Studie über Fehlinvestitionen bei Cybersicherheit

| Autor: Kevin Bocek

Downloads

CIOs räumen Verschwendung von Millionen für Cybersicherheit ein, die nicht einmal bei der Hälfte der Angriffe funktioniert

Venafi-Studie zeigt, dass 93% der CIOs in Deutschland mit einem Angriff rechnen, weil neue Bedrohungen nicht erkannt werden

Salt Lake City, UT – 17. Mai 2016 Venafi, das Immunsystem für das Internet™, veröffentlicht heute die Ergebnisse einer von Vanson Bourne bei 100 CIOs in Deutschland durchgeführten Studie zur Prävalenz verfehlter IT-Sicherheit und ihren Auswirkungen auf die Geschäftsprozesse. Bei der Studie zeigte sich ein überwältigender Konsens der IT-Manager, dass die Grundlage der Cybersicherheit – kryptographische Schlüssel und digitale Zertifikate – ungeschützt sei und Unternehmen somit blind dem Chaos überlassen und nicht in der Lage wären, ihren Geschäftsbetrieb zu schützen.

CIOs räumen ein, Millionen Euro für mehrschichtige Sicherheitsmaßnahmen zu verschwenden, da diese Tools Schlüsseln und Zertifikaten blind vertrauen – und unfähig sind, zu erkennen, welchen Schlüsseln und Zertifikaten vertraut werden sollte und welchen nicht. Gartner prognostiziert, dass 50 Prozent der Netzwerkangriffe über SSL/TLS erfolgen, was bedeutet, dass beliebte Sicherheitssysteme nur die Hälfte der Zeit funktionieren. Und CIOs ist bewusst, dass ihre strategischen Pläne zum Aufbau von Fast IT-Organisationen rund um DevOps durch dieses Chaos in Gefahr geraten.

Die wichtigsten Ergebnisse auf einen Blick:

  • 75% der CIOs glauben, dass ihre Sicherheitsmaßnahmen weniger effektiv sind, da sie verschlüsselten Netzwerk-Traffic nicht auf Angriffe untersuchen können
  • 93% der CIOs haben Angriffe erlebt oder erwarten einen Angriff, bei dem verschlüsselter Traffic zur Verschleierung des Angriffs verwendet wird
  • 74% der CIOs sind der Meinung, dass gestohlene kryptographische Schlüssel und digitale Zertifikate der nächste große Markt für Cyberkriminelle sein werden
  • 71% der CIOs bestätigen, dass ihre Kernstrategie zur Beschleunigung von IT und Innovationen in Gefahr ist, weil diese Initiativen neue Schwachstellen hervorbringen

Unternehmen stützen sich auf zehntausende Schlüssel und Zertifikate als Vertrauensbasis für ihre Webseiten, virtuellen Maschinen, Mobilgeräte und Cloud-Dienste. Die Technik wurde übernommen, um das ursprüngliche Problem der Internet-Sicherheit zu lösen, nämlich zu erkennen, was sicher und geheim ist. Von Online-Banking, gesicherter Kommunikation und mobilen Anwendungen bis zum Internet der Dinge greifen alle IP-basierten Anwendungen auf Schlüssel und Zertifikate zurück, um eine vertrauenswürdige und sichere Verbindung herzustellen. Doch ungeschützte Schlüssel und Zertifikate werden von Cyberkriminellen missbraucht, um sich in verschlüsseltem Traffic zu verstecken, Webseiten zu spoofen, Malware einzuschleusen, ihre Privilegien zu erweitern und Daten zu stehlen.

Die eingesetzten Technologien, wie Endpunkt-Schutz, erweiterter Schutz vor Bedrohungen, Next Generation Firewalls, Verhaltensanalyse, Intrusion Detection Systeme (IDS) und Data Loss Prevention sind grundsätzlich mangelhaft, denn sie können nicht ermitteln, welche Schlüssel und Zertifikate gut oder schlecht, Freund oder Feind sind.

Folglich sind sie nicht in der Lage, den Großteil des verschlüsselten Netzwerk-Traffics zu untersuchen, wodurch klaffende Lücken im Sicherheitssystem von Unternehmen entstehen. Cyberkriminelle nutzen diese „Blind Spots“ im Sicherheitssystem aus und verwenden die ungeschützten Schlüssel und Zertifikate, um sich im verschlüsselten Traffic zu verstecken und Sicherheitskontrollen zu umgehen.

