Dieser Artikel wurde ursprünglich von Spiceworks News & Insights am 8. August 2022 veröffentlicht.
Im ersten Artikel der zweiteiligen Serie hat Ted Shorter, CTO, Keyfactor, einige wichtige Trends in der Kryptografie und Public Key Infrastructure (PKI) erörtert. In diesem Artikel, dem zweiten der Serie, geht er auf einige weitere wichtige Trends ein, auf die man in diesem Jahr in der Kryptografie achten sollte.
In der heutigen digitalen Welt hat sich die Kryptografie zu einem der wichtigsten Werkzeuge für den Aufbau sicherer Systeme entwickelt. Durch den richtigen Einsatz von Kryptografie können moderne Unternehmen die Integrität, Vertraulichkeit und Authentizität sensibler Daten sicherstellen, die für den Geschäftsbetrieb unerlässlich sind.
Im ersten Teil dieser Serie haben wir einige der größten Trends und sich abzeichnenden Veränderungen in der Kryptografie erörtert, von denen wir erwarten, dass sie einen großen Einfluss auf die Geschäftstätigkeit und die kryptografischen Anforderungen eines Unternehmens haben werden. Um die Liste zu vervollständigen, hier zwei weitere der wichtigsten Trends in der Kryptografie, die wir für dieses Jahr erwarten.
Vorhersage 4: Krypto-Agilität wird sich durchsetzen - sobald DevOps- und Sicherheitsteams lernen, zusammenzuarbeiten
Das wachsende Bewusstsein für die Risiken in der Lieferkette, das weltweite Streben nach Zero-Trust und die weit verbreitete Einführung der Public-Key-Infrastruktur (PKI) für die Sicherheit von software machen es erforderlich, dass Unternehmen der Krypto-Agilität Priorität einräumen, d. h. der Fähigkeit, schnell zwischen mehreren kryptografischen Primitiven und Algorithmen zu wechseln, ohne dass die übrige Systeminfrastruktur durch die Änderungen wesentlich beeinträchtigt wird. Laut Keyfactor und dem Ponemon Institute haben 57 % der IT- und Sicherheitsverantwortlichen Krypto-Agilität als eine der wichtigsten strategischen Prioritäten bei der Vorbereitung auf das Quantencomputing genannt.
Geschwindigkeit und Sicherheit beherrschen heute die Welt der Unternehmenstechnologie. Leider stehen diese beiden Aspekte oft im Widerspruch zueinander, was zu einer Entkopplung zwischen DevOps- und Sicherheitsteams führt. DevOps-Teams müssen schnell vorankommen, um Produkte zu entwickeln, die den Anforderungen des Marktes entsprechen, und viele machen sich keine großen Gedanken darüber, woher die Zertifikate stammen und welche Richtlinien sie einhalten, solange sie über das verfügen, was sie brauchen, um schnell voranzukommen. Angesichts dieses Hauptanliegens haben viele DevOps-Teams damit begonnen, ihre eigenen digitalen Zertifikate auszustellen, was zu zahlreichen blinden Flecken für ihre Sicherheitskollegen führt und ihre Lösungen anfällig für Risiken macht. Tatsächlich wissen die meisten Sicherheitsteams nicht genau, wie viele Zertifikate ausgestellt wurden, geschweige denn, wo sie sich befinden und wann sie ablaufen.
Der Schlüssel zur Überbrückung dieser Kluft ohne Geschwindigkeits- oder Sicherheitseinbußen ist die Einführung von Back-End-Kontrollen für Zertifikate, die über DevOps-Tools ausgestellt werden. Dieser Ansatz ermöglicht es DevOps-Teams, so schnell wie nötig zu arbeiten, ohne ihre bestehende Architektur zu ändern, da sie weiterhin Zertifikate auf die gleiche Weise wie bisher ausstellen und verwenden können. Auf der anderen Seite erhalten Sicherheitsteams Einblick in jedes ausgestellte Zertifikat, um Richtlinien durchzusetzen und Verantwortlichkeit zu gewährleisten. Und mit der automatisierten Verwaltung des Lebenszyklus von Zertifikaten kann das Sicherheitsteam Zertifikate automatisch erneuern, wenn sie ablaufen, um sicherzustellen, dass nichts kaputt geht, und um Zertifikate mit der nötigen Geschwindigkeit zu verwalten.
