IT-Security

Darknet: Digitale Zertifikate gestohlen

9. Juli 2019 von PSW GROUP Redaktion

digitale-zertifikate
© Bits and Splits - Adobe Stock

5
(1)

Dass das Darknet von Cyberkriminellen für ihre florierenden Geschäfte mit Ransomware oder gestohlenen digitalen Identitäten genutzt wird, ist gemeinhin bekannt. Jedoch werden Maschinenidentitäten wie TLS- und andere digitale Zertifikate noch deutlich wichtiger eingestuft. Zu diesen Ergebnissen gelangten Forscher der Evidence-based Cybersecurity Reserach Group an der Georgia State University sowie Forscher der University of Surrey in Zusammenarbeit mit Venafi.

Das Stehlen dieser Identitäten geschieht durch verschiedene und teils sehr raffinierte Methoden. Diese gelingen nicht zuletzt aufgrund der Tatsache, dass die Cybersecurity zahlreicher Unternehmen noch ausbaufähig ist. Die gestohlenen Maschinenidentitäten werden zu sehr hohen Preisen im Darknet gehandelt. Kriminelle sind so in der Lage, sichere Systeme abzuhören oder sich den sofortigen Zugang zu Online-Glaubwürdigkeit und Vertrauen anzueignen.

Die digitale Identität einer Maschine

Maschinelle Identitäten sind sinnvoll für die Sicherheit sowie die Wettbewerbsfähigkeit von Unternehmen. Wie auch beim Menschen besitzen Maschinenidentitäten bestimmte Merkmale, die sie voneinander unterscheidbar machen. Kurzum: Maschinenidentitäten können digitale Zertifikate oder kryptographische Schlüssel sein, die die Grundlage fürs Vertrauen zwischen Maschinen im World Wide Web bilden.

Wozu werden digitale Zertifikate hier gebraucht?

Um einen relativ zügigen und unbürokratischen Zugang zu Systemen, Verzeichnissen, Daten etc. zu erlangen, benötigen Maschinen eine Identität und Sicherung durch digitale Zertifikate. Bei Maschinen sollte derselbe Grundsatz gelten, der auch beim Menschen gilt: So viel Zugriff wie nötig, so wenig Zugriff wie möglich. Gerade SSL-Zertifikate sind ein sehr beliebtes Diebesgut.

IT-Experten drängen auf Schutz der Maschinen

Die Studie “Securing The Enterprise With Machine Identity Protection” von Venafi zeigt deutliche Defizite: 96 Prozent der befragten Unternehmen sind überzeugt, dass der Schutz maschineller Identitäten genauso wichtig wäre wie der Schutz menschlicher Identitäten. Beides – menschliche wie maschinelle Identitäten – werden als kritische Faktoren für die Sicherheit und die Wettbewerbsfähigkeit von Unternehmen wahrgenommen.

Jedoch stoßen 80 Prozent der befragten Unternehmen beim Schutz der Maschinenidentitäten auf schwer überwindbare Hindernisse. Einen Nachholbedarf deckt die Studie auch bezüglich der Bereitstellung wichtiger Funktionen für die Sicherheit dieser Identitäten auf. Dass auch noch 70 Prozent der Befragten zugab, weniger als die Hälfte der Maschinenidentitäten im eigenen Netzwerk zu überwachen, zeigt, wie realistisch Diebstähle in diesem Sektor werden.

Digitale Zertifikate sind die heiße Ware im Darknet

Verschiedene Darknet Marktplätze handeln mit Zertifikaten: Man bekommt sie auf Dream Market, BlockBooth, Wall Street Market oder Galaxy3. Zusätzlich wird eine breite Palette krimineller Services angeboten, etwa das Fälschen von Websites, das Belauschen von verschlüsseltem Datenverkehr oder aber Man-in-the-Middle-Angriffe.

Die Preise für die SSL-/TLS-Zertifikate variieren zwischen 260 und 1.600 US-Dollar – je nach Art des Zertifikats sowie nach etwaigen “Zusatzleistungen”. Andere Schadsoftware wie Malware oder Ransomware wird nicht so hochpreisig gehandelt. Dies zeigt, dass die Bedeutung der Zertifikate höher ausfällt. Man fand auf den verschiedenen Marktplätzen sagenhafte 2.943 Erwähnungen für den Begriff “SSL”, 75 für “TLS”, jedoch nur 531 Erwähnungen für “Ransomware” und 161 für “Zero Day”-Lücken. TLS-Zertifikate sind extrem begehrt; es gibt sogar Marktplätze, die sich auf diese beschränken.

Sicherheit durch digitale Zertifikate – das illegale Geschäft

SSL- bzw. TLS-Zertifikate dienen dazu, Vertrauen, Privatsphäre sowie Sicherheit im World Wide Web einzurichten und aufrechtzuerhalten. Die gestohlenen Zertifikate erlauben den Angreifern jedoch, genau dies zu unterwandern: Sie sind in der Lage, in Systeme einzudringen, um diese zu manipulieren oder Daten abzugreifen.

Wie die Studie zeigte, werden sogar erweitert validierte Zertifikate (EV-Zertifikate) angeboten und verkauft. Gefunden wurden zudem Angebote für Zertifikate von renommierten Zertifizierungsstellen, die gleich zusammen mit den gefälschten Firmenunterlagen verkauft wurden. Für unter 2.000 US-Dollar erlauben Pakete dieser Art den Angreifern, sich als vertrauenswürdiges US- oder britisches Unternehmen zu präsentieren.

Fazit: Maschinenidentitäten besser schützen

Das Geschäft mit Maschinenidentitäten im Darknet floriert – Cyberkriminelle stehlen munter sensible Informationen wie eben Maschinenidentitäten. Unternehmen, die darauf verzichten, maschinelle Identitäten effektiv zu schützen, fördern illegale Geschäfte dieser Art – und fügen sich nicht zuletzt selbst Schaden zu. Bei sehr vielen Unternehmen sind die Arbeitsabläufe durch bereits abgelaufene und nicht erneuerte Zertifikate ohnehin schon beeinträchtigt.

Für einen umfassenden Schutz müssen Unternehmen in die Lage versetzt werden, sämtliche Maschinenidentitäten zu überwachen. Ein Ansatz dafür ist das Identity and Access Management (IAM). Doch der Schwerpunkt solcher IAM-Lösungen liegt auf dem Menschen. Jüngst haben die Anzahl von Rechnern innerhalb von Unternehmensnetzwerken, die technologischen Veränderungen sowie die Fähigkeiten neuerer Computer deutlich zugenommen. Dies sorgt für eine Reihe neuer Herausforderungen, die einen stärkeren Fokus auf den Schutz maschineller Identitäten ausrichten müssen.

Ein weiterer Ansatz ist das sogenannte Hardware Security Module (HSM): Da sowohl das Zertifikat als auch die kryptografischen Schlüssel vor dem unberechtigten Zugriff geschützt werden, haben Unternehmen mit HSM eine vertrauenswürdige, bereits bewährte und überprüfbare Möglichkeit, Maschinenidentitäten zu schützen. Zahlreiche physische Maßnahmen sorgen dafür, dass geheime Schlüssel umgehend gelöscht werden, wenn jemand versucht, das Gehäuse aufzubrechen. Solche Maßnahmen sind beispielsweise Bohrschutzfolien, aber auch Temperatur- sowie Spannungssensoren.

Wie handhaben Sie den Schutz Ihrer maschinellen Identitäten? Sind Sie schon einmal Opfer eines gestohlenen Zertifikats geworden? Kommen Sie mit uns ins Gespräch – in den Kommentaren oder im direkten Kontakt.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu