In der allgemeinen Cybersicherheitslandschaft der Unternehmen stimmt etwas nicht. Insgesamt geben Unternehmen immer mehr Geld aus, um Cyber-Kriminelle abzuwehren. Laut Gartner könnten die internationalen Ausgaben für Cybersicherheit im Jahr 2018 96 Milliarden US-Dollar erreichen - ein Anstieg von 8 Prozent gegenüber 2017.
Auch die Zahl der Datenschutzverletzungen steigt sprunghaft an. Laut dem gemeinnützigen Identity Theft Resource Center gab es 2017 in den Vereinigten Staaten mehr als 1.579 öffentlich bekanntgegebene Datenschutzverletzungen. Das ist ein Anstieg von 44,7 Prozent gegenüber den 1.091 Verstößen gegen Unternehmensziele im Jahr 2016. Auch die Kosten, die durch solche Cyberangriffe verursacht werden, steigen. Laut einer Studie des Ponemon Institute aus dem Jahr 2018 belaufen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung weltweit auf 3,86 Millionen US-Dollar, das sind 6,4 Prozent mehr als im Jahr zuvor.
Die Ursachen für den gleichzeitigen Anstieg der Ausgaben für die Cybersicherheit in Unternehmen und für Datenschutzverletzungen sind vielschichtig, aber ein Hauptgrund ist dieser: Die Cybersicherheitsteams vieler Unternehmen haben Mühe, mit dem modernen Risikoklima Schritt zu halten. Kurz gesagt: Die Zahl der Cyber-Kriminellen übersteigt die Fähigkeit der Unternehmen, sie zu bekämpfen. Viele Unternehmensleiter verstärken ihre digitalen Geschäftsinitiativen und fordern gleichzeitig, dass die Cybersicherheitsexperten Schritt halten. Mit der zunehmenden Verbreitung des Internets der Dinge (IoT ) muss sich eine wachsende Zahl von Cybersicherheitsexperten um die Verwaltung der Identitäten tausender neuer Netzwerkendpunkte kümmern. Hinzu kommt, dass viele dieser IoT Geräte auf eine lange Lebensdauer ausgelegt sind. Es ist nicht ungewöhnlich, dass Industrieanlagen und medizinische Geräte ein Jahrzehnt oder länger im Einsatz sind. Wenn diese Geräte mit der Funktionalität von IoT ausgeliefert werden, bedeutet dies, dass sie, auch wenn sie heute einigermaßen sicher sind, es im Jahr 2028 möglicherweise nicht mehr sind. Hinzu kommt, dass viele IoT Geräte nur über eine begrenzte Rechenleistung verfügen, was es schwierig macht, sie ohne ausreichende Vorplanung kryptografisch zu aktualisieren. Es ist kein Wunder, dass die Studie " Cost of a Data Breach" des Ponemon Institute aus dem Jahr 2018 ergab, dass Unternehmen, die in großem Umfang IoT -Geräte nutzen, tendenziell schwerwiegendere Sicherheitsverletzungen erleiden (5 US-Dollar mehr pro kompromittiertem Datensatz) als Unternehmen, die nicht auf IoT -Geräte angewiesen sind. Bei einem kleinen Verstoß, der nur eine begrenzte Anzahl von Dateien betrifft, mag der Unterschied minimal sein. Bei einem Verstoß mit Tausenden oder Millionen von verlorenen Dateien kann der Unterschied jedoch schnell kostspielig werden. Umgekehrt erleiden Unternehmen, die die Sicherheitsautomatisierung ausgiebig nutzen, deutlich weniger Schaden als Unternehmen, die dies nicht tun. Laut der Ponemon-Studie belaufen sich die durchschnittlichen Kosten für ein Unternehmen im ersten Lager auf 2,88 Millionen US-Dollar. Bei Unternehmen ohne Automatisierung lag der durchschnittliche Schaden bei 4,43 Millionen Dollar.
Erschwerend kommt hinzu, dass die Leistungsfähigkeit etablierter Kryptographie mit der Zeit nachlässt. Hierfür gibt es mehrere Gründe. Sicherheitsforscher können kryptografische Schwachstellen in Systemen aufdecken, die als robust gelten. Und selbst wenn Forscher eine Schwachstelle in einem Standard-Verschlüsselungsalgorithmus entdecken, kann sich der Übergang zu einem aktualisierten Algorithmus verzögern. Man denke nur an den Secure Hash Algorithm 1 (SHA-1), der im Jahr 2005 geknackt wurde. Fast ein Jahrzehnt später wurde der Algorithmus immer noch häufig verwendet. In der ersten Jahreshälfte 2014 verwendeten neun von zehn SSL Zertifikaten im Internet immer noch SHA-1. Das endgültige Auslaufdatum des Algorithmus war der 1. Januar 2017.
Zugegeben, ein Gegner, der SHA-1 im Jahr 2005 knacken wollte, musste sehr wohlhabend sein. Aber der finanzielle und zeitliche Aufwand dafür sank im Laufe der Jahre stetig. Im Jahr 2010 knackte der deutsche Sicherheitsforscher Thomas Roth 14 SHA1-verschlüsselte Hashes in weniger als einer Stunde, indem er Rechenleistung von AWS mietete. Die Kosten? $2.10.
In den kommenden Jahren werden andere Verschlüsselungsalgorithmen ein ähnliches Schicksal erleiden. Das Aufkommen von Quantencomputern wird das Problem nur noch verschärfen. Im Jahr 2016 waren Forscher am MIT und an der Universität Innsbruck kurz davor, die RSA-Verschlüsselung zu knacken. Gartner sagt voraus, dass Quantencomputer bis 2022 RSA nahezu in Echtzeit knacken können. Da gängige Kryptographiealgorithmen veraltet sind, müssen Sicherheitsexperten solche Zertifikate, Schlüssel und Vertrauensspeicher schnell entfernen und gleichzeitig quantenresistente Alternativen installieren. (Weitere Informationen zu diesem Thema finden Sie in dem kostenlosen eBook mit dem Titel Crypto-Agile PKI for the Future.
Es gibt unterschiedliche Schätzungen darüber, wann das Quantencomputing einsatzbereit ist. Doch ob dies nun in fünf Jahren der Fall ist, wie IBM erwartet, oder erst in zwei Jahrzehnten, die Zeit für die Planung der Krypto-Agilität - zusammen mit der Sicherheitsautomatisierung - ist jetzt.
