Das Internet of Things entwickelt sich immer mehr zum Haupttreiber für PKI (Public-Key-Infrastrukturen), gleichzeitig sind Unternehmen nicht ausreichend auf Bedrohungen vorbereitet. [...]
Das Internet of Things ist aktuell einer der Technologietrends mit dem stärksten Wachstum. Unternehmen setzen sich jedoch gefährlichen Cyberrisiken aus, indem sie in diesem Zusammenhang der PKI-Sicherheit nicht genügend Priorität beimessen. Das zeigen die neuesten Untersuchungsergebnisse von nCipher Security, einem Unternehmen von Entrust Datacard.
Die „2019 Global PKI and IoT Trends“ Studie wurde vom Ponemon Institute im Auftrag von nCipher Security durchgeführt und basiert auf den Antworten von über 1.800 IT-Security Experten aus 14 Ländern. Die Studie zeigt, dass kein anderer Technologietrend den Einsatz von Public-Key-Infrastrukturen derzeit so stark vorantreibt wie das Internet of Things – mit einem Wachstum von 20 Prozent über die letzten fünf Jahre hinweg.
Bedenken wegen Malware
Befragt nach den Hauptbedrohungen für die Sicherheit von IoT-Umgebungen, äußerten die Teilnehmer vor allem Bedenken hinsichtlich möglicher Funktionsänderungen von IoT-Geräten durch Malware oder andere Angriffe (68 Prozent) oder die Fernsteuerung eines Geräts durch einen nicht autorisierten Benutzer (54 Prozent). Die Bereitstellung von Patches und Updates für IoT-Geräte, die genau vor diesen Top-Bedrohungen schützen, landete im Ranking der fünf wichtigsten IoT-Sicherheitsfunktionen jedoch nur auf dem letzten Platz.
Die Studie ergibt zudem, dass sich in den nächsten zwei Jahren durchschnittlich 42 Prozent der IoT-Geräte hauptsächlich auf digitale Zertifikate zur Identifizierung und Authentifizierung stützen. Jedoch sind laut der “2019 Global Encryption Trends“ Studie von nCipher nur 28 Prozent der IoT-Geräte und 25 Prozent der IoT-Plattformen und IoT-Datenarchive verschlüsselt.
„Das Ausmaß an IoT-Risiken ist überwältigend – IDC hat vor Kurzem prognostiziert, dass es bis 2025 41,6 Milliarden vernetzte IoT-Geräte geben wird, die wiederum 79,4 Zettabytes an Daten generieren werden“, so John Grimm, Senior Director of Strategy and Business Development bei nCipher Security. „Es macht keinen Sinn, durch IoT generierte Daten zu sammeln, zu analysieren und darauf basierend geschäftskritische Entscheidungen zu treffen, wenn man nicht auf die Sicherheit der Geräte oder deren Daten vertrauen kann. Die Priorisierung von Sicherheitsmaßnahmen, die den wichtigsten IoT-Bedrohungen entgegenwirken, und die Gewährleistung von Authentizität und Integrität im gesamten IoT-System ist daher von entscheidender Bedeutung.“
Unternehmen zu wenig auf Risiken vorbereitet
In vielen Unternehmen steht die PKI im Zentrum der IT-Infrastruktur. Sie ermöglicht Datensicherheit für viele geschäftskritische digitale Initiativen – wie zum Beispiel Anwendungen in der Cloud, die Arbeit mit Mobilgeräten oder das IoT. PKI findet in den meisten Unternehmen breite Anwendung, und zwar für SSL/TLS Zertifikate (79 Prozent), private Netzwerke und VPNs (69 Prozent) sowie Public Cloud-basierte Anwendungen und Dienste (55 Prozent).
Dennoch glauben mehr als die Hälfte der Befragten (56 Prozent), dass PKI nicht in der Lage ist, neue Anwendungen zu unterstützen. Darüber hinaus sehen viele Teilnehmer erhebliche technische und organisatorische Barrieren für die PKI-Nutzung – darunter die Unfähigkeit, Legacy-Anwendungen zu ändern (46 Prozent), aber auch unzureichende Fähigkeiten (45 Prozent) und Ressourcen (38 Prozent).
Best Practices für PKI-Sicherheit bei Unternehmen nicht klar definiert
Fast ein Drittel (30 Prozent) der Unternehmen, angesichts der möglichen Folgen ein extrem hoher Prozentsatz, verwendet keine Techniken zum Widerruf von Zertifikaten. Mehr als zwei Drittel (68 Prozent) nennen als größte Schwierigkeit im Zusammenhang mit PKI „no clear ownership“ – die mangelnde Zuweisung von personellen Verantwortlichkeiten für diesen Bereich.
Die Studie kann aber auch positive Entwicklungen verzeichnen: So ist der Anteil der Befragten, der für die CA-Administration „nur mit Passwort“ arbeitet, gegenüber 2018 um 6 Prozent auf 24 Prozent in diesem Jahr gesunken. (2015 waren es noch 53 Prozent.) Und 42 Prozent der Teilnehmer gaben an, dass sie Hardware-Sicherheits-Module (HSMs) zur Verwaltung privater Schlüssel verwenden.
Weitere Ergebnisse des Berichts:
- Die Verwendung von HSM als IoT-Vertrauensfaktor stieg gegenüber 2018 sprunghaft an (von 10 Prozent auf 22 Prozent).
- Trotz einer wachsenden Zahl von Optionen für den PKI-Einsatz (Cloud, Managed und Hosted), sind unternehmensinterne Zertifizierungsstellen (Certificate Authorities, CAs) nach wie vor am beliebtesten, ihr Anteil ist in den letzten fünf Jahren um 19 Prozent auf 63 Prozent gestiegen. Unter anderem favorisieren 80 Prozent der Finanzdienstleister diese Option.
- 44 Prozent der Befragten glauben, dass PKI-Umgebungen für IoT-Geräte aus einer Kombination von cloud- und enterprise-basierten Implementierungen bestehen werden.
- Die wichtigsten PKI-Funktionen für IoT im Jahr 2019 sind die Skalierbarkeit auf Millionen von Zertifikaten (46 Prozent) und der Online-Zertifikatswiderruf (37 Prozent).
„Der Einsatz von PKI wächst im Zuge des digitalen Wandels, der sich in Unternehmen vollzieht. Zusätzlich zum IoT gaben mehr als 40 Prozent unserer Befragten auch Cloud– und Mobile-Initiativen als Treiber für die PKI-Nutzung an“, erklärt Larry Ponemon, Chairman und Gründer des Ponemon Institute. „Das rapide Wachstum von IoT hat zweifellos enorme Auswirkungen auf die Verwendung von PKI – zumal Organisationen erkennen, dass PKI wesentliche Authentifizierungstechnologien für vernetzte Geräte bereitstellt. Damit Organisationen aber in vollem Umfang von ihren digitalen Initiativen profitieren können, müssen sie den Sicherheitsgrad ihrer PKIs weiter verbessern.“
Be the first to comment