In diesem Blog gibt der Chief Security Officer von Keyfactor, Chris Hickman, Einblicke in den 2020 Keyfactor-Ponemon Institute Report: Die Auswirkungen von ungesicherten digitalen Identitäten. Klicken Sie hier, um den vollständigen Bericht herunterzuladen und auf ihn zuzugreifen.
Die Public-Key-Infrastruktur (PKI) ist eines der leistungsfähigsten Werkzeuge in Ihrem IT-Stack. Die Berechnungen sind kompliziert, aber das Kernkonzept ist einfach. PKI ermöglicht Ihnen die Verwendung digitaler Zertifikate zum Schutz sensibler Daten, zur Sicherung der End-to-End-Kommunikation und zur Bereitstellung einer eindeutigen digitalen Identität für die Benutzer, Geräte und Anwendungen in Ihrem Unternehmen.
Vor nicht allzu langer Zeit galt PKI noch als Nischentechnologie - ein Tool, das für einen bestimmten Zweck entwickelt wurde und zumeist still im Hintergrund lief. Seitdem hat sich der Anwendungsbereich der PKI weit über die traditionellen Anwendungsfälle hinaus auf Geräte, Cloud-Infrastrukturen, Container und die IoTausgeweitet.
Die Rolle der PKI hat sich zweifelsohne verändert, aber die Herausforderungen, die mit ihrer Bereitstellung und Verwaltung verbunden sind, sind relativ gleich geblieben. Trotz ihrer wichtigen Rolle schaffen unternehmensinterne PKI-Implementierungen oft mehr Probleme (und Kosten) als sie lösen. Das hat dazu geführt, dass die meisten Unternehmen nur in den Rückspiegel schauen, anstatt das volle Potenzial ihrer PKI-Implementierung auszuschöpfen.
Grundlegende Herausforderungen beim PKI-Betrieb
In dem kürzlich veröffentlichten Bericht 2020 Keyfactor-Ponemon Institute: The Impact of Unsecured Digital Identities (Die Auswirkungen ungesicherter digitaler Identitäten) zeigten die Antworten von 603 IT- und Sicherheitsexperten einige der grundlegenden Probleme bei der PKI-Verwaltung auf. Schauen wir uns einige der wichtigsten Herausforderungen an und wie sie sich auf Ihr Unternehmen auswirken können.
Unzureichende Fertigkeiten und Ressourcen
Wenn Sie schon länger in der Tech-Branche tätig sind, ist es kein Geheimnis, dass es im Bereich der Cybersicherheit einen ernsthaften Mangel an Arbeitskräften gibt. Da immer mehr unserer kritischen Infrastrukturen mit dem Internet verbunden sind, gibt es nur eine begrenzte Anzahl von qualifizierten Personen, die den dringenden Bedarf an Cybersicherheit verstehen.
PKI ist nicht wie jede andere Technologie in Ihrem IT-Stack - sie erfordert hochspezialisierte Kenntnisse und Fähigkeiten, um sie effektiv einzusetzen. Diese Fähigkeiten sind nicht nur selten, sondern auch schwer zu erhalten.
Dem Bericht zufolge geben nur 38 % der Befragten an, dass ihre Organisation über ausreichend Personal für die PKI-Einführung verfügt.
Viel zu oft führt dies dazu, dass PKI in unerfahrene Hände gerät, wo schon das kleinste Missgeschick zu erheblichen Ausfällen oder Sicherheitsverletzungen führen kann.
Fehlende Investitionen
Trotz der entscheidenden Rolle der PKI für die Unternehmenssicherheit gehen die meisten Organisationen das Problem immer noch mit einem Flickenteppich aus Tabellenkalkulationen, interner PKI und von CA bereitgestellten Tools an. Die Art und Weise, wie wir Infrastrukturen bereitstellen und betreiben, hat sich völlig verändert - von einer statischen hardware zu einer dynamischen und hochgradig automatisierten Infrastruktur - doch viele verwenden immer noch veraltete, manuelle Methoden zur Bereitstellung und Verwaltung ihrer PKI.
Die Mittel für die Cybersicherheit mögen zwar steigen, aber PKI ist in vielen Fällen immer noch unzureichend und unterfinanziert, was zu erheblichen Risiken für das Unternehmen führt. Ohne die richtigen Tools und Ressourcen verbringen PKI-Ingenieure oder -Administratoren mehr Zeit damit, Brände zu bekämpfen, als neue Anwendungsfälle zu ermöglichen, von denen das Unternehmen profitieren kann.
