Sicherheitsvorfälle mit gefälschten Zertifikaten werden immer häufiger. Man denke an den erfolgreichen Angriff auf den inzwischen insolventen Zertifikatsanbieter DigiNotar bis hin zur Flame-Malware. Damit rückt das Thema des Enterprise Key/Certificate Management in den Blickpunkt.
Die Liste der Probleme mit Sicherheitszertifikaten ist lang. Hierzu zählen auch administrative Herausforderungen wie die – aus der Flame-Malware resultierenden – endende Unterstützung von Schlüsseln mit weniger als 1024 Bit Länge durch Microsoft.
Die Fragen in diesem Zusammenhang sind eigentlich ganz einfach – sie zu beantworten aber keineswegs. Wo werden überall Schlüssel genutzt? Wo sind sie gespeichert? Wie sind sie geschützt? Wie kann man sie bei Bedarf austauschen? Dabei geht es sowohl um die Schlüssel für symmetrische Verschlüsselung als auch um die privaten Schlüssel im Bereich der Public-Key-Verfahren.
Letztere sind ja genau genommen Public/Private-Key-Verfahren mit einem zusammengehörigen Paar von Schlüsseln, von denen einer eben privat und entsprechend gut zu schützen und der andere öffentlich ist. Public-Key-Verfahren sind insbesondere für die digitalen Zertifikate, die beispielsweise bei SSL/TLS genutzt werden, von Bedeutung.
Wenn man den Fragen nachgeht, sieht man sich einerseits mit viel Arbeitsaufwand konfrontiert. Man wird aber vor allem meist auch einige unerfreuliche Überraschungen erleben, wenn Schlüssel nicht ausreichend gesichert sind oder längst einmal ausgetauscht gehört hätten. Dabei gibt es durchaus Lösungsmöglichkeiten, um zufriedenstellende Antworten zu erhalten.
Schlüssel- und Zertifikatsmanagement ausweiten
Produkte für das Enterprise Key/Certificate Management sind in einigen IT-Teilbereichen wie dem Storage Management durchaus etabliert, werden aber immer noch viel zu selten flächendeckend eingesetzt. Dabei können solche Lösungen Schlüssel finden, sicher verwalten und das Management vereinfachen und in vielen Bereichen automatisieren.
Wer seine „Schlüssel zum Königreich“ adäquat schützen möchte, muss etwas dafür tun. Die Verwendung von Enterprise Key/Certificate Management ist hier sehr überlegenswert, zusammen mit einem HSM (Hardware Security Module) für den optimalen Schutz der sensitiven Informationen. Und natürlich braucht es wie immer nicht nur Technologie, sondern in allererster Linie Organisation und Prozesse dafür.
Mit letzteren lassen sich, konsequent gemacht, natürlich viele Risiken im Bereich des Schlüsselmanagements auch ohne ergänzende Produkte adressieren. Einfacher und sicherer wird es aber, wenn es neben Organisation und Prozessen auch eine geeignete Technologie gibt.