Sean Thomas
Sean Thomas
March 31, 2022

Die größte Bedrohung für Kryptowährungen bei Unternehmen

Das moderne digitale Unternehmen lebt in einer feindlichen Welt. Das Grundvertrauen in die eigenen Mitarbeiter, Prozesse und Technologien wird durch immer raffiniertere Bedrohungen untergraben. Und dennoch ist Vertrauen das A und O. Doch dieses Vertrauen wird auf immer kreativere Art und Weise aufgebraucht. Kaltes, hartes, mathematisch kalkulierbares Vertrauen, das in Form eines sauberen X509v3-Zertifikatspakets geliefert wird, ist zur Norm geworden, um Vertrauen zu bescheinigen.

Dieses Paket beweist, wer Sie sind, schützt das, was Sie sagen, und macht das, was Sie als Mensch oder Maschine innerhalb des Systems gesagt haben, unveränderlich. Es ist ein absolutes Muss für jedes Unternehmen, das in der heutigen Welt tätig ist. Die Notwendigkeit, sich mit Fragen der Vertraulichkeit und Integrität zu befassen, ergibt sich aus der Einhaltung von Vorschriften und einer Vielzahl von Anwendungsfällen. Ein oft übersehenes Teil dieses Puzzles ist jedoch die Verfügbarkeit.

 

Scroll down

CIA: C und I, aber wo ist A?

Die Kryptographie, die durch die PKI (Public Key Infrastructure) in die Praxis umgesetzt wird, ermöglicht im Wesentlichen Vertraulichkeit durch Verschlüsselung und Integrität durch Signierung.

Die daraus resultierenden Krypto-Outputs, die von der Krypto-Maschine angefordert werden, fließen in jeden Wertstrom des modernen digitalen Unternehmens ein.  Die Unternehmens-PKI kann und sollte als kritische Infrastruktur betrachtet werden. Wie bei jeder kritischen Infrastruktur stellt ein suboptimaler Betrieb eine Gefahr für die Gesamtverfügbarkeit des Unternehmens dar.

Wenn die Verfügbarkeit beeinträchtigt ist, werden qualitative und quantitative Verluste angezeigt. Ein PKI-System kann eine enorme Menge an Abhängigkeiten von seinen Krypto-Outputs schaffen. Dennoch können vertrauende Parteien, deren Anwendungsfälle nicht sofort ersichtlich sind, die ultimative Sicherheit des Unternehmens durch Missbrauch und Missverständnisse untergraben. Die Zahl dieser Anwendungsfälle kann eine unüberschaubare Größe erreichen.

Trotz des integralen Charakters, den kryptographische Systeme für die Sicherheit wertschöpfender Geschäftsabläufe haben, wird die Verfügbarkeit oft übersehen. Wenn die Verfügbarkeit bei der Entwicklung und beim Betrieb unbeabsichtigt durch eine einseitige Ausrichtung auf Vertraulichkeit und Integrität beeinträchtigt wird, kann dies negative Auswirkungen auf die Ziele und Dienste des Unternehmens haben.

Wo sollen wir anfangen?

Anstatt ein Tool oder Produkt zu bewerben, das auf wundersame Weise eine schlüsselfertige Lösung für alle PKI-Probleme bietet, ist es besser, eine Mentalität des Verständnisses und der End-to-End-Verantwortung zu fördern. Zu erkennen, wo die Schmerzpunkte sind und anzuerkennen, dass Veränderungsbedarf besteht, können den Beginn einer kontinuierlichen Selbstverbesserung darstellen, die auf die Bedürfnisse Ihres Unternehmens zugeschnitten ist.

