So viele Alltagsgegenstände in der entwickelten Welt sind mittlerweile oft aus unerklärlichen Gründen mit dem Internet verbunden. Es fügt eine weitere Ebene potenzieller Technologieversagen hinzu, die für persönliche Geräte ein amüsantes Ärgernis sein kann: Blendungen wird nicht geöffnet, Mikrowellen, das Passen Sie sich nicht an Zeitänderungen an, Kühlschränke, die Ich brauche Firmware-Updates.
Aber wenn im Unternehmen Geräte für das Internet der Dinge ausfallen, ist das kein Twitter-Thread-Witz. Die Fließbänder in den Fabriken kommen zum Stillstand. Herzfrequenzmesser in Krankenhäusern schalten offline. Smartboards in Grundschulen werden dunkel.
Ausfälle intelligenter Geräte stellen in der Unternehmenswelt ein zunehmendes Risiko dar, und das nicht nur aufgrund der oft diskutierte Sicherheitsbedenken. Dies liegt daran, dass die Stammzertifikate einiger dieser Geräte – die für eine sichere Verbindung mit dem Internet erforderlich sind – ablaufen.
„Geräte müssen wissen, wem sie vertrauen können, daher ist das Stammzertifikat als Authentifizierungstool in das Gerät integriert“, erklärt Scott Helme, ein Sicherheitsforscher, der dies getan hat Ich habe ausführlich über das Problem mit dem Ablauf des Stammzertifikats geschrieben. „Sobald das Gerät im Einsatz ist, versucht es, ‚Home‘ anzurufen – eine API oder einen Server des Herstellers – und prüft anhand dieses Root-Zertifikats: ‚Ja, ich verbinde mich mit dieser richtigen sicheren Sache.‘ Im Wesentlichen [einem Root Das Zertifikat ist ein Vertrauensanker, ein Referenzrahmen, anhand dessen das Gerät weiß, womit es spricht.“
In der Praxis ähnelt diese Authentifizierung einem Netz oder einer Kette. Zertifizierungsstellen (CAs) stellen alle Arten von digitalen Zertifikaten aus, und die Entitäten „kommunizieren“ miteinander, manchmal auf mehreren Ebenen. Das erste und wichtigste Glied dieser Kette ist jedoch immer das Stammzertifikat. Ohne sie könnte keine der oben genannten Ebenen die Verbindungen ermöglichen. Wenn also ein Stammzertifikat nicht mehr funktioniert, kann das Gerät die Verbindung nicht authentifizieren und stellt keine Verbindung zum Internet her.
Hier liegt das Problem: Das Konzept des verschlüsselten Webs entstand um das Jahr 2000 – und Stammzertifikate sind in der Regel etwa 20 bis 25 Jahre gültig. Im Jahr 2022 befinden wir uns also mitten in dieser Ablaufzeit.
Die Zertifizierungsstellen haben in den letzten mehr als zwei Jahrzehnten zahlreiche neue Stammzertifikate ausgestellt, natürlich lange vor Ablauf. Das funktioniert gut in der Welt der persönlichen Geräte, wo die meisten Leute häufig auf neue Telefone upgraden und ihre Laptops per Mausklick aktualisieren, damit sie über diese neueren Zertifikate verfügen. Aber im Unternehmen kann es weitaus schwieriger oder sogar unmöglich sein, ein Gerät zu aktualisieren – und in Branchen wie der Fertigung stehen Maschinen möglicherweise auch 20 bis 25 Jahre später noch in der Fabrikhalle.
Ohne Internetverbindung „sind diese Geräte nichts wert“, sagt Kevin Bocek, Vizepräsident für Sicherheitsstrategie und Bedrohungsintelligenz bei Venafi, Anbieter von maschinellen Identitätsmanagementdiensten. „Sie werden im Wesentlichen zu Bausteinen [wenn ihre Stammzertifikate ablaufen]: Sie können der Cloud nicht mehr vertrauen, keine Befehle entgegennehmen, keine Daten senden, keine Software-Updates akzeptieren. Das ist ein echtes Risiko, insbesondere wenn Sie Hersteller oder Betreiber sind.“
Ein Warnschuss
Das Risiko ist nicht theoretisch. Am 30. September wurde ein Stammzertifikat von der großen Zertifizierungsstelle ausgestellt Lass uns verschlüsseln abgelaufen – und Mehrere Dienste im Internet brachen zusammen. Der Ablauf war keine Überraschung, da Let’s Encrypt seine Kunden schon seit langem davor warnte, auf ein neues Zertifikat zu aktualisieren.
