Die Welt der PKI und IoT im Jahr 2017
Im Jahr 2017 wird die Public Key Infrastructure (PKI) ihren Platz als grundlegender Standard für die digitale Identifizierung, Authentifizierung und Verschlüsselung weiter festigen - vor allem, wenn sich das Internet der Dinge (IoT ) weiterentwickelt und die Sicherheitsbedenken zunehmen. Der Bedarf an vertrauenswürdigen digitalen Identitäten wird für die allgemeine Sicherheit des Internets von größter Bedeutung sein. In dem Maße, wie Unternehmen versuchen, das IoT zu sichern, wird PKI wieder zu einer kosteneffizienten und bewährten Technologie, die eine sichere und leistungsstarke Lösung bietet.
Vorhersage 1: Die PKI wird weiterhin exponentiell wachsen und zum De-facto-Standard für die digitale Identifizierung, Authentifizierung und Verschlüsselung werden.
Wie im letzten Jahr vorausgesagt, werden SSL/TLS Zertifikate immer noch häufig für das sichere Surfen im Internet verwendet, und CSS beobachtet weiterhin den weit verbreiteten Einsatz von firmeneigenen PKI für die Authentifizierung von Daten, Geräten, Anwendungen und Benutzern in kommerziellen Anwendungen.
Angesichts der weiten Verbreitung von Cloud-basierten Produkten, Diensten und Tools ist SSL/TLS sicherlich erforderlich. Die Thales Ponemon 2016 PKI Global Trends Study ergab, dass die einflussreichsten Trends, die die Nutzung von PKI vorantreiben, weiterhin sind:
- Cloud-basierte Dienste - 61 % der Befragten
- Mobile Verbraucher - 52 % der Befragten
- Internet der Dinge - 28 % der Befragten (Anstieg von 21 % im Jahr 2015)
In den letzten zwei Jahren wurden zahlreiche SSL Zertifikats- und Endpunktschwachstellen aufgedeckt, zuletzt DROWN, "Severe", Sparkle, BadLock und ältere Angriffe wie Heartbleed, FREAK, POODLE und Apple man-in-the-middle. Trotz solcher Angriffe ist die PKI nach wie vor das vertrauenswürdige Rückgrat für eine sichere Authentifizierung. Zertifikatstransparenz entwickelt sich zu einer PKI-basierten Praxis, die die Sicherheit von SSL Zertifikaten für das Internet gewährleistet. Angesichts der sich ständig weiterentwickelnden Bedrohungen haben sich PKI-basierte Verfahren derzeit als "beste Sicherheitsoption" erwiesen.
Jedes Unternehmen in allen Branchen muss proaktiv die Sicherheit und ordnungsgemäße Nutzung von PKI-Umgebungen sowie die Ausstellung, Überwachung und Berichterstattung von SSL/TLS Zertifikaten sicherstellen. CSS Research hat festgestellt, dass nur 15 % der Unternehmen 1.000 oder mehr Zertifikate von Drittanbietern erwerben. CSS Research stellte außerdem fest, dass fast 12 % aller im Internet veröffentlichten Zertifikate zu Geräten und nicht zu Websites gehören - der Anstieg von IoT hält an. Insgesamt gesehen steigt die Gesamtzahl der Zertifikate im Internet weiter an, und CSS Research geht davon aus, dass die treibenden Faktoren sowohl digitale Zertifikate sind, die von einer unternehmensspezifischen PKI ausgestellt wurden, als auch IoT .
Eine ordnungsgemäß implementierte, gut verwaltete PKI stellt einen hochsicheren, kostengünstigen Rahmen für die Ausstellung vertrauenswürdiger Zertifikate für eine Vielzahl von Anwendungsfällen dar. Infolgedessen richten Unternehmen routinemäßig ihre eigenen unternehmensspezifischen internen PKIs ein, und viele verwalten Millionen oder mehr Zertifikate, um digitale Identitätsauthentifizierung, Verschlüsselung und Signierung für Cloud-Dienste, mobile Geräte und mobile Anwendungen anzubieten.
Vorhersage 2: PKI wird sich als bestes Verfahren für die Identifizierung, Authentifizierung und sichere Kommunikation für IoT Geräte etablieren.
