SSH-Keys: Die unterschätzte Sicherheitsgefahr

SSH-Keys werden häufig für direkte Zugriffe auf kritische Unix-Systeme, oft auch als "root", verwendet. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist das Sicherheitsrisiko für Unternehmen immens. Zu beseitigen ist es nur durch eine durchgängige SSH-Key-Verwaltung. [...]

Auf SSH-Authentifizierung mittels Key-Paaren setzen vor allem im Unix- und Linux-Umfeld sehr viele Unternehmen. Unter Sicherheitsaspekten problematisch ist dabei, dass Key-Paare – Private und Public Keys – zu jeder Zeit von jedem Anwender auf nahezu jedem System generiert werden können. Und was noch gravierender ist: Sie werden niemals ungültig. Das kann dazu führen, dass SSH-Key-Paare vorhanden sind, die mehrere Jahre alt sind beziehungsweise zu Anwendern gehören, die inzwischen bereits das Unternehmen verlassen haben. Das bedeutet: Nicht autorisierten Anwendern stehen Hintertüren zu unternehmenskritischen Systemen offen.

VON DER ERMITTLUNG ZUR AKTIVEN KONTROLLE
Wenn man sich die in vielen Unternehmen vorhandene hohe Anzahl von SSH-Keys vor Augen hält, ist klar, dass eine manuelle Verwaltung und Änderung keine Option ist. Erforderlich ist vielmehr eine Lösung, die einen hohen Zentralisierungs- und Automatisierungsgrad bietet. Der erste Schritt vor der Implementierung einer Sicherheitslösung sollte eine detaillierte Bestandsaufnahme sein. Das heißt, alle vorhandenen Keys müssen identifiziert und lokalisiert werden, einschließlich ihres Alters und ihrer Anwendungsbereiche. Zudem ist dabei zu überprüfen, welche Keys nicht den IT-Sicherheitsrichtlinien des Unternehmens entsprechen.

Auf Basis dieser Ist-Analyse ist anschließend eine Lösung zu implementieren, die eine sichere Verwaltung der Keys ermöglicht. Das heißt, sie muss auf jeden Fall die drei Leistungsmerkmale Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit bieten. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von SSH-Keys und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt muss eine SSH-Key-Management-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – sei es durch den Entzug von Zugriffsberechtigungen, durch das Schließen einer identifizierten Sicherheitslücke oder durch eine Remote-Beendigung von SSH-Sessions.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*