„Cost of Failed Trust“: Kein Vertrauen mehr in Schlüssel und Zertifikate

Laut der Studie 2015 Cost of Failed Trust vom Ponemon Institute und Venafi glauben IT-Sicherheitsexperten auf der ganzen Welt, dass das Vertrauenssystem, das durch kryptographische Schlüssel und digitale Zertifikate geschaffen wird, seine Belastungsgrenze erreicht. [...]

Bei der diesjährigen Studie äußerte erstmals die Hälfte der mehr als 2.300 befragten IT-Sicherheitsexperten die Meinung, dass die vertrauensschaffende Technologie bedroht sei, die ihr Unternehmen für funktionierende Geschäftsabläufe braucht. Alle befragten Unternehmen mussten in den letzten beiden Jahren auf mehrfache Angriffe auf ihre Schlüssel und Zertifikate reagieren.

Die Studie 2015 Cost of Failed Trust wurde in Australien, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten durchgeführt. Als einzige Studie ihrer Art untersucht sie das digitale Vertrauenssystem, von dem die Weltwirtschaft abhängig ist. Wie die diesjährige Studie zeigt, beläuft sich in den nächsten beiden Jahren das Risiko durch Angriffe auf Schlüssel und Zertifikate für jedes Global-5000-Unternehmen auf mindestens 53 Millionen Dollar – eine Summe, die sich im Vergleich zu 2013 um 51 Prozent erhöht hat. Seit vier Jahren in Folge geben 100 Prozent der befragten Unternehmen an, dass sie mit mehreren Angriffen auf Schlüssel und Zertifikate konfrontiert waren, und Sicherheitslücken wie Heartbleed haben ihren Tribut gefordert. 60 Prozent der Studienteilnehmer stimmten der Aussage zu, dass ihre Unternehmen besser auf Sicherheitslücken bei Schlüsseln und Zertifikaten wie etwa Heartbleed reagieren müssen.

„Die Befürchtung, dass das Online-Vertrauen kippt, zieht sich als roter Faden durch die diesjährige Studie. Und das ist auch kein Wunder. Führende Sicherheitsforscher von FireEye, Intel, Kaspersky und Mandiant und viele weitere stellen laufend fest, dass der Missbrauch von Schlüsseln und Zertifikaten eine wichtige Komponente von APTs und cyberkriminellen Aktivitäten ist“, so Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Jedes Unternehmen, ob es sich darüber bewusst ist oder nicht, ist von kryptographischen Schlüsseln und digitalen Zertifikaten abhängig, um seine Geschäftstätigkeit aufrechterhalten zu können. Ohne das Vertrauen, das Schlüssel und Zertifikate schaffen, kehren wir in die ‚Steinzeit’ des Internets zurück – und wissen nicht mehr, ob wir einer Website, einem Gerät oder einer mobilen Anwendung Vertrauen schenken können oder nicht.“

Weitere Ergebnisse der Studie „2015 Cost of Failed Trust“:

