
Die TLS-Verschlüsselung im Internet gehört mittlerweile zum Standard, um zu verhindern, dass der Datenverkehr zwischen Nutzer und legitimer Webseite von Dritten ausgelesen wird. Die meisten modernen Internetbrowser haben in der Vergangenheit ein grünes Schloss angezeigt, um eine solche Verbindung zu signalisieren. Die Symbolik wird allerdings oft missverstanden und als Signal gesehen, dass eine Webseite sicher ist; eine Fehlannahme, die immer gefährlicher wird. Der Sicherheitsforscher Brian Krebs berichtet, dass mittlerweile mehr als die Hälfte aller betrügerischen Webseiten über eine verschlüsselte HTTPS-Verbindung ansprechbar sind. Das bedeutet, dass Besucher von bösartigen Webseiten in über der Hälfte aller Fälle in falscher Sicherheit gewogen werden.
Cyberkriminelle verstehen genau, dass Maschinenidentitäten Vertrauen bei den Internetnutzern schaffen: Heute nutzt bereits die Hälfte aller Phishing-Seiten TLS-Schlüssel und -Zertifikate. Damit werden die Besucher der gefährlichen Webseiten getäuscht, da der Eindruck entsteht, die Seite sei von einem Unternehmen für legitime Zwecke aufgesetzt worden. Allein im Jahr 2017 gab es über 15.000 PayPal-Phishing-Seiten, die sich mit einer Maschinenidentität ausweisen konnten.
Das Problem ist allerdings nicht, dass bösartigen Akteure TLS-Schlüssel und -Zertifikat bislang verwendet haben, damit in den gängigen Internetbrowsern ein grünes Vorhängeschloss eine sichere Verbindung suggeriert“, erklärt Bocek weiter. „Kritisch ist vielmehr, dass die Unternehmen noch immer nicht verstehen, dass Hackern die Fähigkeiten von Maschinenidentität ausnutzen und damit auch die betroffenen Organisationen schädigen. Das Problem wird sich nur noch verschärfen, wenn Browser die Benutzer nur noch in dem Fall warnen, dass eine Webseite gar keine TLS-Maschinenidentität verwendet.“
Es ist keine Frage mehr: Unternehmen müssen die Intelligence haben, Zertifikate und Schlüssel zu finden, die überall auf der Welt verwendet werden, um ihre Marke und ahnungslose Benutzer anzugreifen.
#Netzpalaver #Venafi