Wenn Sie ein PKI-Team sind - oft ein einsames Team von einem -, haben Sie alles auf dem Spiel, aber oft nicht die Ressourcen.
Sie sind für Tausende von digitalen Identitäten verantwortlich, in manchen Fällen sogar für Millionen, die von Dutzenden oder Hunderten von Administratoren im gesamten Unternehmen verwendet werden. Schon ein einziges falsch behandeltes Zertifikat kann Millionen kosten, und PKI ist vielleicht nicht einmal Ihre Hauptaufgabe.
Das ist wirklich eine schwierige Situation.
Die Public Key Infrastructure (PKI) ist eine der wichtigsten IT-Funktionen in jedem Unternehmen. Organisationen sind tagtäglich auf Verschlüsselungsschlüssel und digitale Zertifikate angewiesen, um Vertrauen und Sicherheit in ihre täglichen Abläufe zu bringen.
Aber PKI ist nicht nur eine Technologie - sie wird durch ein umfassendes Paket von Richtlinien, Verfahren und vor allem durch Menschen unterstützt.
Als ich mir den jüngsten Bericht des Keyfactor-Bericht des Ponemon Institute über die Auswirkungen von ungesicherten digitalen Identitätenlese, werde ich an die Risiken und die oft kostspieligen Folgen erinnert, denen Unternehmen ausgesetzt sind, wenn digitale Identitäten nicht ordnungsgemäß verwaltet werden.
Als ehemaliger PKI-Administrator kenne ich die in diesem Bericht aufgezeigten Sicherheitsrisiken sehr gut, sehe aber auch die Chancen, die sich daraus für die Verbesserung von Prozessen und Toolsets ergeben. Schließlich kann jedes Risiko minimiert werden, wenn man es vollständig versteht.
Mit der richtigen Technologie sind PKI-Teams in der Lage, Sicherheits- und Betriebsrisiken erheblich zu verringern und gleichzeitig die Reaktionszeiten im Falle eines Vorfalls von Stunden auf Minuten zu verkürzen.
Schauen wir uns die Daten an und sehen wir, was sie uns sagen:
- Warum es Unternehmen schwer fällt, die Verantwortung für die PKI-Verwaltung zu delegieren;
- Die vielen Risiken und Verantwortlichkeiten des PKI-Eigentums; und
- Wie Sie potenziellen Bedrohungen einen Schritt voraus sind und schwere wirtschaftliche Verluste vermeiden können.
1. PKI - die technische "heiße Kartoffel"
Dem Bericht zufolge ist die Verantwortung für Schlüssel und PKI-Zertifikate oft über das gesamte Unternehmen verstreut. Es gibt keine Funktion, die eindeutig für das PKI-Budget zuständig ist - 20 Prozent geben an, dass es die Geschäftsbereiche sind, und 19 Prozent, dass es der IT-Betrieb ist.
Warum ist die Verbindung unterbrochen?
Die Verantwortung für die PKI war schon immer eine Art technisches "heißes Eisen". Allein die schiere Komplexität der Public-Key-Kryptografie schreckt die meisten IT-Fachleute ab.
Und wenn es nicht die Komplexität ist, dann ist es das Risiko. Die Fehlerquote bei einer typischen Unternehmens-PKI ist beträchtlich. Aus Angst, die persönliche Verantwortung für dieses Risiko zu übernehmen, sind nur wenige geneigt, sich dieser Herausforderung zu stellen.
Dennoch ist es wichtig, dass jede Organisation ein Team oder eine Einzelperson hat, die bereit ist, diese Aufgabe zu übernehmen. PKI ist seit mehr als zwei Jahrzehnten ein verborgenes, aber grundlegendes Sicherheitsinstrument. Da das Internet der Dinge (IoT ) und DevOps-Pipelines den Zugriff auf Schlüssel und signierte Zertifikate erfordern, wird die Rolle der PKI immer wichtiger.
