Verschlüsselung in den Griff bekommen
Kryptografie gilt normalerweise nicht als „sexy“ Thema im komplexen Bereich der Cybersicherheit. Wenn Kryptografie in einer IT-Sicherheits-Roadmap auftaucht, ist sie oft nur ein Kästchen, das abgehakt werden muss; ein Hinweis im Rahmen eines Audits oder ein überfälliges Update für eine Komponente, die nicht zu einem früheren Standard „zurückfallen“ soll. Und immer häufiger stoßen wir in der Cloud auf etwas, das einfach nicht funktionieren will, wenn man die Kryptografie unberücksichtigt lässt. Dieser Fall scheint immer häufiger aufzutreten, und wenn man das Problem heute aufschiebt, wird es nicht verschwinden. Dieses Thema bereitet in allen Ecken der Sicherheitswelt viel Kopfzerbrechen, was zum Teil auf verwirrende Vorschriften und unverständliche technische Anweisungen zurückzuführen ist. Es ist immer eine lästige Pflicht, ohne offensichtlichen Mehrwert, was es nicht einfacher macht, Entscheidungsträger zu überzeugen, dafür Geld locker zu machen.
Das Lamento der Sicherheitsexperten ist meist berechtigt. Aber… Wenn man bedenkt, dass fast jedes moderne Sicherheitsprodukt eine Menge Kryptografie unter der Haube hat – mit all der Komplexität, die das mit sich bringt – dann ist es nur logisch, dass das Thema immer wieder auftaucht. Und jetzt, wo Sie Ihre Infrastruktur in die Cloud verlagert haben, können Sie nicht einfach etwas Unzureichendes zusammenschustern – oder die Kryptografie ganz weglassen, wie früher. Es ist noch gar nicht so lange her, dass Unternehmen Verschlüsselung in ihrem eigenen Netzwerk „aus Sicherheitsgründen“ verboten haben. Bis zum Jahr 2015 war das fast schon gängige Praxis. Der Gedanke hält sich bis heute in einigen Köpfen, denn Verschlüsselung macht eine Überprüfung unmöglich. Das war’s dann mit Ihrem Virenschutz und Ihrer Intrusion Protection.
Es ist ein kompliziertes Puzzle, und wenn man denkt, dass man fertig ist, bleiben immer noch einige Teile übrig. Das Thema ist so universell, dass man es fast als lebenswichtige Technologie bezeichnen kann. Das bedeutet, dass die Kenntnis und Beherrschung der Kryptografie für eine wirksame Sicherheit unerlässlich ist.
Im Bereich der Computersicherheit ist die Kryptographie de facto eines der wichtigsten Themen, weil sie an so vielen Stellen unter der Oberfläche schlummert, es aber nur wenige Organisationen gibt, die ihr einen ausdrücklichen administrativen Verantwortlichen zuweisen. Die Zuständigkeit wird daher häufig zwischen Sicherheit und IT verlagert. Das führt zu Reibung und Trägheit, und die Dinge beginnen zu scheitern.
In Anbetracht dessen ist es jetzt an der Zeit, dass wir alle diese bittere Pille schlucken und uns in das Thema vertiefen.
Was wir dabei beobachten, sind die Nebeneffekte von drei grundlegenden Entwicklungen:
- Upscaling: Die Zahl der Anwendungsgebiete von Kryptografie nimmt aufgrund von Zero Trust und der Ausweitung von mobilem Arbeiten, Telearbeit und der Cloud ständig zu; Daten, die außerhalb der eigenen Infrastruktur gespeichert werden, müssen für die Speicherung und den Transport verschlüsselt werden (in unserem typischen Fachjargon: Deperimiterisation). Gleichzeitig sind kryptografische Schlüssel für immer kürzere Zeiträume gültig, was eine häufiger erfolgende Rotation und andere Wartungsarbeiten erforderlich macht, allein schon aus Gründen der Verfügbarkeit. Diese wachsende Bedeutung hat dazu geführt, dass das Thema für die Aufsichtsbehörden (und damit für Compliance-Verpflichtungen wie NIS2 und DORA) und für die betriebliche IT (gezwungen durch Störungen und Migrationen) unausweichlich geworden ist.
