Venafi Umfrage

Die Verwaltung von Maschinenidentitäten wird immer noch vernachlässigt

Die Verwaltung von Maschinenidentitäten wird immer noch vernachlässigt

Unternehmen schützen Schlüssel und Zertifikate nicht so effektiv wie Benutzernamen und Passwörter.

Venafi®, der Erfinder und führende Anbieter zum Schutz von Maschinenidentitäten, gibt die Ergebnisse einer Umfrage zum Thema Sicherheitskontrollen bekannt. Verglichen werden die Sicherheitskontrollen von digitalen Personen- mit Maschinenidentitäten. Befragt wurden über 1.500 IT-Sicherheitsexperten aus den USA, Großbritannien, Frankreich, Deutschland (202) und Australien aus einer Vielzahl von Branchen unterschiedlicher Unternehmensgrößen.

Nur 53 Prozent der deutschen Sicherheitsexperten geben zu, dass sie eine schriftliche Richtlinie über Länge und zufälliger Erstellung von Schlüsseln für Maschinenidentitäten besitzen

Der Mensch verlässt sich auf Benutzernamen und Passwörter, um sich gegenüber der Maschine zu identifizieren und schlussendlich Zugriff auf Daten und Dienste zu erhalten. Es ist zusätzlich notwendig, dass sich die maschinellen Einheiten gegenseitig authentifizieren, damit eine sichere Kommunikation gewährleistet ist. Dies ist der Fall, indem sie sich auf kryptografische Schlüssel und digitale Zertifikate verlassen, die als Maschinenidentitäten bezeichnet werden.

Kevin Bocek, VP of Security Strategy and Threat Intelligence bei Venafi

„Identitäten sind weithin als Schlüsselelement in der Bedrohungslandschaft anerkannt“, sagt Kevin Bocek, Vice President of Security Strategy & Threat Intelligence bei Venafi . „Maschinenidentitäten sind ein relativ neuer und sehr effektiver Angriffspunkt, dennoch besteht eine große Lücke zwischen den Sicherheitskontrollen für menschliche und denen für maschinelle Identitäten. Dies ist ein Problem, denn die Zukunft des digitalen Geschäfts hängt stark von Maschinen ab. Dies ist Fall, wird das Wachstum der Containernutzung, der künstlichen Intelligenz, der Mikroservices und IoT-Geräte sowie derjenigen in Cloud- und virtualisierten Umgebungen betrachtet. Jeder – vom CISO bis zum Sicherheitsarchitekten und Sicherheitspraktiker – muss den Schutz von Maschinenidentitäten in den Vordergrund stellen, damit die digitale Transformation ihrer Unternehmen erfolgreich sein kann.“

Um den Unterschied in der Implementierung von Sicherheitskontrollen menschlicher und maschineller Identitäten besser zu verstehen, hat Venafi eine Umfrage durchgeführt, in der ähnliche Kontrollmechanismen für jede Art der Identität bewertet wurden. Zum Beispiel besitzt die Hälfte (53%) der Unternehmen eine schriftliche Richtlinie über Länge und zufälliger Erstellung von Schlüsseln für Maschinenidentitäten. Dagegen haben 82 Prozent die Länge des Passworts für menschliche Identitäten festgelegt.

Weitere Ergebnisse der Studie sind:

  • Weniger als die Hälfte (49%) der Unternehmen prüfen die Länge und zufällige Erstellung ihrer Schlüssel, während 70 Prozent dies bei Passwörtern regeln. In Deutschland sind es 51 gegenüber 90 Prozent.
  • Lediglich 55 Prozent haben eine schriftliche Richtlinie, die angibt, wie oft Zertifikate und private Schlüssel geändert werden sollen, während 79 Prozent über die entsprechende Regelung für Passwörter verfügen. Bei den deutschen Befragten sind es 49 zu 69 Prozent.
  • Lediglich 42 Prozent der Unternehmen (Deutschland 40%) automatisieren die Rotation von TLS-Zertifikaten, verglichen mit 79 Prozent bei Passwörtern (Deutschland ebenfalls 79%).
  • Lediglich 53 Prozent (Deutschland 48%) erfassen die Anzahl an Änderungen von Zertifikaten und privaten Schlüssel, verglichen mit 73 Prozent (Deutschland 78%) bei Passwörtern.

Fazit

Insgesamt werden Unternehmen in diesem Jahr über 10 Milliarden US-Dollar (9,04 Milliarden Euro) für den Schutz menschlicher Identitäten ausgeben. Dennoch befinden sie sich beim Schutz von Maschinenidentitäten in den ersten Zügen. Die Anzahl der Personen in Unternehmensnetzwerken ist relativ gering, wenn die Anzahl der Maschinen, die Identitäten benötigen – einschließlich virtueller Maschinen, Anwendungen, Algorithmen, APIs und Container – damit verglichen werden. Diese Anzahl wächst exponentiell. Da Cyberkriminelle die Macht von Maschinenidentitäten und deren mangelnden Schutz erkennen, richten sie Angriffe gezielt darauf aus.