Sie haben eine Wasseraufbereitungsanlage in Florida kompromittiert, die IT-Systeme von Krankenhäusern als Geiseln genommen, im Rahmen des SolarWinds-Angriffs Regierungsbehörden infiltriert und eine der größten Treibstoffpipelines der USA unterbrochen. Es besteht kein Zweifel daran, dass böswillige Organisationen - von staatlich gesponserten Bedrohungsgruppen bis hin zu Hackern, die im Keller hausen - immer raffinierter werden und es zunehmend auf unsere kritischen Infrastrukturen abgesehen haben.
Glücklicherweise ist das Bewusstsein für die Bedeutung der Modernisierung der Cybersicherheit in unserer kritischen Infrastruktur erwacht - und es ist höchste Zeit.
Am 12. Mai unterzeichnete Präsident Biden eine Durchführungsverordnung (Executive Order, EO) zur "Verbesserung der Cybersicherheit der Nation und zum Schutz der Netzwerke der Bundesbehörden". Diese EO kommt kurz nach dem jüngsten Ransomware-Angriff auf Colonial Pipeline und früheren Cybersicherheitsvorfällen, von denen Unternehmen von SolarWinds bis Microsoft betroffen waren.
Keyfactor lobt die US-Regierung für ihr rasches Handeln zur Modernisierung der Cybersicherheit der Bundesregierung. Bundesmaßnahmen allein reichen jedoch nicht aus, und Durchführungsverordnungen gehen nur so weit. Eine kohärente Strategie kann nicht ohne eine gleichberechtigte Partnerschaft und Beteiligung von Regierung und Privatwirtschaft erreicht werden.
Dieses Eingeständnis ist ein Schritt in die richtige Richtung. Allerdings wird in diesem Erlass die Tatsache anerkannt, dass der größte Teil "unserer kritischen Inlandsinfrastruktur im Besitz des Privatsektors ist und von diesem betrieben wird." Während die Regierung also den privaten Sektor dazu ermutigen kann, die Anweisungen der Bundesregierung zu befolgen, muss sie Wege finden, den privaten Sektor zur Teilnahme zu ermutigen und zu motivieren.
Wie Gartner betont, ist die Kryptografie eine kritische Infrastruktur für die digitale Wirtschaft und erfordert daher Aufmerksamkeit und Investitionen". Schauen wir uns die wichtigsten Abschnitte des EO an, um herauszufinden, welche Rolle die Kryptografie bei der Sicherung unserer Nation für die Zukunft spielt.
Zero-Trust-Architektur rückt in den Mittelpunkt
Abschnitt 3 des EO enthält Anordnungen zur "Modernisierung der Cybersicherheit der Bundesregierung" und nennt insbesondere Fortschritte bei "Cloud-Diensten und Zero Trust Architecture". Die Bundesregierung wird Migrationsschritte in Anlehnung an die Standards des National Institute of Standards and Technology (NIST) einführen.
Was hat das mit Kryptographie und Identität zu tun?
Wie in NIST SP 800-207 definiert, ist die Public Key Infrastructure (PKI) eine wesentliche Komponente zur Erreichung einer Zero Trust-Architektur. Eine kürzlich durchgeführte Umfrage unter Führungskräften ergab, dass 96 % der IT-Sicherheitsverantwortlichen der Meinung sind, dass PKI und digitale Zertifikate für Zero Trust unerlässlich sind.
Der EB legt dar, dass die Zero-Trust-Architektur "den Nutzern vollen Zugang gewährt, aber nur zu dem Minimum, das sie zur Erfüllung ihrer Aufgaben benötigen". Eine entscheidende Komponente der Zero-Trust-Architektur ist die Ausstellung und Verwaltung digitaler Identitäten - sowohl für Menschen als auch für Maschinen.
Die meisten Unternehmen konzentrieren sich jedoch fast ausschließlich auf menschliche Identitäten, ohne sich mit dem zunehmenden Problem der Maschinenidentität zu befassen. Die Realität sieht so aus: Wenn Sie wissen, dass autorisierte Benutzer nur autorisierte Maschinen oder Geräte verwenden, haben Sie das Risiko eines Verstoßes erheblich reduziert.
