Sie sind hier: HomeTelekommunikation

Verschlüsselung von Cloud-Daten: Unternehmensdateien sicher speichern

Fortsetzung des Artikels von Teil 4.

Expertenkommentar: Den Cyber-Dieben die Tür geöffnet

- Bildquelle: © Venafi

Calum MacLeod, EMEA-Direktor bei Venafi

Kryptografische Schlüssel und digitale Zertifikate bilden das Fundament des Vertrauens, aber die traurige Realität ist, dass wir die Kontrolle verloren haben. Schlüssel und Zertifikate stellen ein nicht quantifiziertes Sicherheitsrisiko, einen betrieblichen Alptraum und drohende Audit- und Compliancefehler für fast jeden Betrieb und jede Regierung dar. Und das Problem wird immer größer und komplizierter: Nach einer Reihe von Angriffen im Laufe der letzten zwei Jahre stellten Kriminelle im Dezember unbefugt, aber völlig legitim, Zertifikate für alles, was von Google bereitgestellt wird, aus, indem sie den Betrieb einer türkischen Zertifizierungsstelle (CA) kompromittierten. In den USA und Europa wurden CAs auf ähnliche Art kompromittiert. Wüssten Sie, ob Sie Zertifikate von einer CA haben, die nicht mehr vertrauenswürdig ist? Wie würden Sie diese in den schrecklichen Stunden, nachdem Sie herausgefunden haben, dass Sie Ihrer eigenen Infrastruktur nicht mehr trauen können, ersetzen? Die holländische Regierung und tausende von Unternehmen haben nach dem Angriff von „DigiNotar“ im Jahr 2011 genau dieses Szenario durchlebt. Aber dafür kann man nicht nur die Kriminellen verantwortlich machen. Die Organisationen selbst waren völlig unvorbereitet – sie wussten nicht, wie viele Schlüssel und Zertifikate sie hatten, wer diese managt und wie sie verwendet werden und was in einem Notfall oder im Fall einer Gefährdung zu tun ist. Tatsächlich haben die Organisationen den Cyber-Dieben die Tür weit geöffnet.

Als Konsequenz dieser und anderer Angriffe hat das NIST („US National Institute of Standards and Technology“) eine Richtlinie herausgegeben, die empfiehlt, dass alle Organisationen einen Katalog aller verwendeter Zertifikate entwickeln und darauf vorbereitet sein sollten, auf die fast sichere Zwangsläufigkeit reagieren zu müssen, dass in Zukunft eine oder mehrere CAs kompromittiert werden.

Bei der Aufgabe, Ihrer Organisation wieder die Kontrolle über Schlüssel und Zertifikate zurückzugeben, dreht sich nicht alles nur um Technologie. Systemadministratoren und andere Mitarbeiter sind mit dem Management von Systemen beschäftigt, die auf Schlüsseln und Zertifikaten zur Datensicherheit und Systemauthentifizierung beruhen. Und ohne vernünftige Richtlinien ist es nicht möglich, Ordnung in die Technologie und die am Schlüssel- und Zertifikatmanagement beteiligten Personen zu bringen. Sobald Technologie, Personen und Richtlinien festgelegt sind, kann eine Organisation zur Automatisierung von Schlüssel- und Zertifikatmanagement übergehen – und schließlich wieder die Kontrolle über die kritischen Elemente Vertrauen, Datenschutz und Kontinuität übernehmen.