Wir machen eine Identitätskrise der Maschinen durch

Dieser Artikel wurde ursprünglich von Forbes im Rahmen des Forbes Technology Council veröffentlicht, einer exklusiven Community für erstklassige CIOs, CTOs und Technologie-Führungskräfte.

Zero Trust ist die Erkenntnis, dass herkömmliche Netzwerkkontrollen wie Firewalls und VPNs nicht ausreichen, um das Unternehmen zu schützen. Dies wird durch die digitale Transformation, Cloud Computing und DevOps-Trends immer wahrer.

Der Rahmen basiert auf dem Gedanken "never trust, always verify" und sieht Vertrauen als Schwachstelle an. Damit bleibt die Identität als eines der einzigen verbleibenden Instrumente zur Kontrolle des Zugangs zu Diensten, Anwendungen und anderen geschäftskritischen Vorgängen.

Identität ist der Schlüssel zur Sicherung des schnell wachsenden digitalen Fußabdrucks der heutigen Unternehmen. Dies hat dazu geführt, dass Zero-Trust-Strategien verfolgt werden und verstärkt Public-Key-Infrastrukturen (PKI) und digitale Zertifikate eingesetzt werden. Dabei ist jedoch eine wichtige Komponente eines sicheren Unternehmens außer Kontrolle geraten. Maschinelle Identitäten, die exponentiell zunehmen und ebenso anfällig für Kompromisse sein können, erhalten nicht die proaktive Aufmerksamkeit, die zur Gewährleistung eines sicheren Betriebs erforderlich ist.

Die jüngste Zunahme der maschinellen Identitäten kann auch Schwachstellen verursachen. In einem Bericht von CyberArk wurde festgestellt, dass die Zahl der maschinellen Identitäten die der Menschen um 45:1 übersteigt und dass 68 % der nicht-menschlichen Identitäten Zugang zu sensiblen Daten und Werten haben.

Unternehmen müssen einen umfassenden Identitätsansatz wählen, um Menschen und Maschinen zu schützen. Eine effiziente Nutzung von PKI kann dabei helfen, eine bessere Kontrolle über die Identitäten in ihren Netzen zu erlangen.

Die Wirtschaft wird in einer cloudbasierten, serviceorientierten Welt betrieben. Die Unternehmen verabschieden sich von alten Infrastrukturen und Vor-Ort-Abläufen. Stattdessen drängen sie auf agile, skalierbare und reaktionsfähige Cloud-Architekturen, die Transaktionen in die Cloud und an den Rand verlagern.

Aber auch die Angriffsflächen für Unternehmen werden immer größer, und die Bedrohungsakteure haben dies erkannt und konzentrieren sich auf Angriffe, die auf Anmeldeinformationen basieren und die Benutzeridentitäten als Zugang zu Netzwerken kompromittieren. Zero-Trust-Strategien, die sich auf die kontinuierliche Validierung von Identitäten konzentrieren, sind ein Bollwerk gegen diese Angriffe, aber die meisten Implementierungen sind nicht umfassend genug.

Eine kürzlich von meinem Unternehmen Keyfactor und dem Ponemon Institute durchgeführte Studie unterstreicht die Herausforderungen, die sich im Zuge der digitalen Transformation ergeben haben, insbesondere in Bezug auf maschinelle Identitäten.

Die Befragten haben eine PKI eingerichtet, aber viele gaben an, dass sie Probleme mit der vollständigen Transparenz von Zertifikaten haben. Mehr als die Hälfte gab an, nicht zu wissen, wie viele Schlüssel und Zertifikate in ihrem Unternehmen verwendet werden. Die fehlende Kontrolle über die Zertifikate hat erhebliche Auswirkungen: 81 % der Befragten gaben an, dass es in den letzten zwei Jahren zu zwei oder mehr Ausfällen aufgrund abgelaufener Zertifikate gekommen ist - ein Anstieg um 77 % gegenüber dem letztjährigen Bericht. Im Durchschnitt benötigen die Befragten drei Stunden, um auf einen zertifikatsbedingten Ausfall zu reagieren, obwohl 39 % angaben, dass es vier Stunden oder mehr dauert.

Kürzere Lebenszyklen von Zertifikaten (die von fünf Jahren vor zehn Jahren auf 398 Tage verkürzt wurden ) haben auch die Ausstellung und Verwaltung von Zertifikaten zu einer größeren Herausforderung gemacht. Unternehmen hatten vielleicht einmal eine "set-it-and-forget-it"-Einstellung in Bezug auf Kryptografie - einige PKIs von vor 15 Jahren sind immer noch im Einsatz -, aber die heutige Umgebung erfordert die Beachtung eines schnelleren Aktualisierungszyklus.

