Die Coronapandemie hat das Leben auf den Kopf gestellt – im privaten Bereich ebenso wie im sozialen Miteinander oder im Beruf. Das Internet und seine Online-Plattformen ermöglichen uns den Kontakt mit unseren Lieben und den Kollegen sowie das Einkaufen, ohne das Haus verlassen zu müssen.
In vielen Unternehmen beschleunigte die Gefahr durch COVID-19 bereits bestehende Projekte zur Systemmigration in die Cloud und zur Einführung des Homeoffice. Je mehr Unternehmen Online-Dienste nutzen und immer mehr Mitarbeiter im Homeoffice unterstützen müssen, desto stärker verschwimmen die Netzwerkgrenzen und die herkömmlichen Modelle zu deren Absicherung sowie Cybersecurity allgemein greifen nicht mehr. Der Netzwerkgedanke beinhaltet, dass alle Geräte, Dienste und Benutzer innerhalb seiner Grenze vertrauenswürdig sind, und alles außerhalb nicht. Mittlerweile ist die Netzwerkgrenze, der sogenannte Perimeter, aber praktisch verschwunden.
Diese Situation wird noch durch das Internet der Dinge (IoT) und sein Potenzial, den Alltag zu verändern, verschärft: Die Vertrauenswürdigkeit solcher Geräte ist unter Umständen massiv eingeschränkt. Wir besitzen mit dem Internet verbundene Fernseher, Leuchten, Heizungen, Fahrzeuge und mehr. Die Liste der vernetzten Geräte, ob „intelligent“ oder nicht, wird jeden Tag länger.
Einige dieser IoT-Geräte, der Smart-TV im Konferenzraum beispielsweise, sind mit der IT-Umgebung des jeweiligen Unternehmens vernetzt. Oft sind sie für den Support, für Updates oder zusätzliche Rechenleistung aber auch mit der Plattform des Anbieters vernetzt. Dann ist es so, dass das Firmennetzwerk einem IoT-Gerät vertrauen muss, das mit einer Anbieterplattform außerhalb des Perimeters verbunden ist und damit abseits direkter Kontrolle steht.
Des Weiteren ist es so, dass manche IoT-Anbieter den Aufwand scheuen, den die Absicherung ihrer Produkte aufwirft. Es gibt zahlreiche Beispiele für IoT-Geräte mit schwacher Authentifizierung oder mit werkseitig eingestellten Anmeldedaten. In anderen Fällen mangelt es den Anbietern an passenden Möglichkeiten, die Geräte mit Sicherheits-Updates zu versorgen. Die Zahl der 5G-Netzwerke nimmt zu und damit auch die der IoT-Geräte – das Problem wird sich also weiter verschärfen.
Die drei Säulen der Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – müssen jetzt um eine vierte ergänzt werden. Diese Säule heißt „Vertrauen“. Wie können wir den Online-Diensten, die wir nutzen, vertrauen? Wie können wir den Systemen, auf die wir zugreifen, vertrauen? Wie können wir den Geräten, die auf unsere Umgebung zugreifen, vertrauen? Und wir können wir den Updates, Mitteilungen und sonstigen täglichen Aktivitäten unserer Computer vertrauen, die sie häufig im Hintergrund und ohne unsere Mitwirkung durchführen?
Vertrauen kommt nicht von allein. Vertrauen muss sich erst bilden und im Lauf der Zeit verdient werden. Es kommt durch positive Interaktionen und wird dadurch bestärkt, dass sich diese positiven Interaktionen wiederholen. Während es lange dauern kann, Vertrauen aufzubauen, reicht mitunter eine negative Interaktion oder ein negatives Erlebnis, um Vertrauen sofort zu verspielen. Als der damalige US-Präsident Ronal Reagon 1987 das Abkommen zum Verzicht auf atomare Mittelstreckenraketen unterzeichnete, wurde er gefragt, wie er glauben könne, die Sowjetunion würde sich daran halten. Er antwortete „Vertrauen ist gut, Kontrolle ist besser“. Diese Redewendung geht auf ein altes russisches Sprichwort zurück, das besagt, man solle nicht einfach blind vertrauen, sondern nach Beweisen suchen, dass das gesetzte Vertrauen gerechtfertigt ist.
Digitale Zertifikate sind ein Eckstein in dem Fundament namens „Vertrauen“, das nötig ist, um unsere privaten und geschäftlichen Aktivitäten sicher durchführen zu können. Sie unterstützen uns, indem sie Daten während der Übertragung über Netzwerkgrenzen hinweg und gespeicherte Daten absichern. Außerdem können sie unseren Systemen gegenüber Personen und Geräte, z. B. IoT-Geräte, zuverlässig authentifizieren und uns so versichern, dass wir mit einem vertrauenswürdigen Gegenüber kommunizieren oder ein vertrauenswürdiges Gerät nutzen.
Beachten Sie jedoch, dass digitale Zertifikate allein eventuell nicht reichen, um das geforderte Maß an Vertrauen aufzubauen und zu halten. Es kann passieren, dass schlecht verwaltete Zertifikate und die zugehörigen Schlüssel von böswilligen Akteuren ausgenutzt werden. Es gibt Fälle, in denen Kriminelle die Zertifikate seriöser Unternehmen gekapert und dazu benutzt haben, Software-Updates digital zu signieren oder anderweitig Schaden anzurichten.
Nach der Pandemie werden Unternehmen und ihre Mitarbeiter dennoch zahlreich das Homeoffice nutzen, ebenso wie neue Online-Plattformen und IoT-Geräte für das Privat- und Berufsleben. Dadurch wird der Verwaltungsaufwand für digitale Zertifikate signifikant ansteigen. Der schwindende Sicherheitsperimeter erfordert es, digitale Zertifikate aufmerksam auszustellen, zu erneuern, zu widerrufen und durchgängig zu verwalten, um ihre Integrität sicherzustellen. Das Ausmaß der zu verwaltenden digitalen Zertifikate wird Unternehmen dazu zwingen, skalierbare Lösungen für die nahtlose Zertifikatsverwaltung in der Private oder Public Cloud, vor Ort oder mittels einer von einer Zertifizierungsstelle gehosteten Managementlösung einzuführen.
In dieser digitalen Welt braucht es Vertrauen, aber auch skalierbare, automatisierte Plattformen zum Aufbau und zur Kontrolle dieses Vertrauens.