Zusammenfassung des Webinars - Wie PKI, Krypto und Maschinen die digitale Welt in Schwung bringen

Alles wird digital. Kein Unternehmen, egal wie sehr es auf eine physische Präsenz angewiesen ist (z. B. Landschaftsbau, Instandhaltung), ist gegen diesen Wandel immun. 

Und da COVID-19 die Umstellung auf die Digitalisierung beschleunigt hat, haben viele Unternehmen erkannt, wie sehr sie sich auf jahrzehntealte Programme verlassen, die aktualisiert werden müssen.

Der größte Bereich, der bei der weiteren Umstellung auf die Digitalisierung Aufmerksamkeit erfordert, ist die Sicherheit. Wie können wir diesen Daten vertrauen, wenn immer mehr digitale Einheiten auftauchen und Daten erzeugen?

Das war die Prämisse unserer jüngsten Diskussion mit David Mahdi, Vizepräsident und Analyst für Sicherheit und Datenschutz bei Gartner. Klicken Sie hier, um das vollständige Webinar anzusehenoder lesen Sie weiter, um die wichtigsten Punkte zu erfahren.

Wir befinden uns derzeit inmitten eines Paradigmenwechsels bei der digitalen Entwicklung, der wichtige Änderungen bei der Herangehensweise von Unternehmen an die Sicherheit erfordert.

Im Mittelpunkt dieses Wandels steht die Zunahme digitaler Anwendungen, einschließlich des Umfangs der Anwendungen, der Geschwindigkeit, mit der sie erstellt werden, und der Vielfalt der Personen, die diese Anwendungen und die damit verbundenen Daten erstellen. Jeder, von Entwicklern bis hin zu Geschäftsführern (dank Low- und No-Code-Schnittstellen), trägt jetzt zur digitalen Entwicklung bei, und all diese Ergebnisse erfordern Sicherheitsmaßnahmen.

Insgesamt hat die zunehmende digitale Entwicklung schwerwiegende Auswirkungen auf alle Bereiche, angefangen bei der Verwendung von kryptografischem Schlüsselmaterial (Unternehmen müssen einen schnellen und einfachen Zugang zu Schlüsseln auf sichere und verwaltbare Weise bereitstellen) bis hin zur Frage, wo all diese Anwendungen untergebracht werden (vor Ort oder in einer hybriden Cloud oder in einer Multi-Cloud).

Vor diesem Hintergrund ist die Idee eines geschützten Netzes überholt. Jetzt sind die Netze viel software-definierter und viel dynamischer. Außerdem spielen Identitäten jetzt eine wichtige Rolle beim Sicherheitszugang. Das bedeutet, dass Unternehmen in der Welt der hybriden Clouds und der Fernarbeit nicht mehr jeder Entität im Netzwerk vertrauen können.

Heute ist nicht mehr das Netzwerk die Grenze, sondern die Identität die neue Grenze. Die Bedeutung dieser Tatsache wird durch Social-Engineering-Angriffe wie Phishing deutlich, die die Identität als Einstiegspunkt nutzen. Früher gingen Unternehmen davon aus, dass jemand, der Zugriff auf die Anwendung hatte, auch Zugriff auf die Daten hatte. Aber darauf können wir uns nicht mehr verlassen. Wir befinden uns jetzt in einer Zero-Trust-Welt, in der der Zugang fließender ist und wir verstehen müssen, wer und was auf Daten zugreift. Dies erfordert eine gegenseitige Authentifizierung, bei der die Daten den Benutzer authentifizieren und umgekehrt.

Die Umstellung auf die Digitalisierung und insbesondere die Verlagerung in die Cloud erfordert ein neues Sicherheitskonzept und lenkt die Aufmerksamkeit auf das, was in Zukunft am wichtigsten ist: Daten und Identitäten. Wichtig ist, dass Identitäten sowohl menschliche Identitäten als auch maschinelle Identitäten umfassen - letztere werden im Unternehmen weiter zunehmen und erfordern skalierbare, konsistente Sicherheitsmaßnahmen, unabhängig davon, wie harmlos sie auch erscheinen mögen.

