Digitale Zertifikate, eine unterschätzte IT Security Komponente
Spätestens seit Mai 2022 ist bekannt, welche Auswirkungen unbemerkt abgelaufene digitale Zertifikate haben können. Es ist jetzt schon eine ganze Woche lang nicht möglich, in Supermärkten oder Tankstellen an Verifone H5000 Terminals zu bezahlen. Es kommt bei ec Kartenzahlung zu Störungen.
Anfangs war ein unbemerkt abgelaufenes Zertifikat im Verdacht, das bundesweit bestehende Problem verursacht zu haben. Momentan heißt es vom Hersteller, ein Softwarefehler sei verantwortlich. Die Auswirkung für den Kunden am Zahlterminal ist allerdings die gleiche. Eine Kartenzahlung ist nicht möglich.
Lesen Sie in diesem Magazinbeitrag, an welchen elementar wichtigen Stellen Zertifikate zum Einsatz kommen und was sie bewirken.
Bundesweit ist derzeit an vielen Zahlterminals keine Kartenzahlung möglich.
Was sind digitale Zertifikate?
Ein digitales Zertifikat bescheinigt die Identität einer Person, eines Devices oder eines Unternehmens bei der Kommunikation im Internet. Es ist vergleichbar mit einem Personalausweis, mit dem die Identität zweifelsfrei nachgewiesen werden kann.
Sie kommen immer dann zum Einsatz, wenn Maschinen miteinander kommunizieren und Daten austauschen. Sie sind wichtig, damit die Maschinen erkennen, mit wem sie sprechen. Denn nur mit legitimierten Gesprächspartnern werden Daten ausgetauscht.
Das dient auch der Datensicherheit, denn so kommen die Daten an die richtigen Stellen. Stimmt etwas mit einem Zertifikat nicht (Details siehe Was bedeutet „Zertifikatsfehler?“) kann die Folge sein, dass ein Verbindungsaufbau abgelehnt wird.
Darüber hinaus sind digitale Zertifikate zuständig für die Verschlüsselung der übertragenen Daten. D.h. Daten werden nicht mehr offen (wie Postkarten für alle lesbar) durch das Web verschickt, sondern werden verschlüsselt.
Beim richtigen Empfänger angelangt, werden die Daten wieder entschlüsselt. Digitale Zertifikate helfen also beim Schutz der Daten. Wenn sie nicht richtig gehandhabt werden, kann es u.a. zu Systemausfällen kommen.
Bei Banken könnte das eine Störung der Geldautomaten sein. Bei Börsenhändlern eine Nicht-Erreichbarkeit der Trading-Plattform. Im Einzelhandel kann es bedeuten, dass eine EC Zahlung nicht möglich ist.
Was bedeutet “Zertifikatsfehler”?
Ein fehlerhaftes Zertifikat kann mehrere Ursachen haben. Das Zertifikat kann abgelaufen oder gelöscht worden sein oder wegen eines Softwarefehlers nicht lesbar.
Zertifikat abgelaufen
Digitale Zertifikate haben eine Laufzeit, innerhalb derer sie gültig sind. Nur, wenn eine Maschine über ein gültiges Zertifikat verfügt, wird sie als valider Gesprächspartner anerkannt. Ein ungültiges (z.B. abgelaufenes) Sicherheitszertifikat führt dazu, dass die gewünschte Verbindung erst gar nicht aufgebaut oder verweigert wird.
Digitale Zertifikate in großen Netzwerken.
Wenn viele Zertifikate zur gleichen Zeit ausfallen, sind auf einen Schlag alle betroffenen Endgeräte nicht mehr erreichbar. Das kann auch passieren, wenn das gleiche Zertifikat auf vielen Endgeräten (Clients) in einem Netzwerk angewendet wird.
Alternativ kann vorkommen, dass das Zertifikat eines zentralen Geräts im Rechenzentrum abgelaufen ist. Wenn es als zentrale Anlaufstelle für alle verteilten Endgeräte fungiert, wird auch wieder der Kontakt verweigert. Digitale Transaktionen können nicht mehr durchgeführt werden.
Bleiben wir beim Beispiel des mobilen Bezahlens. In beiden Fällen könnten Zahlprozesse nicht mehr durchgeführt werden können. Grund dafür ist, dass sich das stationäre oder mobile Kartenlesegerät nicht mehr mit dem Zahlungsprovider oder der Bank verbinden kann. Es kommt zu abgebrochenen Transaktionen, die Zahlung kann nicht mehr durchgeführt werden.
Zertifikat gelöscht
In manchen Fällen kann es notwendig werden, Zertifikate zu löschen. Beispielsweise, wenn es mit falschen Parametern beantragt oder von der Zertifizierungsstelle falsch ausgestellt wurde. Um den Missbrauch so eines Zertifikats zu vermeiden, wird es revoziert.
Allerdings muss es dann durch ein neues, richtiges Zertifikat ersetzt werden. Und natürlich müssen alle Endgeräte auf das Neue umkonfiguriert werden. Für unser Beispiel bedeutet das: Geschieht dies nicht, sind kontaktloses Bezahlen per electronic cash oder andere digitale Transaktionen nicht mehr möglich.
Zertifikate wegen eines Softwarefehlers nicht lesbar
In diesem Fall ist mit dem Zertifikat alles in Ordnung. Die übertragenen Daten sind also ausreichend geschützt. Allerdings erkennt die Gegenstelle das Zertifikat nicht. Das kann der Fall sein, wenn ein Software-Update nicht eingespielt wurde.