  • Nicht nur die Risiken nehmen zu, sondern auch die Anzahl der Schlüssel und Zertifikate: In den letzten beiden Jahren stieg die Zahl der Schlüssel und Zertifikate, die in Infrastrukturen wie Webservern, Netzwerk-Appliances und Clouddiensten eingesetzt werden, um mehr als 34 Prozent auf fast 24.000 pro Unternehmen. Mit der Verwendung von immer mehr Schlüsseln und Zertifikaten werden diese zu einem immer besseren Angriffsziel. Gestohlene Zertifikate werden im Untergrund für fast 1.000 Dollar pro Stück gehandelt, und der Preis hat sich innerhalb nur eines Jahres fast verdoppelt. Die Sicherheitsforscher bei Intel gehen davon aus, dass das Interesse der Hacker schnell wächst.
  • Die Unternehmen wissen weniger denn je darüber Bescheid, wo und wie sie ihre Schlüssel und Zertifikate verwenden: In der diesjährigen Studie räumten 54 Prozent aller Unternehmen ein, dass sie nicht wissen, wo sich sämtliche Schlüssel und Zertifikate befinden und wie sie eingesetzt werden. Das führt zwangsläufig zu der Frage: Wie kann ein Unternehmen dann wissen, was vertrauenswürdig ist und was nicht?
  • Sicherheitsprofis haben Angst vor einem Ereignis, das einer Krypto-Apokalypse gleichkäme: Als alarmierendste Bedrohung wird ein Szenario angesehen, in dem die Standardalgorithmen zur Schaffung von Vertrauen, wie RSA und SHA, über Nacht kompromittiert und ausgenutzt werden. In diesem Fall wären alle Transaktionen, Bezahlvorgänge, mobilen Anwendungen sowie eine wachsende Zahl von Gegenständen im Internet der Dinge mit einem Schlag nicht mehr vertrauenswürdig. Eine solche Krypto-Apokalypse, wie Forscher auf der Black Hat 2013 ein derartiges Szenario nannten, würde Heartbleed im Hinblick auf Umfang, Komplexität und Dauer der Problemlösung weit in den Schatten stellen.
  • Wachsende Besorgnis gilt auch der missbräuchlichen Verwendung von Zertifikaten im Mobilbereich: Der Missbrauch von Zertifikaten für Unternehmensanwendungen wie WiFi, VPN und MDM/EMM beunruhigt Sicherheitsexperten zunehmend. In der Rangfolge der alarmierendsten Bedrohungen rangiert diese direkt hinter einem krypto-apokalyptischen Ereignis. Sicherheitsvorfälle im Zusammenhang mit Zertifikaten im Mobilbereich wurden als das zweitgrößte Risiko und als diejenigen Ereignisse eingestuft, die den größten Gesamtschaden verursachen können – beziffert auf mehr als 126 Millionen USD. Da die Zahl der mobilen Geräte und Anwendungen in Unternehmen rasant zunimmt, überrascht es nicht, dass die Sicherheitsexperten diesbezüglich besonders besorgt sind.

Als vier einfache Schritte für die Security Teams empfiehlt Venafi folgendes:
1.   Die Sicherheitsverantwortlichen sollten wissen, welche Keys und Zertifikate vorhanden sind und wo
2.   Die Teams sollten Keys und Zertifikate managen, Policies festlegen, wie Black- und Whitelisting und damit die Security in diesem Bereich automatisieren
3.   Die Sicherheitsverantwortlichen sollten immer wissen, welchen Zertifikaten getraut werden darf: dies erreicht man mit einem kontinuierlichen Monitoring und Reputationscheck für alle vorhandenen Keys und Software-Zertifikate
4.   Verwundbare Keys und Zertifikate umgehend reparieren bzw. ersetzen

„Angesichts der wachsenden Flut von Angriffen auf Schlüssel und Zertifikate müssen sich Unternehmen unbedingt über die gravierenden finanziellen Konsequenzen klar werden. Ohne das Vertrauenssystem, das Schlüssel und Zertifikate schaffen, könnten wir die digitale Weltwirtschaft nicht aufrechterhalten“, erklärt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Institutes. „Diese Untersuchungen sind für IT-Sicherheitsexperten weltweit hochaktuell – sie brauchen einen solchen Weckruf, um zu erkennen, dass sie Schlüsseln und Zertifikaten nicht mehr blind vertrauen können, da diese zunehmend von Cyberkriminellen missbraucht werden.“

„Wir hoffen, dass diese Studie den Sicherheitsteams aller Global-5000-Unternehmen zu erkennen hilft, dass die Technologien, auf die sie sich seit zwei Jahrzehnten verlassen, an ihre Belastungsgrenze stoßen und den Bedrohungen nicht mehr gewachsen sind“, so Jeff Hudson, CEO von Venafi. „Da Schlüssel und Zertifikate überall im Einsatz und für die Zukunft der digitalen Weltwirtschaft unerlässlich sind, muss ihre bessere Absicherung für CEOs, Vorstände und CISOs zur Top-Priorität werden. Ein Ersatz ist nicht in Sicht, und Scheitern ist keine Option. Wir müssen lernen, neu zu denken – indem wir etwa die Technologien für Zertifikatsreputation nutzen, die Venafi TrustNet jetzt bietet.“

Die vollständige Studie finden Sie auf https://www.venafi.com/Ponemon. (pi)


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*