Jedes vernetzte Gerät braucht eine Identität

In den Netzwerken von Unternehmen, in den diversen Clouds und im Internet sind zwei Gruppen von Akteuren unterwegs: einerseits Menschen, die Benutzernamen, Passwörter oder biometrische Merkmale einsetzen, um damit ihre Identität und die dazugehörigen Berechtigungen zu belegen. Andererseits Maschinen, die mit Menschen oder anderen Maschinen kommunizieren. Maschinen tauschen untereinander Daten und Informationen aus, auch über Unternehmensgrenzen hinweg. Deshalb ist es wichtig, dass die Maschinen sich gegenseitig identifizieren und als vertrauenswürdig einstufen können.

Statt mit Benutzernamen und Passwörtern erfolgt die Authentifizierung bei Maschinen über Maschinenidentitäten: Zertifikate bestätigen dabei eindeutig die Echtheit einer Maschine. Ein digitales Zertifikat ist ein elektronischer Datensatz, der die entsprechenden Informationen enthält. Alle Angaben sind dabei mit kryptografischen Verschlüsselungsmechanismen geschützt.

Zertifikate nutzen in der Regel zwei Protokolle: TLS (Transport Layer Security) und SSL (Secure Socket Layer). TLS ist der Nachfolger von SSL. Beides sind Verschlüsselungsprotokolle mit einer zertifikatsbasierten Authentifizierung.

Maschinenidentitäten sind vergleichbar mit Kryptowährungen und der Blockchain, wo jede Transaktion eindeutig und verifiziert festgeschrieben ist.

Wörtlich darf der Begriff Maschine hier aber nicht genommen werden. Er meint nämlich nicht nur Hardware und Geräte wie Server und IoT-Devices, sondern auch Applikationen und Cloud-Dienste bis hin zu Containern und Algorithmen – also auch Software.

Ein Beispiel für eine Maschinenidentität wäre etwa ein Webserver. Mit einem Zertifikat lässt sich feststellen, ob der Server, mit dem sich der Nutzer verbindet, tatsächlich der korrekte Ansprechpartner ist. Der Client erhält beim Aufbau der Verbindung vom Server das Zerti­fikat und kann überprüfen, ob der im Zertifikat genannte Domain-Name mit dem Namen, den der Nutzer im Browser eingegeben hat, übereinstimmt, und ob der Server Texte verschlüsseln kann, die sich mit dem im Zertifikat enthaltenen Schlüssel wieder entschlüsseln lassen.

Wenn Unternehmen die Kontrolle über ihre vernetzte Produktion behalten wollen, dann müssen sie in der Lage sein festzustellen, was Maschinen tun und warum sie es tun. Das ermöglichen Maschinenidentitäten. Eine Maschine benötigt eine Identität, um Zugriff auf bestimmte Systeme und Daten zu erhalten, Code auszuführen, Daten zu verschlüsseln oder andere Maschinen zu kontrollieren.

Kevin Bocek ist Vice President Security Strategy & Threat Intelligence bei Venafi, einem Cybersicherheitsunternehmen, das kryptografische Schlüssel und digitale Zertifikate sichert und schützt: „Die Identität einer Maschine lässt sich beispielsweise durch TLS-Zertifikate, SSH-Schlüssel, API-Schlüssel oder Code-Signing-Schlüssel und -Zertifikate definieren.“ Mit signierten Zertifikaten lassen sich etwa Software-Updates identifizieren und als vertrauenswürdig einstufen, noch bevor sie dem Anwender zur Verfügung gestellt werden.

Das Bewusstsein für die Bedeutung von Maschinenidentitäten ist jedoch noch wenig ausgeprägt, ebenso das Wissen, wie damit umzugehen ist. „Wenn Sie mit Sicherheitsteams reden, selbst mit den anspruchsvollsten – die meisten wissen nichts über Maschinenidentitäten. Es ist das am meisten unterschätzte Sicherheitsproblem“, warnt Bocek.

Ein Beispiel, das die Bedeutung von authentifizierten Identitäten unterstreicht: 2003 wurden noch 85 Prozent der Aktien von Menschen gehandelt, inzwischen haben Maschinen 95 Prozent des Aktienhandels übernommen. Ohne eine Identifizierung und Authentifizierung wären Manipulationen Tür und Tor geöffnet.