Die Unternehmen entwickeln und lancieren weiterhin IoT Innovationen, die Produkte und Dienstleistungen anpassen, um das Leben schneller, besser und zugänglicher zu machen. Die Weiterentwicklungen von IoT helfen den Unternehmen, ihren Umsatz zu steigern, die betriebliche Effizienz zu verbessern, gesetzliche Vorschriften zu erfüllen, die Sicherheit zu erhöhen und Vermögenswerte zu schützen. Laut Gartner wird der globale IoT Markt von 591,7 Milliarden Dollar (im Jahr 2014) auf 1,3 Billionen Dollar im Jahr 2019 wachsen, und die Zahl der angeschlossenen IoT Endpunkte wird 2019 auf mehr als 25,6 Milliarden und 2020 auf 30 Milliarden ansteigen.
Dies ist ein schnell wachsender, vielversprechender Markt. Wenn sie jedoch nicht ordnungsgemäß identifiziert, authentifiziert und gesichert werden, können IoT Geräte eine Vielzahl von Bedrohungen für Unternehmen darstellen und diese verstärken. Cyber-Bedrohungen, Ausfälle und Datenschutzverletzungen sind auf dem besten Weg, erhebliche Auswirkungen auf den Umsatz und den Ruf wachsender Unternehmen weltweit zu haben, wenn die Sicherheit von IoT nicht mitzieht.
Die sichere Authentifizierung für IoT Geräte muss skalierbar und kostengünstig sein. Herkömmliche Methoden der digitalen Authentifizierung sind für die Art und Menge der Geräte, Daten, Personen und Anwendungen, die authentifiziert, verschlüsselt oder signiert werden müssen, möglicherweise nicht so sicher, kostengünstig oder effizient. Ganz zu schweigen davon, dass der Erwerb von Zertifikaten von Drittanbietern die Produkt- und Servicekosten immens in die Höhe treibt.
"Passwörter und gemeinsam genutzte Schlüssel eignen sich nicht gut für die Benutzerauthentifizierung und sind sogar noch schlechter für die Geräteauthentifizierung", so Wayne Harris, Principal Consultant bei CSS. "Wir sehen bereits, dass IoT -Geräte für DDoS-Angriffe genutzt werden, und gehen davon aus, dass 2017 noch mehr davon betroffen sein werden.
Vorhersage 3: PKI wird dem Trend zur "Cloudifizierung der IT" in Form von Cloud-basierten Implementierungen folgen.
Trotz Sicherheitslücken in der Cloud und SaaS-Schwachstellen nimmt das Zögern, wichtige Systeme und Anwendungen in die Cloud zu verlagern, in allen vertikalen Bereichen ab. Vor fünf Jahren hielt die Angst vor Servern in der Cloud viele Unternehmen davon ab, eine Vielzahl betrieblicher Vorteile zu nutzen. Heute haben die meisten jedoch die wirtschaftlichen Vorteile erkannt, die sich aus der Befreiung von der Verwaltung der Infrastruktur ergeben, um sich auf das zu konzentrieren, was geschäftskritisch ist.
Die zunehmende Akzeptanz von Zertifikaten in Verbindung mit einer geringeren Zurückhaltung gegenüber der Cloud bedeutet, dass PKI zusammen mit ihren Pendants im Bereich der Cybersicherheit in die Cloud verlagert wird, und Unternehmen, die Kosten und betriebliche Effizienz optimieren möchten, können von einer Cloud-basierten PKI profitieren.
"Unser am schnellsten wachsender Dienst ist die Cloud-basierte Unternehmens-PKI. Die Lösung ist sicherer und kosteneffizienter und ermöglicht Cloud-basierte PKI für IoT", kommentiert Ted Shorter, CTO bei CSS.
Vorhersage 4: SHA-1 wird irgendwann ausgenutzt werden, um ein "voll gültiges" gefälschtes Zertifikat zu erstellen.
In der Cybersicherheits-Community ist allgemein bekannt, dass der SHA-1-Signaturalgorithmus schwach ist und schließlich durch eine Hash-Kollision geknackt werden kann. Die Prognosen für die Kosten und den Zeitaufwand, die zum Knacken von SHA-1 benötigt werden, sind immer niedriger geworden. Während das Hashing verschiedener Nachrichten zu eindeutigen Hashes führen sollte, können tatsächliche Kollisionen dazu führen, dass derselbe Hash-Wert für verschiedene Nachrichten erzeugt wird, was zur Erstellung gefälschter Zertifikate ausgenutzt werden kann.
