Maschinenidentitäten sind die Grundlage für das Vertrauen zwischen Maschinen und deshalb auch bei Cyberkriminellen sehr begehrt.
Im Internet, in den diversen Clouds und in den Netzwerken von Unternehmen gibt es zwei Arten von Akteuren: auf der einen Seite Menschen, die Benutzernamen, Passwörter oder sogar Biometrie verwenden, um zu beweisen, wer sie sind und welche Berechtigungen sie haben. Auf der anderen Seite stehen Maschinen, die mit anderen Maschinen kommunizieren. Der Begriff der Maschine ist dabei sehr weit gefasst: Gemeint sind nicht nur Hardware und Geräte wie Server und IoT-Devices, sondern auch Applikationen und Cloud-Services bis hin zu Algorithmen und Containern – also vor allem Software.

Schlüssel und Zertifikate sorgen für Vertrauen

Statt Benutzernamen und Passwörtern kommen hier maschinelle Identitäten ins Spiel. Das sind wie beim Menschen bestimmte Merkmale, die sie voneinander unterscheiden. Eine Maschine benötigt eine Identität, um Zugriff auf bestimmte Systeme und Daten zu erhalten, Code auszuführen, Daten zu verschlüsseln oder andere Maschinen zu kontrollieren. Die Basis der maschinellen Identitäten sind digitale Zertifikate und kryptografische Schlüssel, die für jede Maschine einzigartig sind. Die Identitäten bauen das Vertrauen auf, das für eine sichere Kommunikation unerlässlich ist. Hinsichtlich der Investitionen gibt es jedoch eine frappierende Diskrepanz: Unternehmen geben jährlich mehr als 10 Milliarden US-Dollar für den Schutz und die Verwaltung von Passwörtern aus, investieren aber fast nichts in Maschinenidentitäten. Das Bewusstsein für die Bedeutung maschineller Identitäten ist noch wenig verbreitet, ebenso das Wissen, wie damit umzugehen ist.

Maschinelle Identitäten wie TLS-Schlüssel und -Zertifikate, SSH-Schlüssel und API-Schlüssel ermöglichen es, Geräte, Cloud Services und Software sicher zu authentifizieren. Mit Code-signierten Zertifikaten lassen sich zudem auch Updates identifizieren und als vertrauenswürdig einstufen, noch bevor sie bereitgestellt werden. Maschinelle Identitäten finden sich folglich in den verschiedensten Segmenten: Websites, Cloud, mobile Devices bis hin zu künstlicher Intelligenz und Robotern.

Ausfälle durch abgelaufene Zertifikate

Viele Unternehmen haben aufgrund der schieren Masse an Maschinen und Anwendern keinen Überblick darüber, welche Schlüssel und Zertifikate sich aktuell im Umlauf befinden, welche Geräte sie verwenden und wann sie ablaufen. Eine große Bank etwa kommt leicht auf eine Viertel Million maschinelle Identitäten. Anstatt auf Managementlösungen zu setzen, führen die zuständigen Sicherheitsverantwortlichen häufig noch manuelle Listen. In solchen Listen werden bei dem rasanten Zuwachs neuer Maschinen leicht Zertifikate und Schlüssel vergessen oder falsch zugeordnet. Dazu kommt: Die Zertifikate der maschinellen Identitäten haben mehrere Merkmale mit einem Personalausweis gemein: zum Beispiel das Ablaufdatum. Viele Unternehmen, die gar nicht wissen, wo welche maschinellen Identitäten vorhanden sind, werden früher oder später von abgelaufenen Zertifikaten überrascht. In einer Studie von Venafi, ein auf maschinelle Identitäten spezialisiertes Unternehmen, kam es bei fast zwei Dritteln der befragten Unternehmen dadurch zu Ausfällen, die sich auf kritische Geschäftsanwendungen ausgewirkt haben. Zudem sind zertifikatsbedingte Ausfälle sehr schwer zu diagnostizieren und zu beheben. Der Anbieter Venafi hat allein im vergangenen Jahr bei seinen Kunden im Durschnitt 57.000 unbekannte maschinelle Identitäten aufgespürt. Drei Jahre zuvor waren es noch durchschnittlich nur 15.000. Und die Zahl der Maschinen und somit der maschinellen Identitäten wächst weiter exponentiell.

Der Austausch von Zertifikaten bedeutet einen enormen Aufwand

Im Jahr 2018 hat Google sämtlichen Zertifikaten von Symantec und Tochterunternehmen wie VeriSign, Thawte und GeoTrust das Vertrauen entzogen, die folglich alle ausgetauscht werden mussten. Anderes Beispiel: Ob in fünf oder in zehn Jahren ist ungewiss, aber der Tag wird kommen – Quantencomputer machen auf einen Schlag die kryptografischen Schlüssel unbrauchbar, die aktuell für maschinelle Identitäten im Einsatz sind. Sie sind nicht „Quantum ready“ und können von einem Quantencomputer in Windeseile geknackt werden. Wenn es soweit ist, müssen sämtliche Zertifikate, die heute existieren, erneuert werden. Eine Herkules-Aufgabe, die manuell nicht zu schaffen ist. Dazu kommen immer wieder Sicherheitslücken und Bugs wie Heartbleed vor ein paar Jahren, die ebenfalls einen Wechsel erforderlich machen. Zusammengefasst: Updates von Zertifikaten und Schlüsseln lassen sich nur mit Hilfe von automatisierten Management-Lösungen bewältigen.

Maschinelle Identitäten sind auch für die Bad Guys interessant

In den vergangenen Jahren nahmen Angriffe mit gefälschten Zertifikaten deutlich zu. Digitale Zertifikate sind inzwischen bei Hackern und Cyberkriminellen sehr begehrt. Im Darknet übertreffen Anzeigen für Maschinenidentitäten die für Ransomware-Kampagnen um den Faktor fünf. Der Hintergrund ist klar: Die Cyberkriminellen wollen mit Hilfe von gekauften Zertifikaten vertrauenswürdig erscheinen, damit angegriffene Rechner ihre Malware akzeptieren. Sogar EV-Zertifikate lassen sich inzwischen im Online-Untergrund erwerben. Diese Extended-Validation-Zertifikate gelten eigentlich als besonders sicher und vertrauenswürdig.

Eine wissenschaftliche Untersuchung hat einen florierenden Schwarzmarkt für TLS-Zertifikate aufgedeckt, die zusammen mit einer breiten Palette von cyberkriminellen Services angeboten werden – eine Art Machine-Identity-as-a-Service, um Webseiten zu fälschen, verschlüsselten Verkehr zu belauschen und sensible Daten zu stehlen. Die Preise für die Zertifikate im Darknet schwanken zwischen 260 und 1.600 US-Dollar, je nach Art des angebotenen Zertifikats und den zusätzlichen Dienstleistungen. Die Preise verdeutlichen, dass Maschinenidentitäten inzwischen wichtiger und lukrativer sind als digitale Identitäten wie E-Mailadressen und Passwörter. Und nicht zuletzt sind auch Nationen und deren Geheimdienste daran interessiert, maschinelle Identitäten zu kontrollieren.