Maschinenidentitäten
Über die versteckten Sicherheitsrisiken bei digitalen Pässen
Vom Impfpass bis zu Wahl-IDs
Von Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi
Digitale Ausweise und andere Formen der Identifizierung werden in Zukunft immer häufiger zum Alltag gehören. Aber während sie ausdrücklich zur Sicherung und Authentifizierung von Nutzeridentitäten entwickelt wurden, wie sieht es mit den Maschinenidentitäten aus, mit denen sie funktionieren? Maschinenidentitäten, auch bekannt als kryptographische Schlüssel und digitale Zertifikate, bilden die Grundlage für das Vertrauen in alle Arten von Online-Transaktionen und sichern die gesamte Kommunikation zwischen Maschinen. Als solche sind sie ein entscheidendes Puzzlestück. Wenn Maschinenidentitäten, die zur Absicherung digitaler Ausweise verwendet werden, in die falschen Hände geraten, könnte dies das gesamte System der digitalen Ausweise untergraben.
Die Implementierung von digitalen Impfpässen
Am 1. Juli ist das grüne digitale Zertifikat der EU in Kraft getreten, das Reisen zwischen den Mitgliedsstaaten ermöglicht. In Israel wurden Impfpässe in Form einer Green Pass -App eingeführt. Er wurde verwendet, bis die Mehrheit der Bevölkerung geimpft war, und ermöglichte den Einwohnern den Zugang zu Einrichtungen wie Fitnessstudios und Konzerten.
Impfpässe können seit Juli oder August, je nach persönlichem Impfstand (ab dem Zeitpunkt der ersten Impfung), digital in einer der beiden Apps CovPass-App oder Corona-Warn-App hinterlegt werden. Sie sind mit hochsensiblen persönlichen und medizinischen Daten verknüpft, um den Besitzer zu identifizieren. Zu diesem Zweck sind die Impfpässe auf ein Netz von Maschinen und Servern angewiesen, um die erforderlichen Dienste zu verbinden, zu validieren und bereitzustellen.
Maschinenidentitäten verwalten
Impfpässe oder andere digitale Ausweise müssen mit Maschinenidentitäten gesichert werden. Diese werden zur Sicherung und Authentifizierung von Software in Flugzeugen bis hin zu mobilen Bankanwendungen verwendet. Gartner hat vor kurzem in seinem Bericht über Sicherheits- und Risikotrends die kritische Notwendigkeit der Verwaltung von Maschinenidentitäten hervorgehoben. Mit der zunehmenden Abhängigkeit von der Technologie wächst die Anzahl der Geräte und der Umfang der verwendeten nicht-menschlichen Identitäten, doch die Verwaltung von Maschinenidentitäten wird auch von IT-Abteilungen noch immer nicht richtig verstanden.
Wenn die Maschinenidentitäten, auf die sich die Impfpässe stützen, schlecht gesichert oder verwaltet werden, könnten diese Anwendungen für den Missbrauch durch böswillige Akteure anfällig sein. Angreifer könnten Maschinenidentitäten ausnutzen, um versteckte oder verdeckte verschlüsselte Kommunikationstunnel einzurichten und so auf sensible Gesundheitsdaten zuzugreifen, die zwischen Impfpässen und den Servern, auf denen die Daten gespeichert sind, übertragen werden. Noch besorgniserregender ist, dass gefälschte oder gestohlene Maschinenidentitäten es einem Angreifer ermöglichen könnten, sich als rechtmäßiger Server auszugeben und so möglicherweise Impfpässe zu fälschen. Die Security-Forscher von Check Point Software haben bereits Nachforschungen im Darknet angestellt und herausgefunden, dass sich dort ein regelrechter Markt für gefälschte Impfpässe entwickelt hat.
Sicherheit durch Design
Um diese Risiken zu mindern und zu verhindern, dass Impfpässe in die falschen Hände geraten oder viele Fälschungen in Umlauf geraten, müssen sie so konzipiert und verwaltet werden, dass sie sicher sind. Die Maschinenidentitäten müssen richtig und an zentralen Orten verwaltet werden. Andernfalls können Organisationen die Vertraulichkeit von Informationen, die an autorisierte Geräte fließen, nicht garantieren und Datenübertragungen an nicht autorisierte Geräte nicht verhindern.
Um dies zu erreichen, müssen Unternehmen, die digitale Ausweise entwickeln, den gesamten Lebenszyklus der Maschinenidentität sichern. Dazu gehört die Automatisierung der komplexen Verwaltung von Maschinenidentitäten, die durch eine Reihe klarer Richtlinien und Kontrollen gesteuert wird. Dies darf nicht mit der Bereitstellung von Maschinenidentitäten enden, sondern muss kontinuierlich überwacht werden, um sicherzustellen, dass alle Anomalien oder Schwachstellen schnell erkannt werden können.
Fazit
Nach mehr als einem Jahr der Lockdowns und Beschränkungen ist es wahrscheinlich, dass digitale Ausweise – ob Impfpässe oder Wählerausweise – einen immer wichtigeren Teil unseres Lebens ausmachen werden – vom Reisen über die Teilnahme an Großveranstaltungen bis hin zum Wählen. Wir müssen sicherstellen, dass wir bei der Einführung dieser Technologien Cyberkriminellen keinen Vorteil verschaffen. Letztlich können Organisationen, die diese Anwendungen entwickeln, ihre Nutzer nur dann schützen, wenn sie die maschinellen Identitäten proaktiv und in Maschinengeschwindigkeit verwalten.