Im Jahr 2012 sagte Bruce Schneier voraus, dass eine SHA-1-Kollision bis 2015 mit Kosten in Höhe von 700.000 US-Dollar verbunden sein könnte. Dieselbe Studie schätzte, dass eine solche Kollision bis 2018 mit Kosten von nur 173.000 Dollar möglich wäre. Eine andere Schätzung geht davon aus, dass eine Freestart-Kollision innerhalb weniger Monate mit einer ähnlichen Computerleistung wie Amazons EC2-Cloud zu Kosten zwischen 75 000 und 120 000 US-Dollar durchgeführt werden könnte, obwohl dieser spezielle Angriff Einschränkungen bei der Formatierung vorsieht, die bei einem X.509-Zertifikat nur schwer zu erfüllen wären.
Große und kleine Unternehmen sind extrem anfällig, und die Reaktion nach einem Einbruch kann schnell Millionen von Dollar kosten - ebenso wie die Behebung. Ganz zu schweigen davon, dass in der heutigen Zeit 173.000 US-Dollar und/oder ein paar Monate Rechenleistung für Cyberkriminelle durchaus erschwinglich sind. Angesichts der geringeren Kosten und der Fortschritte bei der Rechenleistung und der Kryptoanalyse ist es eine Frage des "wann" und nicht des "ob" eine SHA-1-Kollision stattfindet.
Shorter merkte an: "Wir haben weiter beobachtet, und wir haben immer noch keinen SHA-1-Zertifikatskollisionsangriff in freier Wildbahn gesehen - was eine gute Sache ist. Das heißt aber nicht, dass es nicht bald soweit ist, und die Tatsache, dass der SHA-1-Algorithmus sehr anfällig ist, ist unbestreitbar. Alle Unternehmen sollten bereits auf SHA-2 umgestellt sein, und diejenigen, die dies noch nicht getan haben, sollten es zur obersten Priorität machen. Abgesehen von Schwachstellen und praktischer Kryptographie werden die Browser SHA-1 bald nicht mehr akzeptieren.
CSS Research gibt an, dass der Prozentsatz der Zertifikate, die noch mit SHA-1 signiert sind, bei über 46 % der gesamten im Internet veröffentlichten Zertifikate liegt.
Vorhersage 5: Die Blockchain wird weiter an Bedeutung gewinnen, allerdings mit ihren eigenen Anwendungsfällen.
Blockchain hat sich durchgesetzt, wächst weiter und gewinnt an Aufmerksamkeit. Im Jahr 2017 wird sie wahrscheinlich ihren Höhepunkt im Gartner-Hype-Zyklus erreichen, wie CoinDesk berichtet, aber die Tech-Community wird sicherlich noch mehr darüber hören.
Derzeit herrscht unter den Beobachtern der Entwicklung der Blockchain-Technologie eine Art Zwiespalt. Einerseits verstehen viele Menschen in der Tech-Community die Anwendungen der Blockchain nicht vollständig, da sie nicht nur als Ledger-System für Finanzanwendungen dienen. Nach Angaben von Gartner wird Blockchain derzeit von weniger als 1 % der Gesamtnutzerschaft verwendet. Andererseits scheinen viele Nutzer in der Tech-Community das Aufkommen von Blockchain mit "überhöhten Erwartungen" an seine Vorteile zu feiern, ähnlich wie beim Einstieg von IoT.
Es ist nicht so, dass Blockchain keine Veränderungen mit sich bringen würde; die Auswirkungen und der Einfluss werden erheblich sein. Aber Blockchain ist noch dabei, seinen Platz zu finden, und die korrekte Einführung wird weitgehend vom Fachwissen derjenigen abhängen, die die Implementierung durchführen, sowie von kritischen Blockchain-Governance- und Compliance-Fragen.
Es ist wichtig zu beachten, dass sich PKI und Blockchain in keiner Weise gegenseitig ausschließen - sie haben völlig unterschiedliche Funktionen. Während die Blockchain noch dabei ist, sich an ihre Rolle zu gewöhnen, bleibt die PKI eine bewährte, seit langem bestehende Technologie für die sichere Ausstellung digitaler Zertifikate, die für eine Vielzahl von Anwendungsfällen geeignet ist und auch weiterhin von Sicherheitsorganisationen in allen Branchen genutzt und übernommen werden wird.
