Im Jahr 2023 wird PKI als geschäftskritische Investition weiter in den Mainstream-Diskurs der Unternehmen vordringen. KeyfactorDer State of Machine Identity Management 2022 zeigt, dass Unternehmen sich schwer tun, ihre PKI-Praxis zu modernisieren.
- 66 % setzen mehr Schlüssel und Zertifikate in ihrer IT-Landschaft ein, während 70 % sagen, dass die Zunahme von Schlüsseln und Zertifikaten den betrieblichen Aufwand erhöht hat.
- 57 % stuften Krypto-Agilität als eine der wichtigsten strategischen Prioritäten für digitale Sicherheit ein, und 55 % gaben an, dass Zero-Trust-Initiativen ein Hauptantrieb für PKI, Schlüssel und Zertifikate sind.
- 81 % der Unternehmen erlebten in den Jahren 2021 und 2022 mehrere störende Ausfälle aufgrund von abgelaufenen Zertifikaten mit einer durchschnittlichen Behebungszeit von 3,3 Stunden.
In dem Maße, in dem Ausfälle an Brisanz gewinnen, neue Compliance-Standards Gestalt annehmen und Zero-Trust als praktischer Rahmen an Bedeutung gewinnt, können wir davon ausgehen, dass sich PKI und ihre Verwendung in diesem Jahr weiterentwickeln werden.
Um zu verstehen, wie sich das sich verändernde regulatorische Umfeld, die Bedrohungslandschaft und neue Geschäftsstrategien auf die PKI auswirken - und von ihr beeinflusst werden -, haben wir uns an Tomas Gustavsson, Keyfactor's Chief PKI Officer. Er gab uns einen Einblick in das Thema.
Keyfactor: Sagen Sie voraus, dass PKI in der Entwicklung und im Geräteprozess von IoT stärker zum Tragen kommen wird?
Tomas Gustavsson: Mit der Einführung neuer Rechtsvorschriften durch die EU und die US-Regierung werden bestimmte Arten von IoT Geräten unter die Lupe genommen. Diese Vorschriften werden sich mit den traditionellen software Schwachstellen und dem Potenzial für kryptografisch sichere Updates und Datenverschlüsselung befassen.
Ich gehe davon aus, dass sich diese Diskussion 2023 fortsetzen und verschärfen wird, nicht zuletzt in der Europäischen Union mit der Einführung des EU Cyber Resilience Act. Es ist zu erwarten, dass die von NIST und ENISA empfohlenen Best Practices verbindlich werden, auch wenn dies nur langsam geschehen wird.
Keyfactor: Warum ist die Sicherheit der Lieferkette ein Schwachpunkt? Ignorieren Unternehmen die Sicherheit der Lieferkette? Was muss Ihrer Meinung nach geschehen, damit Unternehmen die Sicherheit der Lieferkette nicht länger ignorieren?
Tomas: Einige Branchen wie die Telekommunikation und kritische Infrastrukturen haben seit langem die Sicherheit der Lieferkette. Die software Lieferkette hat sich verzögert, weil sie nicht so offensichtlich ist und die Forschung noch nicht so weit ist. In der Welt von software wird der Innovation Vorrang vor der Sicherheit eingeräumt, selbst bei Verbrauchern software , die wichtige, sensible Daten verarbeiten.
Aber das ändert sich aus mehreren Gründen:
- Wir haben gesehen, wie größere software Verbraucher Opfer von Angriffen auf die Lieferkette wurden, und wir haben beobachtet, wie sie darauf reagierten, indem sie die Sicherheitsstandards für ihre Lieferanten erhöhten. Dies wird sich auch auf kleinere Organisationen auswirken und von staatlichen und privaten Beschaffungsstellen vorangetrieben werden.
- In den letzten Jahren hat die akademische Forschung rund um die Lieferkette software erheblich an Fahrt aufgenommen, so dass zu erwarten ist, dass die beliebten software Pakete eingehender analysiert und damit verbessert werden.
Gegenwärtig erfordert die Implementierung optimierter Sicherheitskontrollen in der Entwicklungs- und software Lieferkette noch einiges an Fachwissen, aber in den kommenden Jahren ist zu erwarten, dass diese Sicherheitskontrollen zunehmend in die Tools integriert werden und leichter zu optimieren sind.