Diese Art der Zusammenarbeit wird zu einer echten Krypto-Agilität führen. Unternehmen werden das volle Potenzial der Kryptografie ausschöpfen, einschließlich der Einführung digitaler Identitäten nach Bedarf, der Sicherung der Lieferkette software und der Bereitstellung von PKI zur Unterstützung von DevSecOps, wobei sie in der Lage sind, schnell auf Änderungen zu reagieren.
Vorhersage 5: Sicherheitsstandards werden als Leitlinien angenommen
Die potenziellen Auswirkungen der Quantentechnologie bedrohen sowohl die nationale Sicherheit als auch das Fundament, auf dem die Internetsicherheit beruht. Laut der Nationalen Sicherheitsbehörde ist ein Quantencomputer von ausreichender Größe und Raffinesse in der Lage, einen Großteil der in digitalen Systemen in den Vereinigten Staaten verwendeten Kryptographie mit öffentlichen Schlüsseln zu knacken.
Anfang Mai kündigte die Regierung Biden-Harris eine Durchführungsverordnung an, mit der das National Quantum Initiative Advisory Committee gestärkt werden soll. Das Komitee leitet die politische Entscheidungsfindung und wird direkt dem Weißen Haus unterstellt sein, um sicherzustellen, dass Präsident Biden, der Kongress, die Bundesbehörden und die Öffentlichkeit über die neuesten und genauesten Informationen über Fortschritte in der Quantentechnologie verfügen. Gleichzeitig unterzeichnete Präsident Joe Biden ein Nationales Sicherheitsmemorandum, in dem Schritte zur Minderung der Risiken für die amerikanische Cybersicherheitsinfrastruktur beschrieben werden. Beide Richtlinien zielen darauf ab, nationale Initiativen in der Quantenwissenschaft voranzutreiben und das Bewusstsein für die potenziellen Gefahren zu schärfen, die das Quantencomputing für die Integrität der Internetsicherheit mit sich bringen wird.
Darüber hinaus entwickeln eine Reihe von Industriegruppen, unter anderem in der Automobil- und Medizinbranche, eigene Sicherheitsgrundlagen. Je näher die Bedrohung durch das Quantencomputing rückt, desto mehr werden Sicherheitsstandards in Form von Leitlinien oder sogar Vorschriften eingeführt werden.
Die aufsehenerregenden Cybervorfälle des vergangenen Jahres haben die plötzlichen und erheblichen Auswirkungen moderner Bedrohungen auf die Cybersicherheit und die kryptografischen Anforderungen eines Unternehmens deutlich gemacht. Während wir darüber nachdenken, was das kommende Jahr bringen wird, werden Vertrauen und Agilität zu den wichtigsten Faktoren, um sicherzustellen, dass Unternehmen weiterhin sicher arbeiten können. Angesichts der erschütternden Ereignisse des letzten Jahres haben sich Unternehmen zunehmend dem Null-Vertrauens-Prinzip verschrieben: "Traue nichts, überprüfe alles". In diesem Modell haben sich PKI und maschinelle Identitäten als wesentliche Technologien zur Authentifizierung und zum Aufbau von digitalem Vertrauen zwischen Benutzern, Geräten und Arbeitslasten im gesamten Unternehmen herauskristallisiert.
Es ist jedoch wichtig, daran zu denken, dass Vertrauen nicht statisch ist. In dem Maße, wie sich die Bedrohungslandschaft weiterentwickelt und neue Technologien wie das Quantencomputing auftauchen, werden sich die Sicherheitsstandards unweigerlich ändern. Ebenso wichtig ist die Fähigkeit einer Organisation, die PKI-Infrastruktur und Maschinenidentitäten effektiv zu verwalten und schnell an neue Algorithmen, Standards und Umgebungen anzupassen (d. h. ihre Krypto-Agilität).
Die gute Nachricht ist, dass sich die Unternehmen immer mehr der Dringlichkeit bewusst werden, ihre Krypto-Fähigkeit zu verbessern. In unserer jüngsten Umfrage zur Rolle von PKI, Schlüsseln und digitalen Zertifikaten bei der Absicherung von IT-Organisationen wurde die Vorbereitung auf Krypto-Flexibilität von 57 % der IT-Sicherheitsexperten als eine der wichtigsten strategischen Prioritäten für die digitale Sicherheit eingestuft. Da sich die Bedrohungslandschaft ständig weiterentwickelt, wird die Bedeutung der Kryptografie ebenso zunehmen wie der Bedarf an einer zentralen Verwaltung von Maschinenidentitäten.