- Verlagerung der Sicherheit von der Netz- und Infrastrukturebene (Anwendungen, Verzeichnisse, RBAC, Firewalls und Proxys) zunehmend auf die Datenebene (Speicherung und Transport). Dieser Prozess beschleunigt sich, weil ein größerer Teil der Daten in separaten Ordnern gespeichert wird, anstatt in einer logischen Sammlung in Anwendungen und Datenbanken. Da wir nicht genau wissen, was und/oder wo diese „unstrukturierten“ Daten liegen (und somit die Risiken nicht quantifizieren können), müssen wir die allgemeinen Sicherheitsnetze verstärken: Wir verschlüsseln die Speicherorte der Daten („data at rest“, oder das Dateisystem) und die Orte, durch die sie sich bewegen (das Netz, oder „data in transit“). Noch mehr Komplexität.Die Sicherheitsindustrie verspricht auch eine zukunftsweisende Verschlüsselung von „Data in Use“, manchmal in Kombination mit einer Verschlüsselung auf der Ebene der einzelnen Datei; in DLP, Kapselungen und vor allem der „Sovereign Cloud“ – um ausländische Geheimdienste und Big Tech davon abzuhalten, uns auszuspionieren. Sie sprechen auch gerne über C2PA – eine neue Kryptotechnik zum Nachweis der Authentizität digitaler Inhalte; eine logische Lösung in Zeiten von Deepfakes und KI-Desinformation. Das klingt kompliziert und ist es auch: Es garantiert zusätzliche Komplexität, die Ihr Unternehmen bewältigen muss.
- Überfällige Wartung. Wir durchlaufen derzeit den Übergang von der ersten Generation der Kryptotechnologie (ab etwa 2000) zur Einführung der zweiten Generation (ab etwa 2015, jedoch bei weitem heute noch nicht abgeschlossen). Der Übergang geht langsam vonstatten, weil er äußerst anspruchsvoll ist, und wir beginnen bereits mit den ersten Migrationen zur dritten Generation der Kryptotechnik. Bei dieser dritten Generation geht es vor allem um kurzlebige Kryptoschlüssel und modernere „Post-Quantum“-Algorithmen. Apropos kompliziert: Der sich abzeichnende Durchbruch von Quantencomputern macht es möglich, die Schlüssel für ältere Algorithmen zu knacken, so dass wir im Grunde alles, was wir heute verwenden, durch die neue Post-Quantum-Kryptografie ersetzen müssen.
Oh Mann.
Kryptographie in den Griff kriegen
Noch nicht jeder ist zu der Einsicht gelangt, dass das Management und das Beherrschen von Kryptographie („Krypto-Transparenz“) eine absolute Notwendigkeit für jede sinnvolle kryptographische Anwendung im Sicherheitsbereich ist. Um es ganz klar zu sagen: Wenn man die Kryptographie falsch einsetzt, ist die Sicherheit der eigenen Projekte wahrscheinlich nicht mehr gewährleistet. Sie wird oft als eine wartungsarme Technologie dargestellt, insbesondere von den Tool-Verkäufern. Aber die Sicherheit, die sie bietet, ist in Wirklichkeit das Ergebnis des sicheren Umgangs mit Keys und der richtigen Organisation von Prozessen und Systemen. In dem Maße, in dem der Umfang zunimmt und immer breitere Anwendung findet, ist ein gründliches Verständnis der Technologie von entscheidender Bedeutung. Und das erfordert ein kreatives und spezialisiertes Team, das Improvisationen beherrscht. Leider haben nur die wirklich großen Unternehmen die nötige Kapazität, um dies zu bewältigen. Der Rest muss mit einem Langzeitanbieter zusammenarbeiten, der über ein solches Team verfügt.
Dies ist der wichtigste Faktor, der unseren Kryptodienstleistungen zugrunde liegt: Wir sind ein Sparringspartner für Innovation und Wachstum, mit einer klaren und vertrauten Prozessorganisation, gestützt durch eine geeignete Prozessautomatisierung.
Unser Ansatz
Um die Kryptographie in einer Organisation in den Griff zu bekommen, ist ein struktureller Ansatz erforderlich. Unserer Erfahrung nach besteht dieser Ansatz aus Discovery, Onboarding (Übernahme der Kontrolle) und Governance (gutes Management).