Letztlich führt diese Situation zu Abhängigkeiten, denn ohne digitales Vertrauen ist ein digitales Geschäft nicht möglich. Um digitales Vertrauen zu erreichen, muss man digitale Identitäten verstehen, und die Kryptografie ist die entscheidende Infrastruktur, die diese digitalen Identitäten untermauert.

Stellen Sie sich die folgende Situation vor: Ihr Unternehmen muss einen Vertrag an einen neuen Partner schicken. Woher wissen Sie, dass Ihr Ansprechpartner in diesem Unternehmen tatsächlich derjenige ist, der das Dokument auf der anderen Seite unterzeichnet? Um dieser digitalen Geschäftstransaktion vertrauen zu können, brauchen Sie eine Möglichkeit, die digitale Identität des Ansprechpartners zu überprüfen, und die sicherste Methode dafür ist die Kryptographie.

Bisher wurde der Zugang weitgehend durch Passwörter kontrolliert, aber dieser Ansatz kann für Menschen zu schwach sein und ist noch gefährlicher, wenn man hart kodierte Passwörter für Maschinen in den Mix einbezieht. Aus diesem Grund sollte gut verwaltete Kryptografie in Zukunft das Lebenselixier jedes digitalen Unternehmens sein. Das ist sie größtenteils schon, denn vom Online-Banking bis zur Flugbuchung ist alles auf Kryptografie angewiesen.

Glücklicherweise sind PKI und Kryptografie heute in einer Vielzahl von Anwendungsfällen üblich, insbesondere in den Bereichen sicherer Zugang, Gerätesicherheit, Benutzerauthentifizierung, digitale Signaturen, digitale Identitäten und Digitalisierung im Zusammenhang mit Hyperautomatisierung und DevOps.

Leider hat diese Situation zu einer ernsthaften Herausforderung geführt, denn je weiter PKI und Kryptographie verbreitet sind, desto schwieriger ist es, sie zu verwalten. Insbesondere zeigen Berichte, dass viele Organisationen heute mehrere Zertifizierungsstellen (CAs) verwenden, um verschiedene PKI-Programme zu verwalten, was zu einer Zersiedelung der CAs geführt hat. Kurz gesagt, dies macht es für jeden schwierig, einen zentralen Überblick über die im Unternehmen vorhandenen Zertifikate zu erhalten - einen Überblick, der für die ordnungsgemäße Verwaltung und Wartung von Zertifikaten erforderlich ist, um zu verhindern, dass sie während ihres gesamten Lebenszyklus angreifbar werden. 

Die meisten Unternehmen konzentrieren sich auf die Generierung von kryptografischen Schlüsseln und Zertifikaten, die für die identitätsbasierte Authentifizierung benötigt werden, aber es ist auch wichtig, sie zu pflegen, indem sie rotieren und verlagert werden, wenn sich der Zugriffsbedarf und die allgemeinen Sicherheitsanforderungen ändern. Die Tatsache, dass dieser Lebenszyklus sowohl für menschliche als auch für maschinelle Identitäten sehr schnell sehr komplex werden kann, macht eine zentralisierte und automatisierte Möglichkeit zur Verwaltung des gesamten Lebenszyklus von Zertifikaten unerlässlich.

Diese Herausforderung wird in dem Maße zunehmen, wie die Zahl der menschlichen und digitalen Identitäten, die eine Authentifizierung erfordern, steigt.

Da die Sicherheit von Identitäten immer wichtiger wird und immer mehr Identitäten, insbesondere Maschinenidentitäten, ins Spiel kommen, ist die Zentralisierung von PKI-Programmen der einzige Weg in die Zukunft.

Die meisten Unternehmen haben heute zwischen 50 und 70 Lösungen für das Sicherheitsmanagement. Dies führt zu einer Vielzahl von Silos und bedeutet, dass nur sehr wenige, wenn überhaupt, Lösungen vollständig optimiert sind. Es wird zwar nie eine einzige Lösung für alle geben, aber je mehr Unternehmen auf einer zentralen Plattform konsolidieren können, desto besser werden die Ergebnisse sein.

