Eine neue Studie zeigt, dass Unternehmen nach wie vor das Angriffsrisiko auf Public-Key-Infrastrukturen unterschätzen. Warum das so ist und warum es das zu ändern gilt, lesen Sie hier.
In Kooperation mit dem Ponemon Institute veröffentlichte das Software-Unternehmen nCipher die Studie zu globalen PKI- und IoT-Trends 2019. Ziel der jährlichen Studie ist es, neben dem aktuellen Reifegrad von PKI (Public-Key-Infrastruktur, öffentliche Schlüsselinfrastruktur), auch die Probleme im Umgang mit PKI sowie die Wechselwirkung von IoT und PKI zu erfassen und Tendenzen abzuleiten. An der Studie nahmen 1.884 IT-Sicherheitskräfte aus 14 Ländern, darunter Australien, Brasilien, Taiwan und die Russische Föderation, teil.
Verbreitet sich das IoT, verbreiten sich auch PKIs
Unter Public-Key-Infrastruktur versteht man ein System, das in der Lage ist, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate dienen zur Absicherung rechnergestützter Kommunikation. Die zentrale Komponente einer PKI ist die Certificate Authority (CA), die die Vertrauenswürdigkeit der Zertifikate garantiert.
Während mit der Einführung des Internet of Things der Einsatz öffentlicher Schlüsselinfrastrukturen weiter ansteigt (Wachstum von 20 Prozent in den letzten fünf Jahren), zeichnet sich auch eine mangelnde Priorisierung von PKI-Sicherheit ab. Die Studie versucht, die Ursachen für diese Entwicklung zu finden. Wovon sind IoT-Umgebungen maßgeblich bedroht?
Zu den Top 4 der häufigsten Bedrohungen für IoT-Strukturen zählten die Befragten zum einen die mögliche Funktionsänderung von Geräten durch das Laden von Malware (68 Prozent), die Fernsteuerung eines Gerätes durch einen nicht autorisierten Nutzer (54 Prozent) sowie das unerlaubte Erfassen von Daten aus Geräten und die Verwendung eines Gerätes als Einstiegspunkt für das Firmennetzwerk (beide 39 Prozent).
Ausgerechnet die Bereitstellung von Patches und Updates für IoT-Devices landete beim Ranking der fünf wichtigsten IoT-Sicherheitsfunktionen auf dem letzten Platz. Ein Umstand, der zu Überlegungen anregt.
Es ist anzunehmen, dass sich in den nächsten zwei Jahren 42 Prozent der IoT-Geräte vornehmlich auf digitale Zertifikate zur Identifizierung und Authentifizierung stützen. Aktuell werden laut der“2019 Global Encryption Trends“ von nCipher nur 28 Prozent der IoT-Geräte und 25 Prozent der IoT-Plattformen und Datenarchive verschlüsselt. Eine klaffende Risikolücke, die es so schnell wie möglich zu schließen gilt.
Warum PKI für Unternehmen so wichtig sind und welche Barrieren Unternehmen sehen
Laut IDC (International Data Corporation) wird es bis 2025 rund 41,6 Milliarden vernetzte IoT-Geräte geben, die ein Datenvolumen von circa 79,4 Zettabytes generieren. Das Sammeln und Aufbereiten dieser Daten macht allerdings nur Sinn, wenn man auf die Sicherheit der Geräte und damit der gesammelten Daten vertrauen kann. „Die Priorisierung von Sicherheitsmaßnahmen, die den wichtigsten IoT-Bedrohungen entgegenwirken, und die Gewährleistung von Authentizität und Integrität im gesamten IoT-System ist daher von entscheidender Bedeutung.“ so John Grimm, Senior Director of Strategy and Business Development bei nCipher Security.
Ob bei der Verwendung einer Cloud, von Mobilgeräten oder dem Internet of Things, sensible Unternehmensdaten gilt es bestmöglich zu schützen. Aus diesem Grund stellen PKI einen wesentlichen Teil der IT-Infrastruktur dar. Sie werden sowohl für SSL/TLS Zertifikate (79 Prozent), als auch private Netzwerke und VPNs (69 Prozent), ebenso für Public Cloud-basierte Anwendungen und Dienste (55 Prozent) verwendet.
Trotz des breiten Einsatzes hegen viele Anwender Zweifel an der umfassenden Funktionalität von PKI-Applikationen. So meint gut die Hälfte der Befragten (56 Prozent), dass PKI nicht zureichend in der Lage sind, aufkommende Anwendungen zu unterstützen. Ferner befürchten viele Teilnehmer erhebliche technische sowie organisatorische Barrieren für die PKI-Nutzung. Dazu zählen die Unfähigkeit, Legacy-Anwendungen zu ändern (46 Prozent), aber auch unzureichende Kompetenzen seitens der Mitarbeiter (45 Prozent) und der Mangel an Ressourcen (38 Prozent).
Oft fehlt es an klar definierten PKI-Konzepten
Aus der geäußerten Skepsis resultieren Sicherheitslücken: So verwenden fast 30 Prozent der Unternehmen keine Techniken zum Widerruf von Zertifikaten. Diese Zahl ist, betrachtet man das Ausmaß möglicher Folgen, erschreckend groß. Noch größere Schwierigkeiten bereitet offenbar die eindeutige Zuweisung von personellen Verantwortlichkeiten in diesem Bereich, denn bei gut 68 Prozent der Befragten herrscht der Zustand „no clear ownership“ in Bezug auf PKI.
Erfreulicher sieht es hingegen mit der Verschlüsselung von Public-Key-Infrastrukturen aus. Vergleicht man die Zahlen zum Vorjahr, ist die Zahl der CA-Administratoren, die „nur mit Passwort“ sichern, um 6 Prozent gesunken, sodass sich ein Wert von 24 Prozent ergibt. Zum Vergleich: im Jahre 2015 lag dieser noch bei 53 Prozent. Die Verwendung von Hardware-Sicherheits-Modulen (HSMs) zur Verwaltung privater Schlüssel, gaben 42 Prozent der Teilnehmer an.
Hardware-Sicherheits-Module qualifizieren sich zunehmend als Vertrauensfaktor für IoT-Strukturen. So stieg ihre Anwendung von 10 Prozent im vorigen Jahr auf 22 Prozent in 2019 an.
Die Zukunft von PKI-Anwendungen besteht aus Cloud- und Enterprise-Kombination
Wenn es um Zertifizierungsstellen geht, vertrauen über die Hälfte der Unternehmen (63 Prozent) auf interne Lösungen und das, obwohl der Markt reich an Alternativen ist, zum Beispiel Cloud, Managed oder Hosted. Allein 80 Prozent der Finanzdienstleister setzt auf eine unternehmensinterne Option.
Zu den wichtigsten PKI-Funktionen im aktuellen Jahr zählt neben der Skalierbarkeit auf Millionen von Zertifikaten (46 Prozent), auch der Online-Zertifikatswiderruf mit 37 Prozent. Darüber hinaus meint weniger als die Hälfte der Befragten (44 Prozent), dass das PKI-Zukunftsmodell für IoT-Geräte aus einer Kombination von cloud- und enterprise-basierten Implementierung bestehen wird.
Es bleibt festzuhalten, dass das IoT neben Cloud- und Mobile-Initiativen ein wesentlicher Treiber für die Nutzung von PKI-Anwendungen sein wird. Um in vollem Umfang von ihrer Digitalisierungsstrategie profitieren zu können, müssen Unternehmen ihre Sicherheitsvorkehrungen für öffentliche Schlüsselinfrastrukturen weiter ausbauen.
Autor: Linda Bergmann
(c) 2019
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