Dennoch schrieb Helme in einem Blog-Post 10 Tage vor Ablauf: „Ich wette, an diesem Tag werden wahrscheinlich ein paar Dinge kaputt gehen.“ Er hatte recht. Einige Dienste von Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 und vielen weiteren Unternehmen scheiterten.
„Und das Seltsame daran“, sagt Helme zu Dark Reading, „ist, dass die Orte, an denen Let’s Encrypt verwendet wird, per Definition sehr modern sind – Sie können nicht einfach auf deren Website gehen, Ihre 10 US-Dollar bezahlen und Ihr Zertifikat manuell herunterladen.“ Dies muss von einer Maschine oder über deren API erfolgen. Diese Benutzer waren fortgeschritten und es war immer noch ein wirklich großes Problem. Was passiert also, wenn wir [Abläufe] von den älteren Zertifizierungsstellen sehen, die diese großen Unternehmenskunden haben? Der Folgeeffekt wird sicherlich größer sein.“
Der Weg nach vorne
Aber bei einigen Änderungen muss dieser Dominoeffekt nicht eintreten, sagt Bocek von Venafi, der die Herausforderung als eine Herausforderung sieht, die Wissen und Befehlskette betrifft – er sieht Lösungen also sowohl in der Sensibilisierung als auch in der frühen Zusammenarbeit.
„Ich freue mich sehr, wenn ich sehe, wie sich Chief Security Officers und ihre Teams auf Hersteller- und Entwicklerebene engagieren“, sagt Bocek. „Die Frage ist nicht nur: ‚Können wir etwas entwickeln, das sicher ist?‘, sondern: ‚Können wir es weiterhin betreiben?‘ Oft gibt es eine gemeinsame Verantwortung für den Betrieb dieser hochwertigen vernetzten Geräte, daher müssen wir uns darüber im Klaren sein, wie.“ Wir werden das als Unternehmen abwickeln.“
Ähnliche Gespräche finden im Infrastruktursektor statt, sagt Marty Edwards, stellvertretender CTO für Betriebstechnologie und IoT bei Tenable. Er ist von Beruf Wirtschaftsingenieur und hat für Versorgungsunternehmen und das US-Heimatschutzministerium gearbeitet.
„Ehrlich gesagt ist im industriellen Bereich mit Versorgungsunternehmen und Fabriken jedes Ereignis, das zu einem Produktionsausfall oder -verlust führt, besorgniserregend“, sagt Edwards. „In diesen Fachkreisen befassen sich die Ingenieure und Entwickler also mit Sicherheit mit den Auswirkungen [ablaufender Stammzertifikate] und wie wir sie beheben können.“
Obwohl Edwards betont, dass er hinsichtlich dieser Gespräche und der Forderung nach Überlegungen zur Cybersicherheit während des Beschaffungsprozesses „optimistisch“ ist, glaubt er, dass auch eine stärkere Regulierungsaufsicht erforderlich ist.
„So etwas wie ein grundlegender Pflegestandard, der vielleicht auch eine Formulierung darüber enthält, wie die Integrität eines Zertifikatssystems aufrechterhalten werden kann“, sagt Edwards. „Es gab beispielsweise Diskussionen zwischen verschiedenen Standardisierungsgruppen und Regierungen über die Rückverfolgbarkeit geschäftskritischer Geräte.“
Was Helme anbelangt, würde er es lieben, wenn Unternehmensmaschinen auf eine Weise auf Aktualisierungen vorbereitet würden, die realistisch und für den Benutzer oder den Hersteller nicht mühsam ist – vielleicht alle fünf Jahre ein neues Zertifikat ausgestellt und ein Update heruntergeladen. Aber Hersteller werden keinen Anreiz dazu haben, es sei denn, Unternehmenskunden drängen darauf, stellt er fest.
„Generell denke ich, dass die Branche hier Abhilfe schaffen muss“, stimmt Edwards zu. „Die gute Nachricht ist, dass die meisten dieser Herausforderungen nicht unbedingt technologischer Natur sind. Es geht vielmehr darum, zu wissen, wie alles funktioniert, und die richtigen Leute und Verfahren einzusetzen.“
