Unternehmen aller Größenordnungen haben sich die digitale Transformation zu eigen gemacht, um neue Einnahmequellen zu erschließen, effizienter zu arbeiten und schneller als je zuvor hochwertige Produkte und Dienstleistungen bereitzustellen. Neue Datenverarbeitungsplattformen und Entwicklungspraktiken - von der mobilen Belegschaft bis hin zur Cloud, IoT und DevOps - schaffen mehr Möglichkeiten für Wachstum und Agilität.
Die Konnektivität hat folglich exponentiell zugenommen und reicht über die traditionellen Grenzen hinaus. Das Internet ist zur neuen Betriebsplattform geworden, da Unternehmen von in sich geschlossenen, hochgradig vertrauenswürdigen Netzwerkumgebungen zu verteilten Multi-Cloud-Infrastrukturen übergehen.
Durch die wachsende Zahl vernetzter Geräte und Anwendungen in Verbindung mit den sich ständig ändernden Geschäftsabläufen von Unternehmen werden riesige Mengen an geschäfts- und lebenswichtigen Daten (im Falle medizinischer Geräte) über Millionen von Verbindungspunkten übertragen, wodurch sich unsere potenzielle Angriffsfläche vervielfacht.
Wie können Organisationen in dieser Welt ohne traditionelle Grenzen und Netzwerkgrenzen Vertrauen aufbauen?
Die Rolle der digitalen Identitäten
Die digitale Identität ist die Grundlage für die Sicherheit in diesem neuen Paradigma. Sicherheitsteams müssen identifizieren, was vertrauenswürdig ist und was nicht, bevor sie den Zugriff auf wichtige Daten ermöglichen. Jeder Benutzer, jedes Gerät und jede Anwendung benötigt eine eindeutige digitale Identität, um sich gegenseitig zu authentifizieren und sicher miteinander zu verbinden.
Um dies zu ermöglichen, verwenden Unternehmen digitale Zertifikate und Schlüssel, um die Authentizität zu überprüfen und die Kommunikation zu verschlüsseln. Da die Konnektivität jedoch immer weiter zunimmt, steigt auch die Anzahl der Schlüssel und Zertifikate, die zum Schutz dieser Verbindungen verwendet werden, und damit auch die Komplexität ihrer Verwaltung.
Weitverbreitete Sicherheitslücken
Fast die Hälfte der Unternehmen verwendet mehr als 10.000 Zertifikate in ihrer IT-Umgebung. Ohne ordnungsgemäße Verwaltung können diese Vermögenswerte, die Vertrauen schaffen sollen, nur allzu schnell zu Risikopositionen werden. Kompromittierte private Schlüssel, die zum Signieren von Code oder Entschlüsseln sensibler Daten verwendet werden, können von Angreifern als "Waffe" eingesetzt werden, um Malware zu verbreiten oder Daten zu stehlen, während abgelaufene Zertifikate unternehmenskritische Anwendungen oder sogar ganze Netzwerke zum Erliegen bringen können.
Immer mehr Unternehmen sind Opfer von zertifikatsbedingten Ausfällen geworden, von denen insgesamt Millionen von Endbenutzern betroffen sind. Unbekannte oder abgelaufene Zertifikate führen jedoch nicht nur zu Systemausfällen, sondern schaffen auch blinde Flecken im Netzwerk, die Unternehmen anfällig für Sicherheitsverletzungen machen. Ein offensichtliches Beispiel dafür ist die Sicherheitsverletzung bei Equifax, die aufgrund eines einzigen abgelaufenen Zertifikats monatelang unentdeckt blieb.
Diebstahl und Missbrauch von Schlüsseln haben auch Unternehmen erheblichen Schaden zugefügt. Erst in diesem Jahr wurden zwei große Sicherheitsverletzungen öffentlich bekannt. In beiden Fällen verschafften sich Angreifer Zugang zu schlecht geschützten privaten Schlüsseln, um Malware auf Tausende von Geräten zu verteilen (im Fall von ASUS) oder das Vertrauen der Kunden zu erschüttern (im Fall von NordVPN).
