Highlights aus dem Keyfactor-Ponemon Institute Report 2019: Die Auswirkungen von ungesicherten digitalen Identitäten
Die letzte Hälfte des Jahres 2018 hat uns gelehrt, dass sehr schlimme Dinge passieren, wenn Zertifikate nicht verwaltet werden. Von der Sicherheitsverletzung bei Equifax, die aufgrund eines abgelaufenen Zertifikats 76 Tage lang unentdeckt blieb und 700 Mio. USD an Geldstrafen nach sich zog, bis hin zu dem massiven Ausfall, von dem fast alle Kunden von O2 und Softbank betroffen waren Diese Unternehmen haben bewiesen, dass Millionen von Menschen betroffen sind, wenn Zertifikate nicht ordnungsgemäß verwaltet werden.
Als CSO macht mir das wirklich Sorgen.
Eine neue Studie, die vom Ponemon Institute für Keyfactor durchgeführt wurde, zeigt, wie groß die Herausforderung ist - und zum ersten Mal werden die Auswirkungen eines ineffektiven Zertifikats- und Schlüsselmanagements mit den organisatorischen KPIs in Verbindung gebracht, die Führungskräfte wie uns nachts wach halten.
Die faszinierenden Kosten von abgelaufenen Zertifikaten
Der Bericht, der Beiträge von 600 Befragten aus nahezu allen Branchen enthält, hebt die Bedenken der technischen Gemeinschaft hervor, dass mangelnde Aufmerksamkeit und Investitionen in das digitale Identitätsmanagement die Unternehmen gefährden.
Stellen Sie sich das vor - Plattformen, Prozesse und Identitäten, die sich über das gesamte Unternehmen erstrecken, sind jeden Tag gefährdet. In 100 % der in der Studie vertretenen Branchensegmente ist die Fähigkeit zur Erkennung, Inventarisierung und Automatisierung eine der größten Herausforderungen für unsere PKI-Teams (oder in vielen Fällen, selbst in großen Unternehmen, für eine einzelne Person!). 74 % der Befragten gaben an, dass sie bereits einen erheblichen Ausfall aufgrund eines abgelaufenen Zertifikats erlebt haben, und 42 % glauben, dass in den nächsten Monaten ein weiterer Ausfall mit ähnlichen oder größeren Auswirkungen auftreten wird.
71 % der Befragten gaben an, dass die mangelnde Transparenz darüber, welche Zertifikate und Schlüssel tatsächlich im Unternehmen eingesetzt werden, ein großes Problem darstellt.
Das Wichtigste ist also: Wir wissen, dass Ausfälle die Produktivität kosten und sich auf die Kunden auswirken können - aber das wird oft als Kosten der Geschäftstätigkeit abgetan. Der Bericht wirft ein Licht auf die weitaus größeren wirtschaftlichen Kosten für das Unternehmen:
- Der durchschnittliche wirtschaftliche Verlust durch ein abgelaufenes Zertifikat beträgt 11,1 Millionen Dollar.
- Fehlgeschlagene Audits aufgrund eines Mangels an klarem Zertifikats- und Schlüsselmanagement und Richtlinien haben Auswirkungen in Höhe von 14,4 Millionen Dollar
- Die wirtschaftlichen Auswirkungen des Missbrauchs von Code-Signatur-Zertifikaten und Schlüsseln belaufen sich auf über 15 Millionen Dollar
Diese Zahlen sind nicht die Kosten für die Geschäftstätigkeit, sondern sie sind aussagekräftig genug, um die Vorstände einzubeziehen und die Unternehmensbewertung zu beeinflussen. Diese Art von Kosten geht weit über einen Haushaltsposten hinaus.
Wie können wir also das Risiko vermeiden - oder zumindest minimieren -?
Investitionen in das digitale Identitätsmanagement
In vielen Fällen wird die Ermittlung, Inventarisierung und Verwaltung von Zertifikaten manuellen Prozessen überlassen, die anfällig für menschliche Fehler sind.
Wenn ich Leute frage, wie sie Zertifikate verwalten, verwendet die überwältigende Mehrheit immer noch eine Tabelle, um zu verfolgen, welche Zertifikate wo vorhanden sind und wann sie ablaufen. In einigen Fällen haben Kunden in Produkte zur Zertifikatsverwaltung investiert, verfügen aber aufgrund von Lizenzierungsmodellen pro Zertifikat nur über das Budget, um eine Teilmenge aller Zertifikate zu verfolgen, wodurch ein großer Teil des Unternehmens ungeschützt bleibt.
Ich hoffe, dass dieser Bericht zumindest als Weckruf dient. Als Cybersicherheits- und IT-Führungskräfte zählen unsere Unternehmen auf uns, wenn es darum geht, Lösungen anzubieten (und um ganz offen zu sein: mein Unternehmen bietet eine an), und die Chancen stehen gut, dass Ihr PKI-Experte versucht, ein Geschäft für genau das aufzubauen.
Ich würde gerne mehr über die Erfahrungen in Ihrem Unternehmen erfahren und sie mit den Ergebnissen des Berichts vergleichen. Bitte setzen Sie sich mit mir in Verbindung, um einen Termin für ein Gespräch zu vereinbaren.
