Einblicke von Chief Security Officer, Chris Hickman, in den Keyfactor-Ponemon Institute Report 2019: Die Auswirkungen von ungesicherten digitalen Identitäten
Ganz gleich, ob Sie Ihre Website, Ihr Netzwerk oder Ihre IoT Geräte schützen müssen, digitale Zertifikate spielen eine grundlegende Rolle bei der Sicherung praktisch aller Geschäftsbereiche.
Als Chief Security Officer von Keyfactor spreche ich oft aus der Sicherheitsperspektive und vertrete die Ansicht, dass es wichtig ist, digitale Identitäten in verschiedenen Umgebungen zu schützen und den Missbrauch von Schlüsseln und Zertifikaten durch potenzielle Hacker zu verhindern. Diejenigen, die Ihnen Schaden zufügen wollen, verstecken sich in Ihrem Netzwerk, kompromittieren Ihr software und kapern Ihre angeschlossenen Geräte.
Aber es gibt noch eine viel weniger ruchlose, aber ebenso ernste Bedrohung für Ihr Unternehmen:
Abgelaufene Zertifikate.
Alle Zertifikate laufen ab. Unerwartete oder ungeplante Ausfälle aufgrund des Ablaufs von Zertifikaten sind nach wie vor ein großes Problem für Unternehmen.
Unabhängig davon, wie viel Zeit und Ressourcen Sie in die Prävention investieren, kann es oft wie ein verlorener Kampf erscheinen. Und die Realität ist, dass viele Unternehmen diese Strategie verfolgen. Sie akzeptieren die Niederlage und budgetieren für die Behebung von Ausfällen.
Praktisch? Vielleicht. Kosteneffizient? Weit gefehlt.
Die wahren Kosten von Ausfällen: Einnahmen, Reputation und Wiederherstellung
Die Sache ist die. Es braucht nur ein abgelaufenes Zertifikat, und schon können Sie den Zugang zu wichtigen Systemen verlieren, Kunden verärgern, den Geschäftsbetrieb aufhalten und letztlich den Ruf schädigen, den Sie sich über Jahre hinweg aufgebaut haben.
Selbst die größten Namen der Branche sind nicht davor gefeit. Man denke nur an den Ausfall von Microsoft Azure aufgrund eines vernachlässigten Zertifikats oder an die großen Netzwerkausfälle, die Millionen Menschen betrafen, nachdem Ericsson es versäumt hatte, abgelaufene software Zertifikate zu erneuern.
In jedem Fall ist nur ein abgelaufenes Zertifikat Dutzende von Millionen von Benutzern betroffen.
Erschwerend kommt hinzu, dass abgelaufene Zertifikate oft schwer zu diagnostizieren sind. Selbst die erfahrensten IT-Sicherheits- und Reaktionsteams brauchen unter Umständen Tage, um ein abgelaufenes Zertifikat als Schuldigen zu identifizieren. Dann gilt es, das Zertifikat überall im Unternehmen zu finden und zu ersetzen - eine fast unmögliche Aufgabe für diejenigen, die Zertifikate mit einer Excel-Tabelle verfolgen.
Reden wir über Zahlen
Wenn Sie tief in den Gräben des PKI-Betriebs stecken, können Sie sich dieses Szenario ohne weiteres vorstellen. Für Sie ist es ein alltägliches Risiko.
Aber seien wir ehrlich: Führungskräfte haben keine Ahnung von Schlüsseln und Zertifikaten (und machen sich auch keine Gedanken darüber). Und die einzigen Tabellen, die sie sehen wollen, sind Gewinn- und Verlustrechnungen und keine Verfallsdaten.
Lassen Sie uns also über Zahlen sprechen.
Eine kürzlich vom Ponemon Institute für Keyfactor durchgeführte Studie bietet Einblicke in die Herausforderungen von zertifikatsbedingten Ausfällen und die erheblichen Auswirkungen, die diese auf Ihr Unternehmen haben können. Aus den Antworten von 600 Befragten lassen sich einige der wichtigsten Erkenntnisse ableiten:
- Die Befragten hatten in den letzten zwei Jahren durchschnittlich vier Ausfälle von Zertifikaten zu verzeichnen
- Der durchschnittliche wirtschaftliche Schaden durch diese Vorfälle wird auf 11,1 Millionen Dollar geschätzt.
- Allein die Kosten der unmittelbaren Einnahmeverluste werden auf fast 3 Millionen Dollar geschätzt.
- Es besteht eine 30-prozentige Wahrscheinlichkeit, dass Unternehmen in den nächsten zwei Jahren die gleichen Probleme haben werden.
Aber wie kann nur ein abgelaufenes Zertifikat Ihr Unternehmen 11,1 Millionen Dollar kosten? Werfen wir einen Blick auf einige reale Szenarien, um die Dinge ins rechte Licht zu rücken.