„Schlüssel und Zertifikate sind die Grundlage der Cybersicherheit, denn sie authentifizieren Systemverbindungen und sagen uns, ob Software und Geräte auch tun, was sie sollen. Bricht diese Grundlage zusammen, sind wir in ernsthaften Schwierigkeiten“, bemerkt Kevin Bocek, Vizepräsident Threat Intelligence und Security Strategy bei Venafi. „Mit einem beeinträchtigten, gestohlenen oder gefälschten Schlüssel und Zertifikat können Angreifer Webseiten, Infrastrukturen, Clouds und Mobilgeräte ihrer Zielunternehmen imitieren, beobachten und überwachen sowie für geheim geltende Kommunikationen entschlüsseln.“

„Die Systeme, die wir eingeführt haben, um Online-Vertrauen zu verifizieren und aufzubauen, werden in zunehmendem Maße gegen uns verwendet. Und schlimmer noch, die Anbieter, die uns erzählen, sie könnten uns schützen, sind nicht dazu in der Lage. Endpunkt-Schutz, Firewalls, IDS, DLP und dergleichen sind schlimmer als nutzlos, denn sie wiegen Menschen in eine falsche Sicherheit. Diese Studie zeigt, dass CIOs jetzt einsehen, dass sie Millionen verschwenden, weil Sicherheitssysteme, nicht einmal die Hälfte der Angriffe stoppen können. Gartner prognostiziert, dass bis 2017 bei mehr als der Hälfte der Netzwerkangriffe auf Unternehmen verschlüsselter Traffic genutzt werden wird, um Kontrollen zu umgehen; und die implementierten Techniken können vor keinem dieser Angriffe schützen! Bedenkt man, dass der Markt für Unternehmenssicherheit weltweit geschätzte 83 Milliarden US-Dollar wert ist, so ist das eine Menge Geld, das für Lösungen verschwendet wird, die ihre Aufgabe nur gelegentlich erfüllen können.“

„Und die öffentlichen Märkte spiegeln den Verlust des Vertrauens in die Cybersicherheit wirkungsvoll wider. Es ist kein Zufall, dass 90 Prozent der CIOs zugeben, Milliarden für unzureichende Cybersicherheit zu verschwenden, während der Cybersicherheits-Fonds HACK seit November 2015 einen Rückgang von 25 Prozent verzeichnet. Dies liegt weit vor dem Gesamtabschwung des Marktes, der im S&P500-Index 10 Prozent beträgt.“

Die Risiken durch unverwaltete und ungeschützte Schlüssel und Zertifikate nehmen mit ihrer steigenden Anzahl zu. Aus einem aktuellen Ponemon-Bericht geht hervor, dass das durchschnittliche Unternehmen mehr als 23.000 Schlüssel und Zertifikate hält, und 54 Prozent der Sicherheitsexperten räumen ein, nicht zu wissen, wo sich all ihre Schlüssel und Zertifikate befinden, wer sie besitzt und wie sie verwendet werden. CIOs sind besorgt, dass die wachsende Zahl der Schlüssel und Zertifikate zur Unterstützung neuer IT-Initiativen das Problem noch verschlimmern wird.

Angesichts der Encryption-Everywhere-Pläne, die größtenteils von Edwards Snowdens Enthüllungen und dem Verstoß der NSA vorangetrieben werden, gaben nahezu alle CIOs (93%) an, sich Sorgen darüber zu machen, wie sie alle Verschlüsselungsschlüssel und Zertifikate sicher verwalten und schützen könnten. Und mit zunehmender Schnelligkeit der IT – die Dienste auf Basis elastischer Anforderungen entwickelt und einstellt – wird die Anzahl an Schlüsseln und Zertifikaten um Größenordnungen ansteigen. Auf die Frage, ob die Schnelligkeit der DevOps die Erkenntnis, was in ihren Unternehmen vertrauenswürdig ist und was nicht, erschwere, antworteten 71 Prozent der CIOs mit Ja.

„Gartner prognostiziert, dass bis zum Jahr 2017 drei von vier Unternehmensorganisationen zu einer bi-modalen IT-Struktur übergehen werden, d.h. zu einer IT mit zwei Geschwindigkeiten und unterschiedlichen qualitativen Anforderungen: eine, die vorhandene Apps unterstützt, bei denen Stabilität gefordert ist, und eine andere, die schnelle IT für Innovationen und geschäftskritische Projekte liefert,“ sagt Bocek. „Doch die Anwendung agiler Methoden und die Einführung von DevOps ist ein extrem risikoreiches und chaotisches Unterfangen. In diesen neuen Umgebungen wird die Sicherheit immer leiden und es wird praktisch unmöglich, zu verfolgen, was vertrauenswürdig ist und was nicht.“

„Aus diesem Grund brauchen wir ein Immunsystem für das Internet“, erklärt Bocek abschließend. „Wie ein menschliches Immunsystem lässt es Organisationen sofort wissen, welchen Schlüsseln und Zertifikaten vertraut werden sollte und welchen nicht. Ist das Vertrauen in Schlüssel und Zertifikate wiederhergestellt, steigt auch der Wert anderer Sicherheitsinvestitionen eines Unternehmens.“

Die Studie wurde von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt, das insgesamt 500 CIOs größerer Unternehmen aus Frankreich, Deutschland, den USA und GB befragte.

Über Vanson Bourne

Vanson Bourne ist ein unabhängiger Marktforschungsspezialist im Technologiesektor. Der Ruf für aussagekräftige und glaubwürdige Analysen gründet auf strengen Forschungsprinzipien und der Fähigkeit, die Meinungen hochrangiger Entscheidungsträger in technischen und wirtschaftlichen Funktionen aller Branchen und Hauptmärkte zu erfragen.