Vorhersage 6: Die Sicherheit auf IoT wird sich eher verschlechtern, als dass sie besser wird.
Das Internet der Dinge hat unendliche Möglichkeiten für praktisch jeden denkbaren Bereich eröffnet. Heute gibt es eine riesige Anzahl von vernetzten Geräten, und in der Zukunft wird eine scheinbar unüberschaubare Anzahl von vernetzten Geräten aktiv sein. Heute gibt es kaum noch Geräte, die nicht mit dem Internet verbunden werden können, was die datenhungrigen, nach sofortigen Ergebnissen verlangenden Verbraucher zufriedenstellt, die Hersteller aber vor das anhaltende Dilemma stellt: Wie wird die IoT gesichert?
Die Unternehmen sind mehr damit beschäftigt, ein Produkt schnell auf den Markt zu bringen, als angemessene Sicherheitskontrollen zu implementieren, was die allgemeine Sicherheit von IoT Geräten beeinträchtigt. Darüber hinaus sind die früheren software Patching-Prozesse keine Option für möglicherweise unterschiedliche IoT Geräte wie z. B. eine Glühbirne, die sich nie wieder in den Händen eines Entwicklers befinden wird - was die Fähigkeit, geeignete Sicherheitskontrollen für solche Geräte durchzuführen, weiter beeinträchtigt. Keine Branche konnte das Ausmaß vorhersehen, in dem sich IoT durchsetzen würde, oder die sich daraus ergebenden Sicherheitsauswirkungen. Heute gibt es mehr Sicherheitsverletzungen als je zuvor, und jeden Tag werden mehr Möglichkeiten zur Ausführung einer Verletzung geboren. IoT Geräte werden zunehmend für DDoS-Angriffe verwendet, da sie mit einem Netzwerk verbunden sind und aufgrund der fadenscheinigen Passwortanforderungen eine weitere Schwachstelle darstellen.
Dennoch gibt es immer noch keinen einheitlichen, branchenübergreifenden Rahmen, der die Nutzung und die Sicherheitspraktiken von IoT regelt - Automobil- und Gesundheitsgeräte sind die besten Beispiele dafür. Mehrere Faktoren beeinflussen den Grad der Komplexität, der es schwierig macht, die IoT zu steuern. Erstens sind die Entwicklungszyklen lang. Infolgedessen dauert es lange, Sicherheit in Objekte zu implementieren, vor allem dann, wenn die Sicherheit erst im Nachhinein berücksichtigt wird. Zweitens werden viele Produkte ohne die Möglichkeit eines Upgrades auf den Markt gebracht. Für viele Verbraucher besteht ein Upgrade darin, ein neues Produkt zu kaufen.
Es gibt jedoch auch einen positiven Aspekt. Obwohl davon auszugehen ist, dass sich die Sicherheitsprobleme, mit denen IoT konfrontiert ist, verschlimmern werden, bevor eine allgemein anwendbare Lösung gefunden wird, gibt es Kontrollen, die die Hersteller in der Zwischenzeit durchführen können. Viele Unternehmen entscheiden sich dafür, schlüsselfertige Sicherheitslösungen in die Objekte einzubetten; PKI Managed Services werden zu einer Standardpraxis innerhalb der IoT.
Vorbereitet sein auf den schnellen Wandel in der Cybersicherheit: Fragen für 2017
Für den Erfolg eines Unternehmens ist es von entscheidender Bedeutung, auf die Geschwindigkeit des Wandels in der Cybersicherheit vorbereitet zu sein, denn in der gesamten Informationstechnologie ändert sich so viel. Der beste Weg für Ihr Unternehmen, die Kontrolle zu übernehmen, besteht darin, die richtige Expertise an Deck zu haben, wenn sich Ihre IT- und Sicherheitsstrategien ändern.
Wenn Sie die Optionen für die Implementierung und Verwaltung von PKI abwägen, sollten Sie mit CSS sprechen. Unsere CSS Research-, Professional Services- und Entwicklungsteams bestehen aus Experten auf dem Gebiet der digitalen Identität. Seit über einem Jahrzehnt sind wir vertrauenswürdige Sicherheitsberater für mehr als die Hälfte der Fortune 500-Unternehmen.
