- und Schwachstellenmanagement einzubeziehen. Unternehmen, die Tausende von Zertifikaten haben, können jedoch nicht jedes einzelne Zertifikat manuell genau überprüfen. Außerdem bietet ein solches Verfahren keine Garantie, dass wirklich alle Zertifikate in Ihrer Umgebung erfasst werden. Unternehmen haben oft keinen richtigen Überblick darüber, wie viele Zertifikate sie eigentlich haben, wo diese installiert sind und ob sie noch richtig konfiguriert sind. Hier können automatisierte Tools helfen, die auf einfache Weise Übersicht über alle Zertifikate in einer Umgebung vermitteln.
3. Den Ablauf der Zertifikate verwalten: Eine weitere Hauptschwierigkeit bei der Zertifikatsverwaltung besteht darin, den Ablauf der Zertifikate zu überwachen. Wenn Sie alle vorhandenen Zertifikate ermittelt haben und deren Ablauf dann mithilfe von Spreadsheets verfolgen müssen, ist die Fehlergefahr hoch, und Zertifikate werden möglicherweise nicht rechtzeitig erneuert. Sie benötigen also Lösungen, die abgelaufene und ablaufende Zertifikate direkt auf der Konsole sichtbar machen und dafür sorgen, dass keine kritischen Geschäftsfunktionen beeinträchtigt werden können. Zugleich muss verhindert werden, dass Wildcard-Zertifikate Geschäftsabläufe stören, die von einer sicheren Kommunikation mit authentifizierten Partnern und Kunden abhängig sind.

Weitere Informationen zum Thema:

datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten

datensicherheit.de, 18.07.2016
Phishing-Websites können gültige SSL/TLS-Zertifikate missbrauchen