11. März 2016 Kevin Bocek*

Gastkommentar: Let’s Encrypt stellt eine Million Zertifikate aus – Eine Medaille mit zwei Seiten

Ein großes Lob an die Let’s Encrypt-Initiative für die Ausstellung einer Million kostenloser Zertifikate. Das ist eine großartige Sache —mehr SSL/TLS schützt Daten und Privatsphäre. Doch mehr Zertifikate und insbesondere solche, die nicht kontinuierlich überwacht und vor Missbrauch geschützt werden, sorgen sicherlich auch für steigendes kriminelles Interesse und zunehmende verbrecherische Aktivitäten. [...]

Für Cyber-Angreifer ist die Nutzung digitaler Zertifikate, mit denen sie sich einen vertrauenswürdigen Anstrich geben und sich in verschlüsseltem Traffic verbergen können, schnell zum Standard geworden – was dem ganzen Sinn und Zweck, der hinter verstärkter Verschlüsselung und dem Versuch, mithilfe kostenloser Zertifikate ein vertrauenswürdigeres Internet zu schaffen, steckt, fast entgegenwirkt.

Tatsächlich haben wir bereits erlebt, dass kostenlose Zertifikate von Bad Guys missbraucht wurden, wie beispielsweise bei der neuesten Malvertising-Kampagne, bei der von Let’s Encrypt ausgestellte Zertifikate zum Einsatz kamen. Cyber-Kriminelle werden in zunehmendem Maße Schlüssel ausnutzen und das Vertrauen, das Zertifikate genießen, missbrauchen, um Sicherheitskontrollen zu umgehen.

Es wird immer schwieriger zu erkennen, was vertrauenswürdig ist, und die verstärkte Nutzung von Verschlüsselung führt für Systeme, die vor Bedrohungen schützen, zu mehr toten Winkeln. Die Risiken im Falle missbrauchter Zertifikate sind sehr real. Unter anderem können sich Bad Guys in verschlüsseltem Traffic verbergen und so Malware übertragen oder Daten stehlen, mithilfe von Man-in-the-Middle-Angriffen (MitM) „gesicherte“ Kommunikation abfangen, Webseiten für Phishing-Angriffe spoofen und Malware verbreiten, die mithilfe eines scheinbar legitimen Zertifikats signiert ist.

Der Wert eines Zertifikats liegt nicht in seinen Ausstellungskosten, sondern beruht auf dem Wert sowie auf dem Ruf der ausstellenden Zertifizierungsstelle und dem Zweck des Zertifikats. Zur Erhaltung dieses Werts müssen Organisationen die Integrität und Sicherheit ihrer Zertifikate sicherstellen.

* Kevin Bocek ist VP Threat Intelligence and Security Strategy bei Venafi.


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

1. November 2024

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*