Zertifikate in der IT – Teil 5: Risiken und historische Vorfälle

Zertifikate sind ein unverzichtbarer Bestandteil der IT-Sicherheit – doch sie sind kein Garant für absolute Sicherheit. Nicht die Zertifikate selbst sind das Problem, sondern die Prozesse, Organisationen und Menschen, die sie verwalten. Fehlerhafte Implementierungen, kompromittierte Zertifizierungsstellen oder schlecht verwaltete Zertifikate haben in der Vergangenheit bereits zu gravierenden Sicherheitslücken geführt.

In diesem Beitrag werfen wir einen Blick auf die größten Risiken im Umgang mit Zertifikaten und einige der bekanntesten Vorfälle, die zeigen, welche Folgen ein falscher Umgang haben kann.

1. Bekannte Vorfälle mit Zertifikaten

Zertifikate sind nur so sicher wie die ausstellende Stelle und die Prozesse, die ihre Verwaltung regeln. Im Laufe der Jahre gab es zahlreiche Skandale und Sicherheitsvorfälle. Hier sind einige der wichtigsten:

a) DigiNotar (2011) – Eine kompromittierte CA mit fatalen Folgen

(https://www.eff.org/deeplinks/2011/09/post-mortem-iranian-diginotar-attack)

Einer der größten Skandale in der Welt der Zertifikate war der Hack der niederländischen Zertifizierungsstelle DigiNotar im Jahr 2011. Angreifer erlangten Zugriff auf die Infrastruktur und konnten falsche Zertifikate für bekannte Dienste wie Google ausstellen.

Folgen:

• Nutzer, insbesondere im Iran, wurden Opfer von Man-in-the-Middle-Angriffen.
• Browser und Betriebssysteme mussten DigiNotar aus ihren Vertrauenslisten entfernen.
• DigiNotar ging kurz darauf in Insolvenz.

Lehre: Die Sicherheit einer CA ist entscheidend. Wenn eine Root-CA kompromittiert wird, können alle von ihr ausgestellten Zertifikate missbraucht werden.

b) Symantec (2017) – Missbrauch von Zertifikaten und der Vertrauensverlust

(https://blog.mozilla.org/security/2018/07/30/update-on-the-distrust-of-symantec-tls-certificates)

Symantec war lange einer der größten Anbieter für SSL/TLS-Zertifikate, doch zwischen 2015 und 2017 stellte sich heraus, dass das Unternehmen Zertifikate ohne ausreichende Überprüfung ausgestellt hatte. Google und Mozilla entzogen Symantec daher das Vertrauen.

Folgen:

• Ab 2018 wurden alle alten Symantec-Zertifikate von Chrome und Firefox als ungültig eingestuft.
• Unternehmen mussten ihre Zertifikate neu beschaffen, um weiterhin als sicher zu gelten.

Lehre: Selbst große CAs können Vertrauensprobleme haben. Ein plötzlicher Vertrauensentzug kann massive Umstellungen für Unternehmen bedeuten.

c) Let’s Encrypt (2020) – Massenhafte Rückrufe durch einen Fehler

(https://blog.qualys.com/product-tech/2020/03/06/identifying-lets-encrypt-revoked-certificates)

Let’s Encrypt ist eine der größten CAs für kostenlose SSL/TLS-Zertifikate. 2020 entdeckte die Organisation einen Fehler in der Zertifikatsvalidierung, wodurch ca. 3 Millionen Zertifikate ungültig wurden und kurzfristig ersetzt werden mussten.

Folgen:

• Webseiten mit abgelaufenen Zertifikaten waren plötzlich nicht mehr erreichbar.
• Unternehmen mussten ihre Zertifikate kurzfristig erneuern, um Verbindungsprobleme zu vermeiden.

Lehre: Automatisierung ist gut, aber fehlerhafte Zertifikatsausstellung kann große Auswirkungen haben.

2. Aktuelle Risiken rund um Zertifikate

Neben historischen Vorfällen gibt es laufend neue Angriffsvektoren, die mit Zertifikaten in Verbindung stehen. Hier sind einige der aktuellen Herausforderungen:

a) Missbrauch von gestohlenen Zertifikaten in Cyberangriffen

Immer wieder gelingt es Angreifern, signierte Zertifikate zu stehlen und für schadhafte Software oder Phishing-Seiten zu verwenden. Ein Beispiel ist der SolarWinds-Angriff von 2020, bei dem kompromittierte Signaturen genutzt wurden, um Schadsoftware als legitime Updates zu tarnen.

Schutz:

• Private Schlüssel sicher speichern (z. B. in HSMs).
• Zertifikatslisten regelmäßig prüfen und Widerrufe überwachen.

b) Ablauf von wichtigen Zertifikaten – Katastrophe für Dienste

In den letzten Jahren kam es immer wieder zu großen IT-Ausfällen, weil Unternehmen verpasst haben, Zertifikate rechtzeitig zu erneuern.

• Beispiel: Microsoft Teams fiel 2020 weltweit aus, weil ein internes Zertifikat versehentlich nicht verlängert wurde.
• Beispiel: Ericsson hatte 2018 einen massiven Netzwerkausfall, weil ein internes Signaturzertifikat abgelaufen war.

Schutz:

• Zertifikate mit automatisierten Monitoring-Tools überwachen.
• Frühzeitig Erneuerungen planen – oder das an Profis auslagern (Comp4U kann dabei unterstützen!).

c) Schwache oder falsch konfigurierte Zertifikate

Nicht alle Zertifikate sind sicher – schwache Algorithmen oder unsichere Schlüssellängen können Angriffe ermöglichen.

• Beispiel: SHA-1 galt lange als sicher, wurde aber von modernen Angriffen geknackt. Dennoch gibt es Systeme, die immer noch SHA-1-Zertifikate nutzen.
• Beispiel: Wildcard-Zertifikate werden häufig genutzt, können aber bei einem Leck ein komplettes Unternehmen gefährden.

Schutz:

• Nur moderne Algorithmen nutzen (z. B. RSA 4096-bit oder ECC).
• Keine unnötig großen Wildcard-Zertifikate einsetzen.

Fazit: Zertifikate sind nur so sicher wie ihre Verwaltung

Zertifikate selbst sind nur digitale Dateien – ihre Sicherheit hängt vollständig davon ab, wie sie verwaltet, ausgestellt und genutzt werden. Fehlkonfigurationen, abgelaufene Zertifikate und kompromittierte CAs haben in der Vergangenheit bereits zu massiven Problemen geführt.

Wichtige Punkte aus dieser Blogreihe:

• Zertifikate sind unverzichtbar für sichere IT-Infrastrukturen.
• Die Verwaltung ist komplex – viele Unternehmen haben keinen vollständigen Überblick über ihre Zertifikate.
• Historische Vorfälle zeigen, dass selbst große Zertifizierungsstellen und Unternehmen Fehler machen können.
• Automatisierte Überwachung und strukturierte Erneuerung sind essenziell, um Ausfälle oder Angriffe zu verhindern.

Comp4U hilft Ihnen dabei, den Überblick über Ihre Zertifikate zu behalten und mögliche Risiken frühzeitig zu erkennen.

Haben Sie Fragen oder benötigen Sie Unterstützung? Kontaktieren Sie uns:
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500