Zertifikatsinsuffizienz: Wenn Informationssicherheit zu kompliziert wird

Kommentieren Drucken

Standpunkt Oktober 2012

Zertifikatsbasierte Authentisierung ist an allen Ecken und Enden der IT zu finden. Beim Click auf eine HTTPS-Seite authentisiert sich der Web-Server beim Browser. Nutzer oder Geräte wie PCs, IP-Telefone, Drucker authentisieren sich an einem Server, am Netzbetriebssystem oder an einem Netzzugangspunkt. Zertifikate sind standardisiert und seit Jahren ein bewährtes und sicheres Authentisierungsinstrument, das man offensichtlich mit akzeptablem Aufwand in den Griff bekommt (sonst hätte es sich ja nicht durchgesetzt).


Zumindest letzteres ist eine dreiste Übertreibung.

Zunächst ist es in der Vergangenheit durchaus vorgekommen, dass bei einem Einbruch in einer (Stamm-)Zertifizierungsstelle Zertifikate (natürlich inklusive des privaten geheimen Schlüssels) in die falschen Hände gelangt sind. Nun ja, das ist wie mit einem Passwort: Wer es kennt, ist drin, zumindest solange das Passwort gültig bzw. der zugehörige Account nicht gesperrt ist. Daher sollten solche Ereignisse (abgesehen von Schwächen bei der Absicherung von kritischen Infrastrukturen wie Zertifizierungsstellen) nicht überbewertet werden…Insider-Ausgabe jetzt anfordern >>

Netzwerk Insider monatlich erhalten

Falls Ihnen als registrierter User diese Ausgabe des Netzwerk-Insiders nicht mehr vorliegt, senden wir Ihnen diese gerne auf Anfrage zu: Insider anfordern
Wenn Sie zukünfitg auch den Netzwerk Insider kostenfrei beziehen wollen, dann müssen Sie sich nur registrieren. Sie erhalten dann aktuelle Informationen und den Netzwerk Insider als PDF-Dokument per E-Mail zugesandt. Zur Registrierung

zugeordnete Kategorien: Archiv
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.