Die Forschung zeigt dies:
- 55 % der Unternehmen haben nicht genügend IT-Sicherheitspersonal für ihre PKI
- 60 % der Unternehmen haben keine formellen Zugangskontrollen für Code-Signatur-Schlüssel
- 40 % der Unternehmen verwenden immer noch Tabellenkalkulationen, um digitale Zertifikate manuell zu verfolgen
Diese Realität hinterlässt eine große Lücke in der Zero-Trust-Architektur, die geschlossen werden muss.
Null Vertrauen für Maschinenidentitäten
Die heutigen PKI- und Zertifikatsverwaltungspraktiken können das Tempo und den Umfang ihrer Maschinenidentitäten nicht bewältigen. Um eine Null-Vertrauenshaltung zu erreichen, wechseln Unternehmen zu Cloud-PKI-as-a-Service- und SaaS-Schlüsselverwaltungslösungen, um diese Identitäten in großem Umfang zu orchestrieren.
Vollständige Einsicht in jeden digitalen Schlüssel und jedes Zertifikat ist entscheidend für einen geordneten und wirksamen Plan zur Reaktion auf einen Vorfall.
Die kombinierten Lösungen von Keyfactor und PrimeKey geben den Kunden die Gewissheit, dass sie sichere Maschinenidentitäten ausstellen, die streng nach den aktuellen Standards (z.B. FIPS, NIST, Common Criteria) getestet wurden.
Unsere Krypto-Agilitätsplattform ermöglicht Unternehmen eine einfache Inventarisierung der verwendeten Zertifikate und Schlüssel und eine schnelle und einfache Identifizierung derjenigen Verschlüsselungsschlüssel und Rechneridentitäten, die nicht sicher sind oder gewartet oder ausgetauscht werden müssen.
Die Anwendungsfälle von PKI und Zertifikaten gehen über die traditionellen Unternehmensanwendungen hinaus. Bundesbehörden und Industrieunternehmen können Zertifikate nutzen, um angeschlossene Geräte von herkömmlichen Servern und Workstations bis hin zu den neuesten IoT Geräten zu sichern.
Wir werden sehen, wie sich dies in Abschnitt 4 auswirkt.
Sicherheit in der Lieferkette braucht Krypto-Agilität
Abschnitt 4 befasst sich mit der Sicherung vernetzter Geräte durch "Verbesserung der Sicherheit der Software Lieferkette". Die EO wird "Entwickler dazu verpflichten, ihre software transparenter zu gestalten und Sicherheitsdaten öffentlich zugänglich zu machen."
So wird der Verkäufer verpflichtet, dem Käufer eine Software Bill of Materials (SBOM) für jedes Produkt direkt oder durch Veröffentlichung auf einer öffentlichen Website zur Verfügung zu stellen. Der Erlass sieht auch ein "Pilotprogramm zur Schaffung einer Art "Energy Star"-Label vor, damit die Regierung - und die breite Öffentlichkeit - schnell feststellen kann, ob software sicher entwickelt wurde".
IoT Die Sicherheit der Lieferkette wird immer ernster genommen. Im Dezember 2020 unterzeichnete die US-Regierung das Gesetz IoT Cybersecurity Act, woraufhin das NIST den Leitfaden NISTIR 8259 veröffentlichte, in dem erläutert wird, wie IoT Anbieter bewährte Sicherheitspraktiken umsetzen können, darunter Punkte wie:
- Sichere Firmware-Updates durch den Einsatz von Identitäts- und Signierungstechnologien zur Begrenzung von Angriffen auf die Lieferkette
- Erstellen eines eindeutigen Bezeichners pro Gerät
- Verwendung vertrauenswürdiger hardware für die Speicherung von Kryptoschlüsseln
- Protokollierung und Rückverfolgbarkeit von Sicherheitsaktionen und -vorgängen auf Geräten und Anwendungen
- IoT Die Hersteller müssen umfassende SBOM zur Verfügung stellen, um Teilkomponenten zu identifizieren, bei denen Schwachstellen auftreten könnten.
- Krypto-Agilität im Hinblick auf die Aktualisierung der Vertrauensbasis, der Algorithmen oder der Schlüssellängen während der Lebensdauer des Geräts
Während Abschnitt 3 enorme Fortschritte bei Zero Trust Networking macht, wollen wir Zero Trust in der Lieferkettenfertigung vorantreiben. Wir sprechen schon seit einiger Zeit über die Bedeutung von Zero Trust Manufacturing, weil es bei der Sicherheit der Lieferkette an umfassenden und praktischen Best Practices fehlt.