An dieser Stelle kommt eine skalierbare und automatisierte PKI-Lösung ins Spiel, die das maschinelle Identitätsmanagement unterstützt. Die besten Lösungen helfen dabei, das Risiko zu begrenzen, indem sie die Sicherheit von Identitäten in den Vordergrund stellen und die Skalierung durch automatisiertes Zertifikatsmanagement für die ständig wachsende Anzahl von Identitäten unterstützen. Wir können uns das Reifegradmodell zur Erreichung dieser idealen Lösung wie folgt vorstellen:

Der Einsatz der richtigen Verschlüsselungslösungen ist ein wichtiger erster Schritt, aber nicht der letzte Schritt auf dem Weg zur Digitalisierung. Diese Umstellung erfordert auch die Einführung der richtigen Mitarbeiter und Prozesse.

Wenn Ihr Unternehmen beispielsweise ein PKI-Programm (Public Key Infrastructure) einführt, müssen Sie sich auch Gedanken darüber machen, wie jeder, der Systeme und Anwendungen erstellt (wozu jetzt auch Entwickler und sogar nichttechnische Teams gehören), problemlos Zertifikate erhalten kann. 

Wenn sie nicht wissen, dass sie ein Zertifikat brauchen oder es nicht leicht bekommen können, kann das PKI-Programm schnell scheitern. Sie müssen nicht das Innenleben von allem kennen, sie müssen nur wissen, was sie brauchen und wo sie es bekommen können, ähnlich wie bei einem Ölwechsel an Ihrem Auto.

Insgesamt liegt die Verantwortung für den Aufbau und die Aufrechterhaltung von Vertrauen bei den Menschen in jeder Organisation, und damit die Mitarbeiter des Sicherheitsteams und darüber hinaus diese Verantwortung effektiv wahrnehmen können, sind Prozesse erforderlich, die es allen Beteiligten leicht machen, sich zu beteiligen.

Eine der besten Möglichkeiten, PKI-Programme durch Menschen und Prozesse zu unterstützen, ist die Einführung eines Kryptographie-Kompetenzzentrums. Dabei kann es sich um eine Gruppe von Kryptografie-Experten handeln, die Richtlinien für das Unternehmen festlegen und Prozesse entwickeln, die den Mitarbeitern im gesamten Unternehmen deutlich machen, welche Sicherheitslösungen sie benötigen und wo sie diese erhalten können.

Die Aufgabe des Kryptographie-Kompetenzzentrums sollte darin bestehen,:

• Definieren Sie Eigentum
• Führung übernehmen
• Recherche und Erfassung von Anforderungen
• Bereitstellung bewährter Praktiken
• als Berater und Fachexperten fungieren
• Schulung und Befähigung von Geschäftsbereichsleitern

Während der digitale Wandel voranschreitet, müssen Unternehmen die Bedeutung der Sicherheit von Identitäten und den Wert von PKI-Programmen erkennen, um die explosionsartige Zunahme dieser Identitäten im Unternehmen richtig zu verwalten. Vor diesem Hintergrund empfiehlt Gartner die folgenden Best Practices für die ersten Schritte:

• Erstellen Sie ein Programm zur Verwaltung von Computeridentitäten: Bewerten Sie die vorhandenen Tools und Technologien, um herauszufinden, wie Sie derzeit Computeridentitäten verwalten und wo die Verantwortlichkeiten innerhalb des Unternehmens liegen.

• Zuweisung der Zuständigkeit für die Verwaltung der Rechneranmeldeinformationen: Führen Sie ein Kryptographie-Kompetenzzentrum ein, um die Verwaltung und die Verantwortlichkeiten zu zentralisieren. Ein großer Teil davon wird sein, zu überlegen, welche Sicherheits- und Nicht-IT-Führungskräfte Teil dieser Gruppe sein müssen.
• Bewerten Sie die verfügbaren Lösungen, während der Markt sich entwickelt: Da der Markt weiter reift, sollten Sie sich die Zeit nehmen, um die verschiedenen verfügbaren Lösungen zur Skalierung und Automatisierung des Identitätsmanagements zu verstehen. Auch wenn Sie für Elemente wie Identitätsmanagement und Zertifikatsmanagement unterschiedliche Tools benötigen, gilt: Je mehr Sie konsolidieren können, desto besser.

Möchten Sie mehr darüber erfahren, was es dazu braucht? Klicken Sie hier, um das vollständige Webinar anzusehen.