Die Verlagerung in die Cloud, die wachsende Zahl von Außendienstmitarbeitern und die Betonung von Zero-Trust-Sicherheitsstrategien haben zu einer verstärkten Nutzung von PKI, Schlüsseln und digitalen Zertifikaten geführt. Die Verbreitung von Maschinenidentitäten muss jedoch noch in den Griff bekommen werden. Um die Kontrolle zu erlangen, müssen Unternehmen die Grundlagen einer ordnungsgemäßen PKI- und Zertifikatsverwaltung verstehen.

PKI bietet ein Identitäts-Backbone, das eine sichere Verbindung zwischen Benutzern, Geräten und Anwendungen für Verschlüsselung, Authentifizierung und digitale Signaturen gewährleisten kann, indem es eindeutige digitale Identitäten durch die Ausstellung digitaler Zertifikate bereitstellt.

Um mit der explosionsartigen Zunahme maschineller Identitäten Schritt halten zu können, ist ein umfassender Ansatz erforderlich, der sich aus mehreren wichtigen Merkmalen zusammensetzt.

Unternehmen benötigen eine unternehmensweite Strategie für die Verwaltung von Kryptographie und Rechneridentitäten. Oftmals gibt es keinen gemeinsamen Eigentümer für eine Kryptografiestrategie im Unternehmen, da PKI und Rechneridentitäten von so vielen verschiedenen Teams im Unternehmen genutzt werden. CISOs und Sicherheitsverantwortliche benötigen eine nahtlose Orchestrierung über alle Geschäftsbereiche hinweg, um sicherzustellen, dass die Systeme geschützt sind und die Mitarbeiter effizient arbeiten können, ohne Schwachstellen zu verursachen.

Eine standardmäßige End-to-End-Methode umfasst die Festlegung von Richtlinien und Zuständigkeiten, die Entwicklung eines kryptografischen Inventars, die Ermittlung und Behebung von Schwachstellen, die kontinuierliche Überwachung und Prüfung sowie die Automatisierung des Lebenszyklus auf agile Weise.

Unternehmen sollten sich auf die Krypto-Agilität konzentrieren, d. h. die Fähigkeit, sich schnell an einschneidende kryptografische Ereignisse anzupassen, wie z. B. die Kompromittierung einer Zertifizierungsstelle oder einen neuen Angriff, der einen kryptografischen Algorithmus schwächt.

Durch die Krypto-Agilität können Unternehmen einen proaktiven Ansatz zur Sicherung von Identitäten verfolgen und auf Verstöße oder Vorfälle mit optimaler Geschwindigkeit reagieren. Da immer mehr Unternehmen ihre PKI modernisieren und in die Cloud migrieren, ist zu erwarten, dass immer mehr Unternehmen in ihren Reaktionsplänen auf Vorfälle auch die Krypto-Agilität berücksichtigen werden. Dies wird sie noch besser auf die heutigen identitätsbezogenen Bedrohungen vorbereiten.

Ein Crypto Center of Excellence (CCoE) kann die Führung übernehmen, die Zuständigkeiten festlegen und Anleitungen zur Nutzung von PKI und Maschinenidentitäten geben. Ein CCoE besitzt und betreibt nicht notwendigerweise alle Tools für die Verwaltung von PKI und Maschinenidentitäten, sondern dient vielmehr als Zentrum für Richtlinien, Governance und Best Practices.

In diesem Zusammenhang müssen die Unternehmensleiter überlegen, welche Sicherheits- und Nicht-IT-Führungskräfte beteiligt werden müssen. Die Beteiligten müssen in der Lage sein, als Berater und Fachexperten zu fungieren und unternehmensweit bewährte Verfahren zu vermitteln.

Es ist wichtig, dass Sie sich die Zeit nehmen, die verschiedenen Lösungen zu verstehen, die für die Skalierung und Automatisierung des Identitätsmanagements zur Verfügung stehen. Natürlich benötigen Sie unterschiedliche Tools für Elemente wie Identitätsmanagement und Zertifikatsmanagement, aber je mehr Möglichkeiten Sie haben, diese Anforderungen und Toolsets zu konsolidieren, desto besser.

Alles in allem besteht ein Zusammenhang zwischen dem wachsenden digitalen Fußabdruck in modernen Unternehmen und den Sicherheitsherausforderungen, die mit der ordnungsgemäßen Verwaltung und dem Schutz von Maschinenidentitäten einhergehen. Doch mit den richtigen Tools und Strategien können Sicherheitsverantwortliche einen Weg nach vorne finden.