Unternehmensanwendungen und PKI – Teil 1

Verwenden von PKI zum Sichern kritischer Unternehmensanwendungen

In einem früheren Artikel haben wir definiert Public-Key-Infrastruktur (PKI) als eine Reihe von Rollen, Richtlinien, Hardware, Software und Verfahren, die zum Erstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen erforderlich sind digitale Zertifikate und verwalten Sie öffentliche Schlüssel VerschlüsselungWir haben außerdem einige Trends der Digitalisierung identifiziert, die die Einführung von PKI vorangetrieben haben. Mit zunehmender PKI-Nutzung müssen Unternehmen verstehen, welche ihrer Anwendungen PKI-fähig sein müssen. Anders ausgedrückt: Unternehmensarchitekturen sollten die Anwendungsszenarien für den Einsatz von PKI klar identifizieren und abweichende Szenarien als potenzielle Sicherheitsrisiken kennzeichnen. In diesem Artikel betrachten wir einige typische Anwendungsszenarien, die PKI nutzen, um das Unternehmen zu schützen und sein Risikoprofil zu senken.

1. Öffentlich zugängliche Websites und Webanwendungen: Das Vorhängeschloss-Symbol in der URL-Leiste eines Webbrowsers ist mittlerweile eine De-facto-Anforderung für jede öffentlich zugängliche Website und Anwendung. Das Vorhängeschloss stellt ein SSL/TLS (Secure Sockets Layer / Transport Layer Security) Verschlüsselte Verbindung zwischen Browser und Website. Diese wird mithilfe eines digitalen Zertifikats hergestellt, das vom Website- oder Webanwendungsserver an den Browser gesendet wird. Das Zertifikat bestätigt dem Browser die Identität der Website oder Webanwendung. Woher weiß der Browser, ob das Zertifikat gültig und echt ist? Er überprüft, ob das Zertifikat noch nicht abgelaufen ist und von einem vertrauenswürdigen Drittanbieter, einem sogenannten Zertifizierungsstelle (CA)Sobald das Zertifikat verifiziert ist, sendet der Browser seinen öffentlichen Schlüssel an den Server, der damit die an den Browser zurückgesendeten Daten verschlüsselt. Der Browser entschlüsselt diese Daten mit seinem privaten Schlüssel. Dank PKI läuft dieser Prozess nahtlos im Hintergrund ab.
2. Virtual Private Network (VPN)-Dienste: Der Bedarf, remote auf ein Unternehmensnetzwerk zuzugreifen (z. B. von einem anderen Bürostandort oder einem Partnerstandort aus), besteht schon seit geraumer Zeit. Die typische Lösung hierfür ist eine Standleitung – eine dedizierte physische Leitung zwischen dem Remote-Standort und dem Unternehmensnetzwerk. Für einzelne Remote-Mitarbeiter, die auf das Unternehmensnetzwerk zugreifen müssen, beispielsweise im Homeoffice, ist diese Standleitung jedoch nicht praktikabel. Hier erfreuen sich VPN-Dienste, die einen sicheren, verschlüsselten Kommunikationskanal für den Zugriff auf das Unternehmensnetzwerk über das Internet bereitstellen, großer Beliebtheit.
   Wenn ein Remote-Benutzer über ein VPN auf das Unternehmensnetzwerk zugreift, ist ein einzelner Authentifizierungsmechanismus, beispielsweise mit Benutzername und Passwort, nicht sicher genug. Multi-Faktor-Authentifizierung (MFA) ist wichtig – einer der Authentifizierungsmechanismen ist ein digitales Zertifikat. Der VPN-Kanal (oder „Tunnel“) wird erst nach Abschluss der Zertifikatsvalidierung eingerichtet, wie weiter oben in diesem Artikel beschrieben.
3. Mobile Anwendungen: Da jeder Mitarbeiter mindestens ein (oft sogar mehrere) Mobilgerät mit sich führt und verteilte Teams („Arbeiten von überall“) immer häufiger werden, nimmt die Unternehmensmobilität zu. Mobile Device Management (MDM)-Plattformen erfüllen einige der Anforderungen der Unternehmensmobilität, indem sie die Bereitstellung von Geräten, die Verwaltung mobiler Anwendungen und die Durchsetzung der Unternehmenssicherheitsrichtlinien auf den Geräten ermöglichen. Die Authentifizierung von Mobilgeräten und Benutzern bleibt jedoch eine Herausforderung. Ein Ansatz, der ausschließlich auf Benutzername und Passwort basiert, ist einfach nicht sicher genug und nicht der beste Weg, die Benutzeridentität zu gewährleisten. Die Validierung mobiler Geräte und die verschlüsselte Kommunikation zwischen dem Gerät und dem Unternehmensnetzwerk mithilfe digitaler Zertifikate sind ein weitaus besserer Ansatz. Die beiden wichtigsten mobilen Betriebssysteme von heute, iOS und Android, bieten native Unterstützung für digitale Zertifikate.
4. Softwareanwendungen:Codesignatur: Unternehmen, die Software und die dazugehörigen Upgrades und Patches an ihre Kunden, Partner oder Mitarbeiter verteilen müssen, tun dies heute in der Regel über das Internet¹ Dies hat jedoch neue Herausforderungen mit sich gebracht. Früher wurde Software, die auf physischen Medien wie CDs verteilt wurde, eingeschweißt, d. h. in einer Schachtel verpackt und physisch versiegelt. Jede Manipulation an Verpackung und Siegel warnte den Benutzer. Doch wie kann ein Benutzer bei der Verteilung von Software über das Internet wissen, ob die Software, die er herunterlädt, vom tatsächlichen Autor stammt? Wie kann der Benutzer sicher sein, dass die Software nicht manipuliert und mit Schadcode oder Malware versehen wurde? Code Signing liefert die Antwort auf diese Fragen. Jedes Unternehmen, das Software über das Internet verteilen möchte, verwendet ein Code Signing-Zertifikat, um die Software digital zu signieren. Auf der Clientseite validieren der für den Software-Download verwendete Browser und das Betriebssystem (OS), auf dem die Software installiert wird, das Code Signing-Zertifikat und verifizieren seine Authentizität. Wenn die Software manipuliert wurde, wird der Benutzer sofort gewarnt. Ohne Code Signing kann der Benutzer, abhängig von den Sicherheitseinstellungen des Browsers, eine Warnung erhalten oder die Software wird möglicherweise gar nicht erst heruntergeladen. Ignoriert der Nutzer die Warnung, lädt die Software herunter und versucht sie zu installieren, erhält er eine weitere Warnung, diesmal vom Betriebssystem, dass der Herausgeber der Software nicht verifiziert werden konnte. Aufgrund dieser Warnungen können Nutzer den Download oder die Installation der Software abbrechen. Deshalb ist es für Unternehmen wichtig, die von ihnen veröffentlichte Software zu signieren. Dies sind einige der Anwendungsszenarien in Unternehmen, die PKI benötigen. Es gibt noch einige weitere – diese werden in Teil 2 behandelt. Bleiben Sie dran!