Wie man so schön sagt, "Geld spricht". Der Erlass macht deutlich, dass "die Kaufkraft der Bundesregierung genutzt werden soll, um den Markt dazu zu bringen, Sicherheit in alle software von Grund auf einzubauen." Gute Sicherheit entsteht nicht durch Zufall, sondern durch bewusste und durchdachte Planung.
Nicht mehr gegen die Dose treten
Die Notwendigkeit, die gesamte Lieferkette zu schützen, ist in der Sicherheitsbranche nichts Neues, da sowohl hardware als auch software Lieferketten immer komplexer geworden sind. Der Schutz der Lieferkette ist jedoch nicht umsonst, und eine willkommene Auswirkung der Executive Order ist, dass Investitionen und bewährte Verfahren im Bereich der Cybersicherheit durch Beschaffungsausgaben gefördert werden.
Wir haben bei anderen ähnlichen Initiativen auf der ganzen Welt, wie z. B. der NIS-Richtlinie in der EU, gesehen, dass eine Initiative wie diese das Potenzial hat, die Sicherheit im Beschaffungswesen stärker in den Vordergrund zu rücken. Dies zwingt dazu, die Sicherheit bereits in der Entwurfsphase zu berücksichtigen, und ermöglicht es dem Beschaffungswesen, Ausgaben für Sicherheit zu tätigen, um Lösungen mit geringerer Cybersicherheitsreife zu vermeiden.
Keyfactor und PrimeKey verfügen über langjährige Erfahrung in der Bereitstellung von Maschinen- und Geräteidentitäten direkt am Anfang der Lieferkette. Von der Herstellung und Verwaltung dieser Identitäten über den gesamten Lebenszyklus bis hin zu integritätsgeschützten OTA-Updates software und den für Zero-Trust-Netzwerke erforderlichen Identitätserneuerungen und -widerrufen.
Unsere Vorarbeit ist mit technischen Standards und Richtlinien wie der NIST Guidance on Internet of Things Device Cybersecurity bereits geleistet, und die Industrie ist bereit, Lösungen auf der Grundlage dieser Richtlinien anzubieten.
Was kommt als Nächstes?
Einige Anbieter haben zwar vorgeschlagen, dass es "strenge finanzielle Konsequenzen für jedes Unternehmen" geben sollte, das die EO nicht einhält, aber Konsequenzen sind oft nicht die effektivste Methode, um Anreize zu schaffen.
Die Beschaffung von software durch die Regierung hat dem Privatsektor traditionell einen Anreiz gegeben, über den Preis zu konkurrieren. Die Einbeziehung einer guten Sicherheit in die Produkte und die Lieferkette erfordert Investitionen, und die staatliche Beschaffungspolitik muss Anreize für Investitionen in die Sicherheit schaffen, anstatt das derzeitige Beschaffungsmodell anzuwenden, das hauptsächlich auf dem niedrigsten Preis basiert.
Wir haben es schon oft erlebt. Alle wollen teure Zertifizierungen, aber niemand will dafür bezahlen, so dass es eher eine Vorstellung als eine Realität ist.
Nehmen Sie zum Beispiel FedRamp, ein Programm, das in diesem EO erwähnt wird.
FedRamp ist ein solides Programm zur Sicherstellung der Einhaltung staatlicher Standards für Cloud-Dienstanbieter. Allerdings ist FedRamp zu einem teuren Hindernis für neue Cloud-basierte Technologien geworden, die dem öffentlichen Sektor beim Schutz von Systemen und bei der Bereitstellung besserer Lösungen für die Reaktion auf Zwischenfälle gute Dienste leisten könnten.
Diese Zertifizierungen können schnell zu einem Albatros werden, der sowohl die Innovation als auch die Agilität der Bundesverwaltung beeinträchtigt, wenn sie umgesetzt werden.
Wir sind noch nicht fertig mit diesem Thema! Nehmen Sie an einer Podiumsdiskussion teil, bei der wir die wichtigsten Abschnitte des EO aufschlüsseln und Ihre Fragen dazu beantworten, welche Rolle die Kryptographie bei der Sicherung unserer Nation für die Zukunft spielt.