Sind bestimmte Zahlungsterminals von den Problemen bei Zahlung per ec Karte nicht betroffen, wurde möglicherweise rechtzeitig ein Software-Update eingespielt.
Aber es gibt noch weitere mögliche Gründe, dass ein Verbindungsaufbau nicht möglich ist:
- durch Ausfall oder nach einer Aktualisierung der Infrastruktur (Nach Einführung einer neue Firewall können z. B. Portfreigaben fehlen)
- aufgrund zu hoher Systemlast
- aufgrund von Wartungsarbeiten
- wegen eines Cyber-Angriffs
Digitale Zertifikate überall
Die Einsatzfelder digitaler Zertifikate sind so vielfältig wie das Wirtschaftssystem, in dem sie zum Einsatz kommen. Im Folgenden ein paar Beispiele aus dem Alltag:
- Finanzindustrie: Digitale Bezahlung über Giro- oder Kreditkarte
- Börsenhandel: Über Web aufrufbare Tradingplattformen
- Medizin: Medizinische Geräte auf der Intensivstation
- Logistik: In teil- und vollautomatisierten Lagersystemen
- Automobilindustrie: Hochwertige Automobile benötigten schon seit ca. 5 Jahren mindestens 2-3 Zertifikate.
- Juristisches: digitale Signatur von Dokumenten
- Mobilität u.a.: Digitale Kameras zur Überwachung
- In allen Branchen: Verschlüsselung von E-Mails bei der Datenübermittlung
In den letzten Jahren hat der digitale Datenverkehr, unter anderem durch verstärktes Arbeiten von Zuhause enorm zugenommen. Dadurch steigen die Einsatzbereiche digitaler Zertifikate. Gleichzeitig gibt es immer mehr Möglichkeiten um Schwachstellen auszunutzen, wenn die Zertifikate nicht richtig gemanagt werden.
Besonderer Schutzbedarf digitaler Zertifikate
Da Zertifikate überall im digitalen Datenaustausch eine zentrale Rolle spielen, kommt ihnen ein besonderer Schutzbedarf zu. Um einen reibungslosen Datenaustausch zu gewährleisten, müssen ihre spezifischen Attribute und Ausprägungen überwacht werden.
Dazu gehören unter anderem:
- Ablaufdatum: unbedingt im Blick behalten, um Systemausfälle zu vermeiden
- Verschlüsselungsgrad: Ist die digital übertragene Kommunikation ausreichend verschlüsselt? Von Jahr zu Jahr steigen die Rechenleistung und damit die mathematischen Fähigkeit von Computern an. Sogar Quanten-Computern werden entwickelt.
Je höher ihre Fähigkeit, desto schneller können Verschlüsselungsalgorithmen von Angreifern geknackt werden. Der komplette Bestand an Zertifikaten sollte regelmäßig überprüft werden. - Zertifikatsinformation und Ausprägung: Zertifikate enthalten Daten über Identitäten von Personen und Maschinen. Die Richtigkeit dieser Informationen muss überwacht und gewährleistet werden.
- Besitzer von Zertifikaten: Wer hat Zugriff auf digitale Zertifikate und sensible Daten über die Verschlüsselung? Verwenden nur berechtigte Personen das Zertifikat oder ist dieses auch Dritten zugänglich?
Hier besteht die Herausforderung, dass Zertifikate nur auf sicherem Wege ihrem Besitzer bzw. den Zielsystemen zugänglich gemacht werden. Darüber hinaus sollte der Einsatz von Zertifikaten überwacht werden, um Abweichungen zu erkennen. - Heterogenes Einsatzgebiet: Rechenzentren und Netzwerke sind hochkomplexe, diverse Umgebungen. Aus dieser Ziel-Infrastruktur entstehen die unterschiedlichsten Anforderungen an digitale Zertifikate. Sie alle müssen zentral gebündelt und im Einklang mit den hauseigenen Sicherheits-Vorgaben gemanaged werden.
Mehr zu diesem Thema lesen Sie unter Zertifikatsmanagement mit essendi xc oder Warum Zertifikatsmanagement?
essendi xc – Digitale Zertifikate im Blick
Nutzen Sie das Potenzial von essendi xc für Transparenz und Automatisierung:
essendi xc ist eine Plattform für das Management digitaler Zertifikate. Sie integriert sich nahtlos in die bereits bestehende Infrastruktur und Prozesse in ihrem Unternehmen.
Wir sind ein kompetenter Anbieter im Bereich digitale Zertifikate und Zertifikatsmanagement. Unser Zertifikatsmanagement-Tool essendi xc hilft, ablaufende Zertifikate zu verhindern und so Systemausfälle zu vermeiden:
- Überwachung der Laufzeit Ihrer Zertifikate. Behalten Sie die Ablaufzeiten im Blick
- Prozessautomatisierung bei Beantragung und Ausbringung
- Full Lifecycle Management über den kompletten Zertifikatsbestand
- Software made in Germany
- Bewährt bei Global Playern
Sprechen Sie mit uns zu Ihren aktuellen Herausforderungen im Zertifikatsmanagement. Gerne demonstrieren wir Ihnen essendi xc in einer Live Demo. Wir freuen uns auf Sie