Discovery
Ohne Einblick in die Bereiche, in denen Sie Verschlüsselung einsetzen (und in denen Sie dies noch nicht tun, aber tun sollten), werden Sie nicht in der Lage sein, eine angemessene, zeitgemäße Sicherheit zu erreichen, geschweige denn aufrechtzuerhalten. Discovery ist ein hybrider Prozess zwischen einem technischen Scan Ihres eigenen Netzes, der Abfrage maßgeschneiderter Internetdienste (die von der OSINT-Welt bereitgestellt werden), der Befragung von IT-Spezialisten und Lieferanten sowie der Analyse von Designs. Discovery hilft Ihnen dabei, Folgendes zu ermitteln:
- Wo Sie Verschlüsselung verwenden – und wie
- Wo Sie keine Verschlüsselung verwenden, dies aber auf der Grundlage Ihrer Sicherheitsrichtlinien und Architekturprinzipien tun sollten
Das Wort „Orchestration“ bei einem SIEM/SOAR kommt nicht von Ungefähr: In einem Orchester arbeiten viele verschiedene Instrumente harmonisch zusammen, um ein beeindruckendes musikalisches Werk zu schaffen. Ähnlich verhält es sich mit der Orchestrierung in der IT-Sicherheit: Hier koordiniert Sentinel die Daten eines SIEM, reagiert per SOAR automatisch darauf und sorgt per Defender sofort für die Gefahrenbeseitigung. Jedes Tool kennt seinen Part und setzt zum richtigen Zeitpunkt an. Und das funktioniert wie folgt:
- Zentralisierte Datenerfassung: Sentinel aggregiert mit SIEM-Funktionen sämtliche Daten (nicht nur Sicherheitsdaten) aus einer Vielzahl von Quellen – von Endpunkten über Cloud-Dienste bis hin zu Log-Dateien von Anwendungen. Beispielsweise überwacht das Microsoft SIEM Anmeldedaten über verschiedene Plattformen hinweg, um ungewöhnliche Zugriffsversuche, die etwa auf Credential Stuffing hindeuten könnten, frühzeitig zu erkennen.
- KI-basierte Erkennungsalgorithmen: Durch die Einbindung von Defender XDR profitiert das Sentinel SIEM von fortgeschrittenen Erkennungsmechanismen, die auf KI und maschinellem Lernen basieren. So identifiziert und priorisiert Sentinel automatisch komplexe Angriffsketten, die herkömmliche Erkennungsmethoden umgehen könnten.
Onboarding
Onboarding umfasst die verschiedenen Schritte, die Sie auf der Grundlage der Erkenntnisse aus der Discovery ergreifen. Je nachdem, was Sie feststellen, kann dies die Registrierung (im Asset Management), die Einbindung in die Monitoring- und Kontinuitätsplanung, das Einleiten von Optimierungsmaßnahmen oder das Hinzufügen von Verschlüsselungsmaßnahmen umfassen – alles Schritte, die auch zum Security Management gehören. Onboarding besteht aus den folgenden Schritten:
- Aufnahme in das Asset-Inventar – die CMDB, mit dem Status (in use/in management ( oder nicht) /sollte Verschlüsselung verwenden, tut es aber nicht (oder verwendet sie falsch), plus das Datum der Einbindung.
- Eingabe der Basisdaten.
- Der Budget-Owner: Wer zahlt?
- Der verantwortliche Administrator (und die Organisation): Wer betreut?
- Die Funktion des Systems („landscape“): wer und was verwendet es??
- Abschluss der Verwaltung und Behebung von Schwachstellen.
- Behebung von Fehlern und Mängeln
- Monitoring und regelmäßige Inspektionen
- Automatisieren, wo dies rentabel und machbar ist
- Kostenverteilung
Im Idealfall bräuchte man Discovery nicht, da die korrekte Organisation der Nutzung kryptografischer Ressourcen in den Erstellungsprozess der IT-Tools eingebettet ist. Aber in der realen Welt … ist das normalerweise nicht der Fall. Und genau deshalb brauchen Sie Discovery.
In größeren Unternehmen führt angesichts des raschen Anstiegs der Arbeitsbelastung kein Weg daran vorbei, auch kurzfristig einen Factory-Line-Ansatz zu verfolgen. Bei der Optimierung dieses Prozesses gilt es, keine Zeit zu verlieren. Die Festlegung eines Standards für das Onboarding ist ein guter Anfang.
Governance: die Kontrolle behalten
In den Turbulenzen der heutigen Technologie ist es das Wichtigste, für die Kundenorganisation relevant zu bleiben, indem geeignete Produkte, robuste Dienstleistungen und die richtige zukunftssichere Supportleistungen angeboten werden. Der Begriff dafür lautet heute „Krypto-Agilität“: die Fähigkeit, durch Antizipation, Planung und Expertise am Puls der neuen Entwicklungen zu bleiben.
