Mozilla führt SHA-1 wieder ein – Ein Schritt zum “In”-Security by Design?
Autor/Redakteur: Kevin Bocek, Vice President, Security Strategy & Threat Intelligence bei Venafi/gg
Obwohl Mozilla eigentlich plante, ab dem 1. Januar 2016 keinen SHA-1 Algorithmus für Verschlüsselungen im weitverbreiteten Firefox-Browser unterstützen zu wollen, wurde dieser Schritt nach wenigen Tagen wieder rückgängig gemacht. Für das Vertrauen in die Cyberwelt und die IT-Sicherheit ist dieser Schritt grob fahrlässig. Bereits 2006 erklärte das National Institute of Standards and Technology (NIST) SHA-1 für unsicher und empfahl die Nutzung einzustellen. Allerdings fürchten Unternehmen, dass sie an Wahrnehmung einbüßen, wenn sie in ihren Onlineangeboten den unsicheren Algorithmus nicht mehr unterstützen.
Über 1,5 Millionen Zertifikate nutzen SHA-1 momentan und werden nach 2017 aktiv bleiben. Ab diesem Zeitpunkt sollten nahezu alle Browser die Unterstützung einstellen. 30 Prozent aller SSL-Zertifikate setzen aktuell immer noch auf SHA-1 zur Sicherung von Homepages. Dies zeigt, dass das Risiko falsch eingeschätzt wird, obwohl die Faktenlage eindeutig ist.
Für Cyberkriminelle ist SHA-1 eine offene Einladung. Zwar stehen mit SHA-2 und anderen Verschlüsselungstechnologien ausgereifte Alternativen zu Verfügung – was fehlt ist der Wille zur Veränderung. Wenn man nicht anfängt die Sicherheit von digitalen Zertifikaten und Schlüsseln Ernst zunehmen, zerbricht das Vertrauen in das Internet als Wirtschaftsraum. Heartbleed hat gezeigt, wie angreifbar das Internet ohne ein entsprechendes Immunsystem ist.
Mozilla galt bisher als ein Unternehmen, das viel Wert auf die Sicherheit der Nutzer legt. Dieser Rückzug sendet allerdings ein schlechtes Signal an die Wirtschaft und die Gesellschaft. Daher kann es gut sein, dass die Bundesregierung nach dem IT-Sicherheitsgesetz noch weitere Rechtsakte verabschiedet. Im aktuellen Lagebericht zur IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) heißt es wörtlich: “Es bleibt abzuwarten, wie sich die IT-Risikosituation in anderen Anwendungsbereichen außerhalb der Kritischen Infrastrukturen entwickelt. Auch hier kann, wenn sich durch Marktmechanismen kein angemessenes IT-Sicherheitsniveau einstellt, eine weitere IT-Sicherheitsgesetzgebung sinnvoll sein.”
Organisationen sollten schon frühzeitig die Umstellung planen und Lösungen implementieren, um Zertifikate und Schlüssel automatisiert zu verwalten. Die Gefahr für das Vertrauen ist so umfassend, dass ein generelles Umdenken erforderlich zu sein scheint. In der neuen Datenschutzgrundverordnung (GDPR) ruft die EU unter anderem die Begriffe Security-by-Default und Security-by-Design auf. Dabei geht es um die Einführung einer neuen Kultur des Risikobewusstseins. Jeder Bestandteil von IT-Systemen soll nach entsprechendem Stand der Technik von Haus geschützt werden. Unternehmen und User sollten sich der Sicherheitsproblematik bewusst werden und Schutz von Informationen einen höheren Stellenwert zukommen lassen.
Daher ist die Wiedereinführung von SHA-1 ein Schritt in die falsche Richtung. Firmen haben jetzt noch die Möglichkeit, pro-aktiv eigene Maßnahmen zu ergreifen. Wenn man damit scheitert, wird das Vertrauen in die digitale Kommunikation nachhaltig geschädigt und die Politik wird weitere Sicherheitsgesetzte verabschieden müssen. Dies wird den wirtschaftlichen Fortschritt lähmen und Unternehmen unter Druck setzen. Darum müssen Unternehmen ihre Sicherheitsarchitektur für digitale Zertifikate und Schlüssel dringend umstellen.
