Arbeiten mit Zertifikaten unterschiedlicher CAs


SSL-Anbieter wechseln: Eine komplette Anleitung in vier Schritten
Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten

(20.04.16) - Immer wieder gibt einen gewissen Hype um das Thema "Managed SSL-Anbieter wechseln". Wenn man eine Reihe von Vorüberlegungen anstellt und entsprechend plant ist ein Wechsel aber nicht annähernd so kompliziert wie manche glauben machen wollen. Man sollte vor allem die Voraussetzungen in Bezug auf Ressourcen, Kosten und die aufzuwendenden Vorbereitungen durchdacht haben. Jeder Wechsel folgt einem ganz bestimmten Schema. GMO GlobalSign gibt Ihnen hier einen kurzen Überblick darüber, was Sie tun müssen, um einen Wechsel so reibungslos wie möglich zu machen.

Schritt 1 - Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten.
Will man den Managed SSL-Anbieter wechseln, sollte man zunächst die aktuelle SSL-Nutzung und Umgebung erfassen. Nur so kann man die für einen Wechsel anfallende Zeit und die Kosten realistisch einschätzen.

Alle Zertifikate inventarisieren
Bestimmen Sie alle aktuellen Zertifikate genau, damit Sie wissen, welche ersetzt werden müssen. Firmen oder größere Unternehmen haben meistens sehr viele aktive SSL-Zertifikate in ihren Umgebungen, die alle berücksichtigt werden müssen. Für den Wechsel sollten sämtliche Zertifikate lokalisiert sein. So vermeiden Sie, dass eventuell Zertifikate bereits abgelaufen sind, was zu Lücken bei der Abdeckung, Netzwerkausfällen oder möglichen Compliance-Problemen führen kann. Mit einem Tool wie dem kostenfreien Certificate Inventory Tool lassen sich solche Checks durchführen.

Interne und externe Nutzung
Es gibt verschiedene Sicherheitsebenen und Features, die von den unterschiedlichen CAs angeboten werden. Nehmen Sie sich Zeit die Angebote sorgfältig zu prüfen, damit sie auch tatsächlich zum Anforderungsprofil Ihres Unternehmens passen.

>> Öffentlich zugängliche Websites erfordern einen höheren Sicherheitslevel. Sie sollten mit einem Zertifikat einer bewährten Zertifizierungsstelle gesichert werden.

>> Interne Sites brauchen tatsächlich nur Verschlüsselungsfunktionen. Hier können Sie durchaus einfachere Zertifikate einsetzen, die weniger Funktionen haben.

Arbeiten mit Zertifikaten unterschiedlicher CAs
Es gibt einige Gründe, warum Unternehmen mit Zertifikaten unterschiedlicher Zertifizierungsstellen arbeiten:

>> Unterschiedliche Personen oder Abteilungen haben Zertifikate separat von verschiedenen Anbietern gekauft.

>> Unterschiedliche CAs als Folge von Fusionen, Übernahmen oder Integrationen.

Hat man es mit mehreren CAs zu tun, kann das die Bestandsaufnahme erschweren. Tools wie das schon erwähnte kostenfreie Certificate Inventory Tool helfen, das Netzwerk zu kategorisieren und alle vorhandenen Zertifikate zu finden, unabhängig von der ausstellenden CA. So erhalten Sie ein vollständiges Inventar, auf das Sie beim Wechsel zu einem anderen MSSL-Anbieter zurückgreifen können. Sind Sie sicher, dass alle vorhandenen SSL-Zertifikate bei der gleichen CA gekauft wurden, können Sie einfach eine Liste aller Zertifikate von diesem Konto herunterladen. Damit erhalten Sie ein Protokoll aller bisherigen Käufe und Sie müssen sich während des Migrationsprozesses nicht auf das alte Konto verlassen.

Administratoren, Server & Anwendungen
>> Sie müssen festlegen, wer das neue Konto verwalten soll. Die Person oder auch mehrere Personen sollte/n Zeit genug haben, sich mit der neuen Plattform eingehend vertraut zu machen. Diese Schulungszeit sollten Sie fest einplanen und nicht zu knapp bemessen.

>> Dann müssen Sie die Anzahl und Art der Server und Anwendungen für die Sie Zertifikate haben, eingehend evaluieren. So finden Sie ziemlich genau heraus, was Sie beim tatsächlichen Wechsel des Managed SSL-Dienstleisters erwartet. Ein Beispiel ist, dass Sie eventuell den Austausch manuell vornehmen müssen, je nach Art des Servers, auf dem das Zertifikat installiert ist.

Schritt 2 Zertifikatserneuerung und nächste Schritte
Machen Sie sich einen genauen Plan wie Sie in Zukunft Zertifikatserneuerungen handhaben wollen, bevor Sie den Managed SSL-Anbieter wechseln. Die meisten CAs sollten die folgenden Verfahren für Erneuerungen und Ersatz anbieten:

>> Übergangsmodell: Erneuerungen werden individuell behandelt: Jedes Zertifikat wird ersetzt, wenn das Ablaufdatum heranrückt. Bei diesem Verfahren ist ein genauer Zertifikatbericht mit den Ablaufdaten sehr wichtig. Es sollte klar zugeordnet sein, wessen Aufgabe es ist, Erneuerungen zu verwalten. Dieses Modell spart in der ersten Zeit nach dem Wechsel Zeit beim Installieren von Zertifikaten. Aber man muss die Ablaufzeiten sorgfältig überwachen bis alle Zertifikate unter dem neuen Verwaltungskonto erneuert sind.

