In diesem Blog gibt der Chief Security Officer von Keyfactor, Chris Hickman, Einblicke in den 2020 Keyfactor-Ponemon Institute Report: Die Auswirkungen von ungesicherten digitalen Identitäten. Klicken Sie hier um den vollständigen Bericht herunterzuladen und auf ihn zuzugreifen.
In den letzten beiden Blogs dieser Reihe haben wir über die Herausforderungen bei der Bereitstellung einer Public Key Infrastructure (PKI) und die Hindernisse gesprochen, auf die Unternehmen stoßen, wenn sie ihre PKI-Abläufe skalieren, um den wachsenden Geschäftsanforderungen und Anwendungsfällen gerecht zu werden. In der Realität lassen sich diese Herausforderungen in der Regel auf ein Kernproblem zurückführen - eine Wissenslücke zwischen dem Informationssicherheitsteam und den Unternehmensleitern.
Während kryptografische Schlüssel und x.509-Zertifikate dem "PKI-Mann" oder dem Sicherheitsteam vertraut sein mögen, verstehen nicht-technische Führungskräfte die Bedeutung der Kryptografie einfach nicht, bis es zu spät ist. Wenn PKI und die Verwaltung digitaler Zertifikate nur als IT-Thema und nicht als strategischer Geschäftsfaktor betrachtet werden, kommt es in Unternehmen immer wieder zu kostspieligen Ausfällen und Sicherheitsvorfällen.
Ausfälle sind nur der Anfang
In dem kürzlich veröffentlichten Keyfactor-Ponemon-Bericht über die Auswirkungen ungesicherter digitaler Identitäten gaben 87 % der Befragten an, dass ihre Organisation in den letzten zwei Jahren mindestens einen Ausfall im Zusammenhang mit Zertifikaten erlebt hat, während 55 % zugaben, dass sie vier oder mehr solcher Vorfälle erlebt haben.
Es gibt zahlreiche Fälle, in denen das Ablaufen eines einzigen Zertifikats Netzwerke lahmgelegt, Dienste unterbrochen oder Unternehmen blind für Angriffe gemacht hat. Ein Beispiel: Ein abgelaufenes Zertifikat legte ein Überwachungssystem bei Equifax lahm und ermöglichte es Angreifern, mehr als zwei Monate lang unbemerkt Daten zu exfiltrieren. Vor kurzem fiel Microsoft Teams für fast drei Stunden aus, nachdem Microsoft vergessen hatte, ein Authentifizierungszertifikat zu erneuern.
Diese Ereignisse stören nicht nur den täglichen Betrieb, sondern untergraben auch das Vertrauen in Produkte und Dienstleistungen und verursachen erhebliche Ausfallzeiten und Produktivitätsverluste sowohl für Unternehmensanwender als auch für Sicherheitsteams, die versuchen, das Problem zu identifizieren und zu beheben. Gartner beziffert die durchschnittlichen Kosten von Netzwerkausfällen auf rund 300.000 US-Dollar pro Stunde - das sind 5.600 US-Dollar pro Minute.
Größere Probleme liegen unter der Oberfläche
Und das ist nur die Spitze des Eisbergs. Sie haben vielleicht schon einmal gehört, dass 90 % eines Eisbergs unter der Wasserlinie liegen. Wenn es um PKI geht, bekommen Ausfälle die meiste Aufmerksamkeit, da sie die sichtbarsten Auswirkungen auf das Geschäft haben, aber die meisten Probleme liegen irgendwo unter der Oberfläche.
Laut dem Ponemon-Bericht geben IT- und Sicherheitsexperten an, dass ihre Unternehmen viel häufiger mit Problemen konfrontiert sind, die den Missbrauch von Schlüsseln und Zertifikaten, kompromittierte oder betrügerische Zertifizierungsstellen (CAs) und Audit-Fehler betreffen, als ungeplante Ausfälle. Darüber hinaus stufen sie die Schwere all dieser Vorfälle höher ein als das Risiko von Ausfällen, die durch abgelaufene Zertifikate verursacht werden.