Keine klaren Eigentumsverhältnisse
Eine der größten Herausforderungen bei der PKI-Einführung ist nach wie vor der Mangel an klaren Eigentumsverhältnissen.
Auf die Frage, wer für das PKI-Budget zuständig ist, gab es eine Vielzahl von Antworten, von IT-Betrieb (21 %) und IT-Sicherheit (18 %) bis hin zu Geschäftsbereichen (19 %) und Netzwerkteams (16 %).
Dadurch geraten die Beteiligten oft in einen Zwiespalt, wenn etwas schief geht - etwa bei einer fehlgeschlagenen Prüfung oder einer kompromittierten CA.
PKI ist in der Regel eine Technologie, die von allen genutzt wird und niemandem gehört. Allzu oft sehen wir Situationen, in denen jedes Team, vom IT-Betrieb bis zu den Entwicklern, eine eigene PKI für bestimmte Anwendungen aufbaut, ohne dass das Sicherheitsteam die Aufsicht darüber hat. Dies führt nicht nur zu einem Chaos bei der PKI-Verwaltung, sondern erschwert auch die Durchsetzung einheitlicher Richtlinien und eine wirksame Reaktion auf einen Sicherheitsvorfall.
Sicherheit der Root-CA
Die Stammzertifizierungsstelle (CA) ist die Vertrauensgrundlage für jedes in Ihrer Umgebung ausgestellte Zertifikat. Wenn Sie Ihrer Stammzertifizierungsstelle nicht vertrauen können, können Sie Ihrer PKI nicht vertrauen.
Betrachtet man jedoch die Ergebnisse des Berichts, so sind weniger als die Hälfte der Befragten (44 %) von der Sicherheit ihrer Root-CA überzeugt.
Höchstwahrscheinlich ist diese Zahl viel niedriger, da viele Unternehmen davon ausgehen, dass ihre Stammzertifizierungsstelle sicher ist, ohne eine ordnungsgemäße Prüfung durchzuführen. Eine weitere gefährliche Annahme ist, dass digitale Zertifikate von Natur aus vertrauenswürdig und sicher sind. Wenn Sie die Richtlinien der ausstellenden und Stammzertifizierungsstellen nicht kennen, können Sie nicht davon ausgehen, dass ausgestellten Zertifikaten vertraut werden kann.
Wie Sie Ihre PKI-Probleme in den Griff bekommen
Wir haben die Herausforderungen bei der PKI-Einführung erörtert, jetzt ist es an der Zeit, über Lösungen zu sprechen. Im Folgenden finden Sie drei Schritte, mit denen Sie sicherstellen können, dass Sie über die richtigen Werkzeuge und Ressourcen verfügen, um Ihre PKI richtig zu betreiben:
- Erstellen Sie einen Business Case: PKI und Zertifikatsmanagement werden oft als zu technisch angesehen, so dass Führungskräfte die Bedeutung von Investitionen in diese Bereiche einfach nicht verstehen. Gartner sagt: "Sicherheitsverantwortliche, die das Management von X.509-Zertifikaten erfolgreich in eine überzeugende Geschäftsgeschichte einbinden, wie z. B. digitales Geschäft und Vertrauensförderung, werden den Programmerfolg um 60 % steigern, während es heute weniger als 10 % sind."
- Prüfen Sie Ihre PKI: Machen Sie sich zunächst ein Bild von der aktuellen Architektur Ihrer PKI-Umgebung - wie viele Zertifizierungsstellen gibt es in Ihrer Umgebung (einschließlich vergessener Zertifizierungsstellen), wie wurden sie implementiert und zu welchem Zweck, und welche Sicherheitskontrollen und -richtlinien wurden eingeführt. Achten Sie bei der Root-CA auf Dinge wie: Verwendet die Root-CA ein HSM? Oder ist die Root-CA ständig offline?
- In Fachwissen investieren: Manchmal brauchen sogar die Experten Fachwissen. PKI ist eine kritische Infrastruktur, die regelmäßig gepflegt werden muss, damit sie sicher läuft. Unternehmen müssen entweder selbst die Experten sein oder ihre PKI an einen vertrauenswürdigen Experten auslagern. Managed PKI-Anbieter können weit mehr in eine hochmoderne PKI-Infrastruktur, Sicherheit und Fachwissen investieren, als es für die meisten Unternehmen machbar ist.
Nehmen Sie sich fünf Minuten Zeit, um den Critical Trust Index Ihres Unternehmens zu berechnen, und erhalten Sie personalisierte Empfehlungen für die effektive Verwaltung Ihrer PKI und digitalen Zertifikate.