Nur 53 Prozent der deutschen Sicherheitsexperten geben zu, dass sie eine schriftliche Richtlinie über Länge und zufälliger Erstellung von Schlüsseln für Maschinenidentitäten besitzen. Dieses Ergebnis stammt aus einer Umfrage zum Thema Sicherheitskontrollen von Venafi. Verglichen wurden die Sicherheitskontrollen von digitalen Personen- mit Maschinenidentitäten. Befragt wurden über 1.500 IT-Sicherheitsexperten aus den USA, Großbritannien, Frankreich, Deutschland (202) und Australien aus einer Vielzahl von Branchen unterschiedlicher Unternehmensgrößen.
Der Mensch verlässt sich auf Benutzernamen und Passwörter, um sich gegenüber der Maschine zu identifizieren und schlussendlich Zugriff auf Daten und Dienste zu erhalten. Es ist zusätzlich notwendig, dass sich die maschinellen Einheiten gegenseitig authentifizieren, damit eine sichere Kommunikation gewährleistet ist. Dies ist der Fall, indem sie sich auf kryptografische Schlüssel und digitale Zertifikate verlassen, die als Maschinenidentitäten bezeichnet werden.
Um den Unterschied in der Implementierung von Sicherheitskontrollen menschlicher und maschineller Identitäten besser zu verstehen, hat Venafi eine Umfrage durchgeführt, in der ähnliche Kontrollmechanismen für jede Art der Identität bewertet wurden. Zum Beispiel besitzt die Hälfte (53 Prozent) der Unternehmen eine schriftliche Richtlinie über Länge und zufälliger Erstellung von Schlüsseln für Maschinenidentitäten. Dagegen haben 82 Prozent die Länge des Passworts für menschliche Identitäten festgelegt.
Weitere Ergebnisse der Studie sind:
- Weniger als die Hälfte (49 Prozent) der Unternehmen prüfen die Länge und zufällige Erstellung ihrer Schlüssel, während 70 Prozent dies bei Passwörtern regeln. In Deutschland sind es 51 gegenüber 90 Prozent.
- Lediglich 55 Prozent haben eine schriftliche Richtlinie, die angibt, wie oft Zertifikate und private Schlüssel geändert werden sollen, während 79 Prozent über die entsprechende Regelung für Passwörter verfügen. Bei den deutschen Befragten sind es 49 zu 69 Prozent.
- Lediglich 42 Prozent der Unternehmen (Deutschland 40 Prozent) automatisieren die Rotation von TLS-Zertifikaten, verglichen mit 79 Prozent bei Passwörtern (Deutschland ebenfalls 79 Prozent).
- Lediglich 53 Prozent (Deutschland 48 Prozent) erfassen die Anzahl an Änderungen von Zertifikaten und privaten Schlüssel, verglichen mit 73 Prozent (Deutschland 78 Prozent) bei Passwörtern.
Insgesamt werden Unternehmen in diesem Jahr über 10 Milliarden Dollar (9,04 Milliarden Euro) für den Schutz menschlicher Identitäten ausgeben. Dennoch befinden sie sich beim Schutz von Maschinenidentitäten in den ersten Zügen.
Die Anzahl der Personen in Unternehmensnetzwerken ist relativ gering, wenn die Anzahl der Maschinen, die Identitäten benötigen – einschließlich virtueller Maschinen, Anwendungen, Algorithmen, APIs und Container – damit verglichen werden. Diese Anzahl wächst exponentiell. Da Cyber-Kriminelle die Macht von Maschinenidentitäten und deren mangelnden Schutz erkennen, richten sie Angriffe gezielt darauf aus.
„Identitäten sind weithin als Schlüsselelement in der Bedrohungslandschaft anerkannt“, sagt Kevin Bocek, Vice President of Security Strategy & Threat Intelligence bei Venafi. „Maschinenidentitäten sind ein relativ neuer und sehr effektiver Angriffspunkt, dennoch besteht eine große Lücke zwischen den Sicherheitskontrollen für menschliche und denen für maschinelle Identitäten. Dies ist ein Problem, denn die Zukunft des digitalen Geschäfts hängt stark von Maschinen ab. Dies ist Fall, wird das Wachstum der Containernutzung, der künstlichen Intelligenz, der Mikroservices und IoT-Geräte sowie derjenigen in Cloud- und virtualisierten Umgebungen betrachtet. Jeder – vom CISO bis zum Sicherheitsarchitekten und Sicherheitspraktiker – muss den Schutz von Maschinenidentitäten in den Vordergrund stellen, damit die digitale Transformation ihrer Unternehmen erfolgreich sein kann.“ (rhh)