Es ist praktisch unmöglich, software Lieferketten ohne den Einsatz von PKI abzusichern, so dass zu erwarten ist, dass PKI immer leichter in Entwicklungswerkzeuge integriert werden kann.
Keyfactor: In welchen Bereichen wird PKI in den kommenden Jahren Priorität haben?
Tomas: Alle Branchen! PKI ist der ausgereifteste und standardisierteste Ansatz zur Lösung der Sicherheitsanforderungen, mit denen die meisten Branchen konfrontiert sind.
Einige Branchen, wie z. B. die Telekommunikationsbranche, nutzen PKI bereits seit Jahrzehnten, so dass wir in diesen Branchen möglicherweise nicht so viel Wachstum sehen werden wie in Bereichen wie Automobilindustrie und Fertigung. Diese Bereiche gehen zu einem Modell über, bei dem alles mit allem verbunden ist, und müssen daher ihre PKI-Nutzung im Vergleich zum bisherigen Bedarf ausweiten.
Sogar Unternehmen, die PKI schon seit vielen Jahren zuverlässig nutzen, verzeichnen einen massiven Anstieg der PKI-Nutzung aufgrund von Initiativen wie Zero Trustnitiativen wie Zero Trust.
Keyfactor: Wie kann das PKI-Management der Fertigungsindustrie helfen, Ransomware-Angriffe zu bekämpfen?
Tomas: PKI kann nicht alles lösen. Unternehmen brauchen einen mehrstufigen Schutz, um sich vor Ransomware und anderen Angriffen zu schützen. Zum Beispiel, Code-Signierung eine entscheidende Komponente, um zu verhindern, dass Malware in Ihren Systemen installiert wird. Wenn Sie sich gegen unbefugte software schützen können, sind Sie gegen viele Arten von Angriffen gewappnet.
Gestohlene Codesignatur-Schlüssel können es jedoch ermöglichen, dass Ransomware signiert werden kann. Für ein Unternehmen mit einem privaten Ökosystem von Geräten ist es besser, privat vertrauenswürdige Code-Signatur-Zertifikate zu verwenden als öffentlich vertrauenswürdige. Dadurch sind die Geräte des Herstellers gegen gestohlene öffentlich vertrauenswürdige Schlüssel und Zertifikate geschützt.
Im Jahr 2023 ist zu erwarten, dass die Sicherheit rund um öffentlich vertrauenswürdige Code-Signatur-Schlüssel zunimmt, da Microsoft die Verwendung von hardware Sicherheitsmodulen für Abonnenten von Code-Signatur-Zertifikaten erzwingt, die zum Signieren von Windows-Code verwendet werden.
Keyfactor: Glauben Sie, dass die Fernarbeit bleiben wird? Wenn ja, wie sollten Unternehmen PKI einsetzen, um den Fernzugriff auf das Netz zu sichern?
Tomas: Fernarbeit wird es immer geben; der hybride Arbeitsplatz ist das neue Normal. PKI ist das Rückgrat für eine sichere Kommunikation, und die meisten Produkte zur Absicherung von Fernarbeit nutzen PKI auf die eine oder andere Weise. Unabhängig davon, ob es sich um eine VPN-Lösung, Videokonferenzen oder Tools für die Zusammenarbeit im Büro handelt, müssen Unternehmen eine Zero-Trust-Strategie verfolgen.
Zero-Trust-Strategien werden die PKI-Nutzung auf Teile des Netzwerks ausdehnen, die bisher ausschließlich auf Netzwerksegmentierung beruhten, um einen einfachen und sicheren Zugang zu allen Ressourcen zu ermöglichen, die Remote-Mitarbeiter benötigen.
Es gibt keinen Grund, warum es nicht genauso einfach sein sollte, von jedem Ort der Welt aus zu arbeiten - und das auf sichere Weise.
Sind Sie bereit, PKI für die Sicherheit Ihres Unternehmens einzusetzen?
Im Jahr 2023 stehen große Veränderungen an, und die Aufrechterhaltung einer gut funktionierenden PKI wird für den Unternehmenserfolg entscheidend sein. Wenn Sie mit Ihrer Zero-Trust-Initiative durchstarten oder die Modernisierung Ihrer PKI zu planenKeyfactor kann Ihnen dabei helfen, Ihre PKI so zu skalieren, dass Sie Ihre Ziele erreichen, ohne Abstriche bei Geschwindigkeit, Effizienz oder Sicherheit zu machen.