>> "Wegwerfen & Ersetzen"-Modell: Das ist genau das, wonach es sich anhört: Sie ersetzen alle Zertifikate auf einmal. Das erfordert anfangs mehr Zeit und Ressourcen, aber Sie müssen sich keine Gedanken über Ablaufdaten und die Überwachung alter Zertifikate über deren gesamten Lebenszyklus hinweg zu machen. Die Sorge sich auf zwei unterschiedliche Plattformen verlassen zu müssen entfällt. Es gibt CAs, die ein Tauschmodell anbieten bei dem Sie die verbleibende Gültigkeitsdauer eines bestehenden Zertifikats ohne Aufpreis auf das neue Zertifikat anrechnen lassen können.

>> Einarbeitung in die neue Plattform: Sie müssen genau wissen wie viele Benutzer Sie haben, sowie deren Aufgaben und Zuständigkeiten erfassen. Achten Sie darauf, Schulungszeiten im finalen Zeitplan für den Wechsel zu berücksichtigen. Der Administrator des neuen Kontos braucht eventuell eine intensivere Schulung als jemand, der zum Beispiel nur Bestellungen aufgibt.

Erfassen aller API-Integrationen
Wenn Sie bei Ihrer derzeitigen CA API-Integration verwenden, muss es eine ähnliche Integration bei der potenziellen neuen CA geben. Die sollte zufriedenstellende API-Unterlagen vorlegen können sowie Support und Beratung während des Einarbeitungsprozesses anbieten.

Schritt 3 Abschätzen der anfallenden Kosten
Inzwischen haben Sie wahrscheinlich schon eine vergleichsweise genaue Vorstellung von der Tragweite des Wechsels und können die mit dem Wechsel verbundenen Kosten besser abschätzen. Achten Sie auf die folgenden anfallenden Kosten:

>> Investitionen: Einmalige Investitionen (je nach gewählter CA): Inventur-Tool für Zertifikate, Zertifikat-Verwaltungstool und Entwicklungskosten für die API-Integration.

>> Betriebskosten: Laufende Kosten aus betriebswirtschaftlicher Sicht: die Zeit, die die Kontonutzer benötigen, um sich mit der neuen Verwaltungsplattform vertraut zu machen, zum Delegieren von Zuständigkeiten usw. Die Schulungszeit variiert je nach individuellen Zuständigkeiten.

>> Jährliche Zertifikatkosten: Während Ihrer Evaluierung müssen Sie die Kosten aller Produkte berücksichtigen. Und zwar im Hinblick auf den Nutzen, den bestimmte Funktionen und Merkmale für Ihr Unternehmen haben.

>> Produktdefinitionen: Jede CA definiert ihre Produkte anders. Sie sollten das Produktangebot vollständig evaluieren und sicher sein, dass das Zertifikat Ihre Bedürfnisse erfüllt, und auch, dass es keine unnötigen kostenpflichtigen Add-ons enthält.

>> Einrichtungsgebühren: Sämtliche Einrichtungsgebühren, die erforderlich sind.

Schritt 4 - Optionen und Vorteile
Wenn Sie Managed SSL-Anbieter vergleichen, machen Sie sich klar, dass Sie nicht einfach nur ein Produkt, sondern einen Geschäftspartner wählen. Ihr Unternehmen ist von dieser CA abhängig, noch lange nachdem sie die Zertifikate ausgestellt hat. Der Anbieter Ihrer Wahl sollte natürlich SSL-Zertifikate mit allen Funktionen anbieten, die Sie brauchen.

Im Idealfall kann eine CA aber mehr:
>> Fundierte Beratung zu Sicherheitsinitiativen anbieten.
>> Bei Empfehlungen die konkreten Unternehmensbedürfnisse berücksichtigen.
>> Sie mit Tools ausstatten, um zu verifizieren, ob Ihre Webserver-Konfiguration optimiert wurde,
(GMO GlobalSign: ra)

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

In naher Zukunft disruptive Cyberangriffe

Generative KI-Tools haben das Potenzial, in naher Zukunft wirklich disruptive Cyberangriffe zu ermöglichen. Doch gibt es schon heute neue kriminelle LLMs oder Angebote von ChatGPT-ähnlichen Fähigkeiten in Hacking-Software? Eine Analyse von Trend Micro zeigt die neuesten Entwicklungen und beleuchtet, welche Bedrohungen in der nahen Zukunft zu erwarten sind.

Schnelle Erholung auch im Angriffsfall

Heutzutage beginnen die meisten Cyberangriffe ohne den Einsatz von Malware, sondern mithilfe kompromittierter Zugangsdaten. In Konsequenz können sich Cyberkriminelle, trotz zahlreicher Sicherheitsmaßnahmen, leicht Zugriff auf Systeme verschaffen, um im nächsten Schritt beispielsweise Ransomware zu verbreiten, Daten zu verschlüsseln, sensible Daten zu exfiltrieren oder auch IT-Assets zu blockieren.

Nur umfassende Prävention bietet wirksamen Schutz

Ransomware stellt eine enorme Bedrohung für Unternehmen dar, da die Angreifer immer raffinierter und schneller bei der Ausführung ihrer Angriffe werden. Die neuesten Statistiken zeigen, dass Unternehmen zwar ihre Fähigkeit zur Erkennung von Ransomware-Angriffen verbessert haben und die Erkennungszeit um 44 Prozent von neun Tagen auf nur fünf Tage verkürzen konnten.

Best Practice "immutable" Datenspeicherlösung

Aufgrund steigender Kosten in sämtlichen Geschäftsbereichen stehen Unternehmen unabhängig von Größe und Branchenzugehörigkeit unter starkem Druck. Doch das Sparen am falschen Ende kann Unternehmen in Schwierigkeiten bringen. Dies trifft insbesondere für die Cybersicherheit zu.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.