Wenn Ihr Unternehmen noch keinen PKI-Verantwortlichen hat, ist es an der Zeit, dass Sie diese Person werden oder sie finden. Sie (oder er) werden in den nächsten Jahren ein unschätzbarer Gewinn sein.
2. Risiken und Verantwortlichkeiten beim Besitz einer PKI
Früher, als man nur mit ein paar hundert Zertifikaten zu tun hatte, konnte man eine solide PKI mit einer Tabellenkalkulation betreiben (und selbst dann war es eine Herausforderung).
Aber die Zeiten haben sich geändert.
Heute schätzt ein durchschnittliches Unternehmen, dass es über diese Mittel verfügt:
- Mehr als 82.000 Schlüssel und Zertifikate
- Weitere 56.000 Zertifikate für Datenverschlüsselung, SSL/TLS, VPNs und Anwendungsdienste
Das ist eine große Verantwortung. Wenn auch nur eine Bescheinigung übersehen wird, kann der Schaden gravierend sein.
Die Befragten des Keyfactor-Ponemon-Berichts erlebten in den letzten 24 Monaten durchschnittlich vier ungeplante Ausfälle aufgrund abgelaufener Zertifikate. Im gleichen Zeitraum kam es zu fünf fehlgeschlagenen Audits, wobei sich die durchschnittlichen Kosten für diese Ereignisse auf über 14 Millionen US-Dollar beliefen.
Je nach Größe Ihres Unternehmens können Sie diese Zahlen für hoch oder niedrig halten, aber das Prinzip bleibt bestehen: Eine unzureichende Schlüssel- und Zertifikatsverwaltung führt zu kostspieligen Ergebnissen.
Die Nachverfolgung von Schlüsseln und Zertifikaten ist heutzutage nicht nur ein Kopfzerbrechen, sondern ein Alptraum. Die Vorstellung, dass Sie alle erforderlichen Daten (z. B. Standort, Ablaufdatum, Schlüsselstärke usw.) in einer Excel-Tabelle genau inventarisieren und verwalten können, ist einfach unrealistisch.
3. Von Tabellenkalkulationen zu Lösungen
Hier kommt die Technologie ins Spiel.
Eine genaue Bestandsaufnahme kann nur durch Echtzeit-Transparenz erreicht werden, da Zertifikate kontinuierlich ausgestellt, widerrufen und in Ihrer Infrastruktur installiert werden.
Wenn Sie jedes Zertifikat in Echtzeit nachverfolgen können, können Sie Sicherheits- und Betriebsfehler vermeiden, die andere oft mit dem Gedanken zurücklassen, dass das PKI-Team wieder einmal versagt hat (trotz mehrfacher Bemühungen, den Zertifikatsinhaber zu benachrichtigen).
Der nächste Schritt besteht darin, die Verwaltung des Lebenszyklus von Zertifikaten zu automatisieren.
Wie wir wissen, haben die meisten Unternehmen ein kleines Team, das sich mit der Verwaltung digitaler Zertifikate beschäftigt. Die Automatisierung dient als leistungsfähiger Personalmultiplikator, indem sie die Teams auf nicht richtlinienkonforme oder abgelaufene Zertifikate hinweist. Sie ermöglicht es auch anderen Geschäftseinheiten, Zertifikate mit minimalem oder gar keinem Aufwand selbst zu erneuern oder zu ersetzen.
Sobald Sie in der Lage sind, den Lebenszyklus jedes Zertifikats in Ihrer Umgebung zu finden, zu kontrollieren und zu automatisieren, wird die Rolle des "PKI-Besitzers" schnell von riskant zu lohnend.
In jedem Szenario kann die richtige Lösung Ihnen helfen, potenziellen Bedrohungen einen Schritt voraus zu sein und ernsthafte wirtschaftliche Verluste zu vermeiden.
Die Zahlen und Fakten im Bericht desKeyfactor-Ponemon Institute über die Auswirkungen ungesicherter digitaler Identitäten können Ihnen dabei helfen, eine umfassende Strategie für digitale Identitäten zu implementieren und die richtigen Werkzeuge einzusetzen, um erfolgreich zu sein.