Vor dem Kontakt mit Keyfactor nutzte ein multinationales Luftfrachtunternehmen digitale Zertifikate zur Sicherung seiner Logistiksysteme, von Flugplänen bis zum Ladungsmanagement. Ein Beispiel: Ein nicht verwaltetes Zertifikat lief ab und legte den Zugang zu diesen wichtigen Systemen lahm. Während sich die IT-Sicherheitsteams bemühten, die Ursache zu finden und das Problem zu beheben, wurde die gesamte Flotte am Boden gehalten.
Als das abgelaufene Zertifikat entdeckt und aktualisiert wurde, kam es zu zwei Tagen Betriebsunterbrechungen, die zu Umsatzeinbußen in Millionenhöhe führten.
Wie wäre es mit einem bekannten Beispiel? Der berüchtigte Diebstahl der persönlichen Daten von 148 Millionen Menschen bei Equifax blieb unglaubliche 76 Tage lang unentdeckt. Wie konnte das passieren? Equifax hat die Datenexfiltration nicht bemerkt, weil das Gerät, das einen solchen Verstoß erkennen sollte, aufgrund eines abgelaufenen Zertifikats 19 Monate lang inaktiv war. Es wird berichtet, dass Equifax fast 243 Millionen Dollar ausgegeben hat, um sich von dem Verstoß zu erholen.
Die Kosten für Ausfälle aufgrund abgelaufener Zertifikate sind bei weitem kein weiterer Posten in Ihrem Budget, sondern reichen aus, um die Aufmerksamkeit von Cybersicherheits- und IT-Führungskräften zu wecken.
Die gute Nachricht ist, dass es nicht unmöglich ist, Ausfälle zu vermeiden, aber es erfordert Konsequenz, um es richtig zu machen (ganz zu schweigen von der richtigen Technologie).
Wie Sie einen Ausfall verhindern, bevor er eintritt
Ausfälle aufgrund von abgelaufenen Zertifikaten sind völlig vermeidbar. Warum also plagen sie die Unternehmen auch heute noch?
In einigen Fällen haben sie in Tools für die Zertifikatsverwaltung investiert, haben aber aufgrund der Lizenzgebühren pro Zertifikat nur das Budget, um eine Teilmenge aller Zertifikate zu verfolgen. In den meisten Fällen entscheiden sich die Unternehmen jedoch dafür, die Zertifikate mit einer Tabellenkalkulation zu verfolgen. Es wird fast unmöglich, ein abgelaufenes Zertifikat schnell zu erkennen und darauf zu reagieren. Und wenn es zu einem Ausfall kommt, sind die Fristen für die Behebung entscheidend.
Was können Sie also tun, um den nächsten 11-Millionen-Dollar-Ausfall zu verhindern?
- Entdecken und inventarisieren Sie alle Zertifikate: Wissen Sie noch, wie viele Zertifikate Sie haben, von wem Sie sie gekauft haben oder wo sie sich befinden? Die Erneuerung von Zertifikaten ist nicht von Natur aus komplex - aber Sie müssen zuerst die Zertifikate in Ihrem Netzwerk finden, bevor Sie sie reparieren können. Und Sie sollten nicht durch ein Tool mit einem Preismodell pro Zertifikat eingeschränkt werden.
- Integration in bestehende Systeme: Wie schnell können Sie auf ein abgelaufenes Zertifikat reagieren? Kontinuierliche Überwachung und Warnmeldungen sind ein wichtiger nächster Schritt für das Lebenszyklusmanagement. Wahrscheinlich verfügen Sie bereits über entsprechende Tools. In den meisten Fällen genügt ein einfaches API-Plug-in zur Integration in Ihre bestehenden Ticketing- und Workflow-Systeme (z. B. ServiceNow oder Remedy).
- Investieren Sie in Automatisierungstechnik: Investitionen in die Automatisierung machen einfach Sinn. Sie verringern das Risiko menschlicher Fehler, gewährleisten eine kontinuierliche Verwaltung des Lebenszyklus von Zertifikaten und ermöglichen es dem IT-Personal, sich mit einem begrenzten Budget anderen wichtigen Initiativen zu widmen.
Ohne die richtigen Mitarbeiter, Prozesse und Tools können digitale Zertifikate oft wie tickende Zeitbomben wirken. Als Cybersicherheits- und IT-Führungskräfte, die die Geschäftsstrategie vorantreiben, wissen wir, dass wir durch Investitionen in die richtigen Dinge unsere Unternehmen vor abgelaufenen Zertifikaten schützen und die Auswirkungen unerwarteter Ausfälle abmildern können, wenn diese doch auftreten.
Ich würde gerne mehr über die Erfahrungen in Ihrem Unternehmen erfahren und sie mit den Ergebnissen des Berichts vergleichen. Bitte nehmen Sie Kontakt mit mir auf und lassen Sie uns einen Termin für ein Gespräch finden.
