Editorial: Das schwächste Glied

Editorial

Nicht nur wir weisen uns regelmäßig aus, besonders auf Reisen. Auch Webseiten, die wir besuchen, sowie Applikationen auf unseren Rechnern müssen ihre Identität digital bescheinigen, bevor sie mit privilegierten Rechten laufen dürfen. Zumindest warnt uns Windows ausdrücklich vor dem Ausführen nicht signierter Programme. So weit, so gut, würde dieses Vorgehen nicht einige gravierende Schwachpunkte aufweisen.
Da sind zum einen die teils zweifelhaften Certificate Authorities, die gültige Zertifikate nach meist oberflächlicher Überprüfung der Antragsteller ausstellen – oder gleich zu "Testzwecken" Zertifikate für Domains erzeugen, für die sie überhaupt nicht zuständig sind. Wir erinnern uns an die 2016 von Symantec fälschlicherweise ausgestellten Zertifikate für diverse Internetdomänen. Inwieweit CAs überdies vor allem in Ländern mit autoritären Regierungen frei von staatlichen Interessen arbeiten können, sei einmal dahingestellt.

Anfang 2020 schreckte dann die National Security Agency die IT-Branche auf: Dank einer Schwachstelle in Windows war es Angreifern möglich, ihrer Schadsoftware ein vermeintlich gültiges Zertifikat mitzuliefern und Sicherheitsmechanismen so auszutricksen. Hier müssen wir dem Nachrichtendienst zugutehalten, diese Lücke an Microsoft gemeldet und nicht für eigene Zwecke geheim gehalten zu haben. Dabei stellt die als CVE-2020-0601 bekannt gewordene Schwachstelle nichts weniger als einen weiteren Knacks im wackeligen Zertifikatsgebilde dar.

Freilich gibt es Minischritte in die richtige Richtung, wie die "Extended Validation Certificates", bei denen die Antragsteller gründlicher durchleuchtet werden. Spätestens seit den erfolgreichen Versuchen von Ian G. Carroll, das Verfahren durch gefälschte Angaben als Antragsteller auszutricksen, sind auch die erweiterten Zertifikate im Prinzip nutzlos. Der große Wurf ist bislang ausgeblieben und um den 2013 gegründeten "CA Security Council" ist es ebenfalls ruhig geworden.

So müssen wir uns weiter mit einem inhärent unsicheren Zertifikatswesen begnügen und versuchen, wenigstens unsere IT darum herum so sicher wie möglich auszugestalten. Mit unserer März-Ausgabe und dem Schwerpunktthema "Informationssicherheit" möchten wir Ihnen vielfältige Ansätze hierfür vorstellen und wünschen viel Spaß beim Lesen. Ihr

Daniel Richey
Stellv. Chefredakteur, Chef vom Dienst
März 2020 / Daniel Richey
[Rubrik: Editorial]

Den vollständigen Beitrag finden Sie in der Ausgabe März 2020 des IT-Administrator von Seite 3 bis 3.

Einzelne Ausgaben des IT-Administrators können Sie in unserem Online-Kiosk als Print- oder E-Paper-Exemplar bestellen. Ein Schnupperabo mit 6 Ausgaben zu 50% Rabatt – mit Lieferung ab der aktuellen Ausgabe – erhalten Sie im Aboshop.