Um Kryptografie in den Griff zu bekommen – und zu behalten – sind alle Serviceebenen gefragt:
Der CA Landscape Level
Die gängigsten PKI- Betreiber haben sowohl interne als auch öffentliche Zertifizierungsstellen (CAs). Die Erstere bedient den internen Name Space – das LAN – und ist oft ein „Nebenjob“ der IT-Abteilung. Die Letztere befasst sich mit Zertifikaten, die für das Internet beschafft werden, und wird extern vergeben. Das bedeutet aber nicht automatisch, dass es korrekt ausgeführt wird und auch nicht, dass es immer sicher abläuft. Oft machen es Abteilungen und Projektträger nebenbei. Sie nennen das ‘best effort’, was bedeutet, dass es manchmal gut läuft.
Aber meistens klappt das nicht.
Die interne CA ist für die Konsolidierung, Einbettung und Verbesserung zuständig, wo dies erforderlich ist. Ein Austausch ist nur dann erforderlich, wenn eine Verbesserung nicht mehr möglich ist, das Ende der wirtschaftlichen Nutzungsdauer naht oder der Anbieter keinen Support mehr anbietet. Die Konsolidierung zu einer einzigen Infrastruktur kann ein guter Plan sein, wird aber zu oft als Ziel und nicht als Mittel gesehen. Es kann praktischer sein, den verschiedenen CAs ein einziges Frontend in einem Portal zu geben. Dabei kann es sich um eine separate Website handeln, aber Sie könnten auch in Erwägung ziehen, sie zum Bestandteil einer Identity Governance-Anwendung oder eines Helpdesk-Portals zu machen.
Der RA Facilities Level
Wir bezeichnen die Prozessseite der Kryptografie manchmal als Registrierungsstelle (RA) und den Bereich als Certificate Governance. Die RA ist der Ort, an dem die Security, die IT und das Business für den täglichen Betrieb zusammenkommen – wo Keys angefordert und ausgestellt werden und wo die notwendigen Autorisierungen, wenn möglich, in einem Online-Workflow („Request and Attestation“) verarbeitet werden.
Das Backend der RA sollte so weit wie möglich automatisiert werden. Das bedeutet, dass die kryptografischen Schlüssel nach dem Einschalten eines Client-Systems automatisch und pünktlich ersetzt werden sollten. Das spart eine Menge Zeit und Mühe, besonders jetzt, wo die Gültigkeitsdauer der Schlüssel immer kürzer wird. Leider geschieht diese Integration nicht von selbst, daher sollte sie ein Standardschritt im Onboarding-Prozess sein. Die Unterstützung der verfügbaren Protokolle wird zwar immer üblicher, ist aber sicherlich noch nicht die Normalität. Der kryptografische Dienstleister wird seinen Teil der Arbeit in diesem Bereich übernehmen müssen.
Ein fester Bestandteil des Onboarding-Prozesses ist die Organisation des Monitoring-Service („Red und Blue Teams“ aus IT und Sicherheit) für den Krypto-Nutzer. Auf diese Weise können Sie ein strukturelles Augenmerk auf die aktuelle Nutzung legen, Benutzer benachrichtigen, wenn Zertifikate, die nicht automatisch erneuert werden, ablaufen, und Zertifikate und den Zugang zu Fachwissen zur Unterstützung von SOC-Analysten widerrufen.
Und schließlich – insbesondere im Hinblick auf NIS2 – weist das Onboarding den Kryptographie-Benutzer dem Disaster Recovery und dem Notfallmanagement zu. Das gilt natürlich sowohl für die zentralen internen Systeme (CA und RA) als auch für die angeschlossenen Clients. Das ist alles andere als trivial: Zertifikate gewähren privilegierten Zugang zu Systemen wie APIs, RDP und SSH, sind aber bei vielen Sicherheitsexperten selten im Fokus, was sie zu einem primären Ziel von Angriffen macht. Es ist daher von entscheidender Bedeutung, dass Sie wirksame Notfallverfahren implementieren, sie pflegen und testen.
Fazit
Es ist offensichtlich, dass wir eine Menge Arbeit vor uns haben. Stellen Sie also einen Plan auf, wählen Sie einen effektiven Verantwortlichen und machen Sie sich darauf gefasst, dass dies eine anspruchsvolle Angelegenheit ist, bei der Sie mit Sicherheit eine Menge Leichen aus dem Keller holen werden. Aber es führt kein Weg daran vorbei, und wenn Sie es heute aufschieben, wird es morgen nur noch dringlicher.
Wenn Sie Hilfe brauchen, scheuen Sie sich nicht, sich bei uns zu melden!