Aber wenn falsch verwaltete Schlüssel und digitale Zertifikate eine so große Bedrohung darstellen, warum sollten sie dann nicht zur Geschäftspriorität werden? In vielen Fällen sind sich die IT- und Sicherheitsverantwortlichen der Häufigkeit und der finanziellen Auswirkungen dieser Vorfälle einfach nicht bewusst. In der Zwischenzeit fällt es den InfoSec-Teams oft schwer, die Wahrnehmung von PKI und Kryptografie von allzu technischen Konzepten auf geschäftskritische Infrastrukturen zu verlagern.
Warum PKI oft keine Geschäftspriorität ist
In unserem diesjährigen Bericht stellen wir den Critical Trust Index™ vor - eine Reihe von Kennzahlen, die die Fähigkeit von Unternehmen messen, das rasche Wachstum von Schlüsseln und digitalen Zertifikaten in ihrem Unternehmen zu verwalten. Anhand einer Zehn-Punkte-Skala beantworteten die Befragten sechzehn Fragen zum Zustand ihrer PKI und der Verwaltung digitaler Zertifikate und bewerteten ihre Fähigkeiten von niedrig (0) bis hoch (10).
Wie in Abbildung 1 unten dargestellt, fanden wir eine große Diskrepanz zwischen den Antworten der Führungskräfte und den Antworten der Mitarbeiter, die direkt an der Verwaltung von PKI und digitalen Zertifikaten beteiligt sind.
| Rolle des Antragsgegners | Kritischer Vertrauensindexwert |
| Geschäftsführer/VP | 6.15 |
| Direktor | 5.52 |
| Manager | 4.66 |
| Datenschutzbeauftragter | 4.26 |
| Personal/Techniker | 3.67 |
Diese Diskrepanz sollte jedoch nicht überraschen. Laut Gartner sind sich die Verantwortlichen für Sicherheits- und Risikomanagement oft nicht über den Umfang oder den Status ihrer X.509-Bereitstellung bewusst. Da sich der Zertifikatsumfang auf Geräte, Container und IoT ausweitet, müssen sie ein automatisiertes Zertifikatsmanagement einsetzen, um Systemausfälle zu vermeiden und die betriebliche Effizienz zu steigern."
Trotz Tools, die das Auffinden und Verwalten von Zertifikaten automatisieren können, gehen die meisten das Problem immer noch mit einer Tabellenkalkulation an. Doch PKI- und Sicherheitsteams haben es heute mit einer weitläufigen, komplexen und herstellerübergreifenden Zertifikatslandschaft zu tun, die manuelle Verwaltungsmethoden unpraktikabel macht. Ohne zentralisierte Sichtbarkeit und Kontrolle führen mehr Zertifikate zu mehr Problemen.
Argumente für die Verwaltung digitaler Zertifikate
Teams, die für den PKI-Betrieb verantwortlich sind, müssen einen überzeugenden Business Case erstellen, der nicht nur das Risiko und die Auswirkungen von Vorfällen im Zusammenhang mit Zertifikaten eindämmt, sondern auch die Einführung neuer Technologien ermöglicht und gleichzeitig die Sicherheit des Unternehmens mit einer bewährten, skalierbaren Technologie gewährleistet.
Diese Verlagerung von reaktiv (Verhinderung von Ausfällen) zu proaktiv (Förderung von Sicherheitsinnovationen) stellt sicher, dass PKI und Zertifikatsmanagement als strategischer Unternehmenswert und nicht nur als Problem für die IT-Abteilung betrachtet werden.
Nehmen Sie sich fünf Minuten Zeit, um Ihren Critical Trust Index zu berechnen und die größten Lücken in Ihrem Unternehmen zu identifizieren. Teilen Sie die Ergebnisse mit Ihrem Team, sehen Sie, wie Sie im Vergleich zu anderen Unternehmen abschneiden, und erhalten Sie personalisierte Empfehlungen, um einen überzeugenden Business Case für die Automatisierung des Lebenszyklus von Zertifikaten zu erstellen.