Es ist zwar einfach, diese wenigen Beispiele zu nennen, aber die zugrundeliegenden Sicherheitslücken, die diese Vorfälle verursacht haben, sind in den meisten Unternehmen weit verbreitet. Laut einem Ponemon-Bericht von 2019 geben 74 % der Unternehmen an, dass Zertifikate ungeplante Ausfallzeiten oder Ausfälle verursacht haben und immer noch verursachen. Darüber hinaus wird der Diebstahl und Missbrauch von Serverschlüsseln und Zertifikaten in den nächsten zwei Jahren 39 % der Unternehmen betreffen.
Aber warum wird die Situation immer schlimmer statt besser?
Vermehrte Risiken und Herausforderungen
Trotz der Fortschritte bei der Containerisierung, der Cloud und der IoT verwendet die Mehrheit der PKI-Administratoren immer noch veraltete Methoden zur Bereitstellung und Verwaltung von Zertifikaten. Die manuelle Nachverfolgung von Zertifikaten in Tabellenkalkulationen oder mithilfe benutzerdefinierter Skripte mag für die statische Infrastruktur der 90er Jahre ausreichend gewesen sein, aber moderne Umgebungen sind agil und automatisiert. Die meisten Unternehmen verfügen einfach nicht über die Mitarbeiter, Prozesse und Technologien, die erforderlich sind, um Zertifikate in der Geschwindigkeit und in dem Umfang bereitzustellen, zu aktualisieren und zu widerrufen, wie es ihr Geschäft heute erfordert.
Kürzere Lebenszyklen von Zertifikaten aufgrund von Branchenvorgaben und eine sofort skalierbare Infrastruktur bringen neue Herausforderungen mit sich, die die Arbeitslast für IT- und Sicherheitsteams in vielen Fällen um das Zwei- bis Dreifache erhöhen. Ein Flickenteppich aus Tabellenkalkulationen, interner PKI und öffentlichen Zertifizierungsstellen (CAs) führt zu Ineffizienz und birgt das Risiko von Ausfällen oder Verstößen aufgrund menschlicher Fehler.
Es reicht nicht aus, mit dem Ablauf von Zertifikaten Schritt zu halten. Die kryptografischen Algorithmen, auf die wir uns heute verlassen, werden eines Tages veraltet sein, wenn nicht durch veränderte Industriestandards, dann durch Fortschritte im Quantencomputing, die selbst die stärksten Schlüssel und Algorithmen angreifbar machen könnten. Das Finden und Ersetzen von Algorithmen in großem Maßstab wird für die meisten problematisch sein, wenn man bedenkt, dass es Jahre gedauert hat, bis Unternehmen von den Algorithmen MD5 und SHA1 abgekommen sind.
Ein effektives PKI- und Kryptographiemanagement erfordert auch die richtigen Fachkenntnisse und Ressourcen, doch die Sicherheitsteams haben Schwierigkeiten, diese zu finden und zu behalten. Nur 39 % der Unternehmen geben an, dass sie über genügend IT-Sicherheitspersonal für die PKI-Einführung verfügen. Kein Wunder, dass es in den letzten Jahren immer wieder zu Vorfällen im Zusammenhang mit Zertifikaten und Schlüsseln gekommen ist.
Lässt die digitale Transformation Ihr Unternehmen ungeschützt?
Als IT- und Sicherheitsverantwortliche werden wir mit Berichten über Sicherheitsverstöße überschwemmt. Unsere Newsfeeds sind so voll mit Artikeln und Beiträgen, dass wir daran abgestumpft sind. Es ist jedoch klar geworden, dass die Veränderungen in der IT-Landschaft unsere Unternehmen angreifbarer machen als je zuvor.
Erfahren Sie mehr darüber, wie Unternehmen ihre digitalen Identitäten im Jahr 2020 schützen. Lesen Sie den Keyfactor-Ponemon Institute Report 2020, um herauszufinden, wie Ihr Unternehmen abschneidet.