Herumliegende PKI Zertifikate stellen ein großes Kontinuitätsrisiko dar
Home / Media / News / Herumliegende PKI Zertifikate stellen ein großes Kontinuitätsrisiko dar

Herumliegende PKI Zertifikate stellen ein großes Kontinuitätsrisiko dar
09 Nov ‘21

In vielen Organisationen liegt die Verantwortung für die PKI-IT-Infrastruktur bei ein bis zwei IT-Administratoren. Bei dieser Verwaltung geht es schon schnell um einige Dutzend digitale Zertifikate von Public Facing Webservern und einige Hundert interne Zertifikate, die von einer privaten (oder internen) CA (Certificate Authority) herausgegeben worden sind. Diese “internen” PKI-Zertifikate werden installiert und von einer Reihe von Einstellungen von den Windows Richtlinien, der Enterprise Root Certification Authority (CA), Netzwerkrichtlinien, SCCM bis zu u.a. vom Windows IIS Server eingeführt. Oft wird die Gültigkeit der internen Zertifikate auf mehrere Jahre eingestellt. Es kommt regelmäßig vor, dass Server nach einigen Jahren plötzlich dadurch nicht mehr erreichbar sind, dass die Zertifikate, die für eine sichere PKI-Infrastruktur sorgen, abgelaufen sind und sich nicht rechtzeitig (automatisiert) ersetzen.

Diese Art der Vermüllung entsteht auch dadurch, dass IT-Mitarbeiter, welche die PKI-Verwaltung ausführten, die Tätigkeiten wechseln oder die Organisation verlassen. Für deren Nachfolger ist es oft schwierig, sich ein Bild von allen PKI-Zertifikaten im Netzwerk zu machen und dafür zu sorgen, dass Zertifikate, die ablaufen, rechtzeitig ersetzt werden. Ohne Certificate Key Management System, das Administrationsaufgaben unterstützt, ist es bei zunehmender Komplexität der IT-Infrastruktur und steigenden Mengen von Zertifikaten im Netzwerk eigentlich nicht machbar, eine neue beherrschbare PKI zu kreieren.

Zertifikatsscanning umfasst das Auffinden aller Zertifikate, die an verschiedenen Endpunkten in Ihrem Netzwerk installiert sind. Hierbei werden die wichtigsten Details der Zertifikate festgestellt, wie ihr Ort, Gültigkeit, Typ, Tage bis zum Verfallsdatum, die Position in der Vertrauenskette etc. Ein solcher Scan bietet damit Einsicht in die Sicherung der Netzwerkinfrastruktur und hilft beim Aufspüren von Mängeln.

Es sind verschiedene kostenlose Scanner verfügbar, wie SSL Server Test von Qualys und SSL Certificate Scanner Tool von Netscantools. Solche kostenlose Tools haben jedoch die Einschränkung, dass sie nur von außerhalb scannen können und also lediglich die Server erreichen, die für das Internet “offen” sind. Viele kommerzielle Scanner, die sehr wohl die Innenseite Ihres Netzwerks scannen und damit auch interne Zertifikate aufspüren können, erfordern einen Proxy in Ihrem Netzwerk, da sie “Cloud”-basiert sind. Der Nachteil dessen, neben einem möglichen Sicherheitsrisiko, ist, dass die Scandaten immer mit der kommerziellen Partei und somit Informationen über Ihr internes Netzwerk mit einer externen Partei aus der Ferne geteilt werden.

 

Der KeyTalk Smart Security Scan (SSS) ist genauso wie das KeyTalk CKMS als virtuelle Maschine (VM) verfügbar. Dies bedeutet, dass der Server + Anwendung in einer Hypervisor-Umgebung (VMware, HyperV oder AWS, Azure und Google Cloud) direkt verfügbar sind, nachdem das Image geladen worden ist. Der KeyTalk SSS ist auf diese Weise schnell und einfach in der eigenen IT-Infra, sogar in airgapped VLANs einsetzbar.

 

Der KeyTalk Smart Security Scan funktioniert komplett selbstständig und ist kein fester Bestandteil der Keytalk Certificate und Key Managment (CKMS) Lösung. Er kann in der IT-Infrastruktur alle portgebundenen PKI-Zertifikate von sowohl internen als auch externen (Web)Servern finden. Sobald der KeyTalk SSS ein Zertifikat findet, wird das gesamte Zertifikat mit allen relevanten Daten in die KeyTalk SSS Datenbank zur Berichterstattung und für Exportanwendungen importiert. Während des Scannens nach Zertifikaten erstellt der KeyTalk SSS gleich auch eine Inventarisierung der bekanntesten SSL-basierten “Fehlkonfigurationen” der im Netzwerk vorhandenen Webserver. Außerdem kann der SSS auch separat nach anderen Schwachstellen (da die Endpunkte dies zulassen) scannen. Diese Informationen werden auf Basis der online verfügbaren CVE® Datenbank geprüft, die lokal im KeyTalk SSS synchronisiert wird. Alle bekannten Schwachstellen für Cyberangriffe sind hierin verarbeitet.

Auf diese Art und Weise ist es also einfach und schnell möglich, wieder eine komplette Übersicht der vorhandenen Zertifikate innerhalb des Netzwerks zu erhalten. Natürlich ist das nur der erste wichtige Schritt, um die Verwaltung Ihrer Zertifikate völlig in den Griff zu bekommen. Die von KeyTalk SSS gefundenen Zertifikate können sehr einfach in das KeyTalk CKMS importiert werden und von dort aus kann die PKI-Verwaltung völlig automatisiert übernommen werden. Da wollen Sie hin!

Möchten Sie gern mehr über den KeyTalk Smart Security Scan erfahren oder darüber, wie Sie Ihre PKI IT-Infrastruktur völlig automatisiert mithilfe des KeyTalk Certificate und Key Management Systems verwalten können, dann nehmen Sie noch heute Kontakt mit uns auf!

Das KeyTalk-Team