Gastkommentar: Let’s Encrypt stellt eine Million Zertifikate aus – Eine Medaille mit zwei Seiten

Ein großes Lob an die Let’s Encrypt-Initiative für die Ausstellung einer Million kostenloser Zertifikate. Das ist eine großartige Sache —mehr SSL/TLS schützt Daten und Privatsphäre. Doch mehr Zertifikate und insbesondere solche, die nicht kontinuierlich überwacht und vor Missbrauch geschützt werden, sorgen sicherlich auch für steigendes kriminelles Interesse und zunehmende verbrecherische Aktivitäten. [...]

Für Cyber-Angreifer ist die Nutzung digitaler Zertifikate, mit denen sie sich einen vertrauenswürdigen Anstrich geben und sich in verschlüsseltem Traffic verbergen können, schnell zum Standard geworden – was dem ganzen Sinn und Zweck, der hinter verstärkter Verschlüsselung und dem Versuch, mithilfe kostenloser Zertifikate ein vertrauenswürdigeres Internet zu schaffen, steckt, fast entgegenwirkt.

Tatsächlich haben wir bereits erlebt, dass kostenlose Zertifikate von Bad Guys missbraucht wurden, wie beispielsweise bei der neuesten Malvertising-Kampagne, bei der von Let’s Encrypt ausgestellte Zertifikate zum Einsatz kamen. Cyber-Kriminelle werden in zunehmendem Maße Schlüssel ausnutzen und das Vertrauen, das Zertifikate genießen, missbrauchen, um Sicherheitskontrollen zu umgehen.

Es wird immer schwieriger zu erkennen, was vertrauenswürdig ist, und die verstärkte Nutzung von Verschlüsselung führt für Systeme, die vor Bedrohungen schützen, zu mehr toten Winkeln. Die Risiken im Falle missbrauchter Zertifikate sind sehr real. Unter anderem können sich Bad Guys in verschlüsseltem Traffic verbergen und so Malware übertragen oder Daten stehlen, mithilfe von Man-in-the-Middle-Angriffen (MitM) „gesicherte“ Kommunikation abfangen, Webseiten für Phishing-Angriffe spoofen und Malware verbreiten, die mithilfe eines scheinbar legitimen Zertifikats signiert ist.

Der Wert eines Zertifikats liegt nicht in seinen Ausstellungskosten, sondern beruht auf dem Wert sowie auf dem Ruf der ausstellenden Zertifizierungsstelle und dem Zweck des Zertifikats. Zur Erhaltung dieses Werts müssen Organisationen die Integrität und Sicherheit ihrer Zertifikate sicherstellen.

* Kevin Bocek ist VP Threat Intelligence and Security Strategy bei Venafi.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*