  • Inventar
    Ein genaues und vollständiges Inventar ist von grundlegender Bedeutung für die Verfügbarkeit, und zwar nicht nur für Zertifikate. Es muss eine Bestandsaufnahme der beteiligten Personen, Verfahren und Technologien vorgenommen werden. Ohne zu wissen, wer diese drei sind und wie sie zusammenwirken, können wir die Abhängigkeiten und Anwendungsfälle nicht einmal ansatzweise ergründen. Tabellenkalkulationen sind der De-facto-Industriestandard für die Verwaltung von Zertifikaten, obwohl sie in Wirklichkeit nur die ersten sinnschaffenden Anfänge sind. Eine begrenzte Sichtweise schränkt den Blick auf das größere Thema ein. Automatisierte Tools befassen sich zwar mit der Technologie (x509), können aber die Menschen und Prozesse, die diese Technologien nutzen, nicht vollständig berücksichtigen. Daher sind sie kein Allheilmittel. Ohne verständliche Inventardaten vergrößert sich die interne Angriffsfläche für eine „Verfügbarkeitsgefährdung“, einfach deshalb, weil das Unternehmen sich selbst nicht kennt.
  • Überwachung
    Durch sinnvolle Anwendung der aus den inventarisierten Daten gewonnenen Erkenntnisse kann eine gezielte Überwachung eingerichtet werden. Beginnend mit den kritischsten Diensten sollte die Ablaufüberwachung taktvoll eingesetzt werden. Eine nicht überwachte Zertifikatsgültigkeit kann zu Ausfällen führen, die sich auf das gesamte digitale Unternehmen negativ auswirken. Der Ausfall im Kernnetz von 02 UK im Jahr 2018, der durch ein abgelaufenes Zertifikat in der von Ericsson gelieferten Software verursacht wurde, ist ein Paradebeispiel dafür. Der Ausfall von Google Voice im Jahr 2021 macht deutlich, dass auch die „Big Player“ für die größte Bedrohung der PKI anfällig sind.
  • Automatisierung
    Die Automatisierung senkt die Gesamtbetriebskosten des Kryptosystems eines Unternehmens und erhöht die Gesamtverfügbarkeit.  Im Bereich der Unternehmenskryptografie gibt es eine Reihe von Tools und Protokolle, die bei der Automatisierung helfen. Dazu zählen insbesondere ACME- und EST-Protokolle, die die letzte Meile der Reise der Unternehmenskryptografie automatisieren: den (Re-)Enrollment-Prozess.  Durch die Automatisierung des Registrierungsprozesses entfällt ein Großteil der manuellen Arbeit und viele potenzielle Ausfälle werden vermieden.  Diese sind wertvolle Bestandteile einer größeren Lösung, sollten aber nicht isoliert betrachtet werden.  Geschäftsprozesse und Workflow-Logik müssen berücksichtigt werden.
    Eine vollständige Suite für die Verwaltung des Lebenszyklus von Zertifikaten kann eine solche Logik und Arbeitsabläufe bieten, um viele der Kryptokomponenten des Unternehmens miteinander zu verbinden.  Diese Suiten haben in der Regel einen hohen Preis und können im Verhältnis zu dem Problem, das sie lösen, unverhältnismäßig hoch erscheinen.  Bei richtiger Anwendung können diese Suiten jedoch eine Menge Geld sparen, indem sie die Gesamtstundenzahl der direkt und indirekt mit dem Kryptosystem des Unternehmens befassten Mitarbeiter reduzieren.  Außerdem können sie durch die Vermeidung von Ausfällen eine potenzielle öffentliche Blamage (und damit eine Schädigung der Marke) abwenden.
  • Bildung
    PKI und digitale Zertifikate können für diejenigen, die nicht häufig mit dieser Technologie arbeiten, verwirrend sein. Die meisten Techniker benötigen nur gelegentlich ein Zertifikat für eine Dienstleistung, die sie sich mühsam durch die Bürokratie beschaffen müssen, und manchmal ist selbst dieser Prozess undurchschaubar. Die Interaktion mit dem Kryptosystem durch Unkundige ist in der Regel ein langsamer und fehleranfälliger Prozess. Dies führt bestenfalls zu einer Menge Nacharbeit und kann schlimmstenfalls eine zweifelhafte Tendenz zur Verwendung von Alternativen auslösen, wie z. B. die Verwendung von selbst signierten Zertifikaten, die Verwendung von nicht zugelassenen Vertrauensanbietern (z. B. Lets Encrypt) oder die einfache Deaktivierung der Zertifikatsüberprüfung.
    Ein Paradebeispiel für Letzteres ist die Sicherheitsverletzung bei Equifax im Jahr 2017: Hier wurde die Zertifikatsvalidierung für ein abgelaufenes Zertifikat, das für die HTTPS-Prüfung verwendet wurde, ausgeschaltet, sodass die Angreifer 76 Tage lang eine Erkennung umgehen konnten. Die Ausbildung und der Informationsaustausch innerhalb des Unternehmens werden oft übersehen und können sich nachteilig auf das gute Zusammenspiel der verschiedenen internen Systeme auswirken, die eigentlich den Unternehmenszielen zugutekommen. Ein einfaches, gestrafftes und offenes Verfahren kann dafür sorgen, dass die Zertifikate weiter vom Krypto-Fließband laufen und die erforderlichen Anwendungsfälle bedient werden. Dies bedeutet einen erheblichen Gewinn in Bezug auf die Kosten einer geschickten internen PR.

Die Stärken und Schwächen der Kryptomaschine sowie ihre Auswirkungen auf das moderne digitale Geschäft müssen ganzheitlich verstanden werden. Der Schlüssel liegt darin, zunächst zu verstehen, wie abhängig das Unternehmen von den Ergebnissen der Kryptomaschine ist. Dann kann mit kleinen, schrittweisen Schritten begonnen werden, die Situation in einem iterativen Prozess zu verbessern.

Je nach Unternehmen kann sich die Kryptowertschöpfungskette über viele Geschäftssilos erstrecken, die möglicherweise geografische, sprachliche und kulturelle Grenzen überschreiten – und das ist von Bedeutung. Die Verantwortlichkeiten und Zuständigkeiten in den einzelnen Geschäftsbereichen müssen klar festgelegt werden, damit die Verantwortlichkeit und die Motivation gegeben sind, um voranzukommen.
Jemand muss sich für die Sache einsetzen. Traxion ist hier, um Sie bei Ihren Krypto-Bestrebungen zu unterstützen.

Sean Thomas is security consultant at Traxion, provider of Identity Centric Security Services in the Netherlands and Belgium with over 130 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

Über die Autoren
  • Sean Thomas

    Sean Thomas is a Security consultant at Traxion, provider of Identity Centric Security Services in the Netherlands and Belgium with over 130 highly qualified professionals. Traxion is part of Swiss IT Security Group.

Confidental Infomation