- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Implementierung einer Public Key Infrastructure


IoT verändert Sicherheitsdenken: Warum PKI immer wichtiger wird
In den letzten Jahren haben Unternehmen bereits begonnen die Sicherheitskontrollen zu verstärken, die sie für ihre PKI verwenden



Von John Grimm, Senior Director of IoT Security Strategy, Thales eSecurity

Die digitale Transformation hat inzwischen eine Vielzahl von Branchen erreicht. Nicht zuletzt angetrieben durch die rasante Weiterentwicklung des Internet of Things (IoT) und die darin liegenden unternehmerischen Möglichkeiten. Wie etwa den, sich Wettbewerbsvorteile gegenüber der Konkurrenz zu verschaffen. Richtig aufgesetzt haben IoT-Projekte das Potenzial, betriebliche Abläufe zu rationalisieren, neue Umsatzquellen zu erschließen und Dienstleistungen besser auf die Bedürfnisse der Kunden zuzuschneiden. So erheben und sammeln IoT-Geräte Unmengen von Daten, die Firmen analysieren und für sich nutzbar machen können.

Dazu muss allerdings eines gewährleistet sein: Sowohl die Geräte als auch die Daten müssen vertrauenswürdig sein. Sonst hätte es wenig Sinn, sie aufwendig zu analysieren und zueinander in Beziehung zu setzen. Will man die ambitionierten Ziele der digitalen Transformation erreichen, braucht es zwingend eine Vertrauensbasis für IoT-Anwendungen. Eine Technologie, die sich in dieser Hinsicht bereits bewährt hat, wird hier zu einem der zentralen Bausteine: eine auf Best Practices basierende Public Key Infrastructure (PKI).

Thales eSecurity arbeitet bereits seit vier Jahren mit dem Ponemon Institute zusammen um die Trends zu untersuchen, die sich bei der Weiterentwicklung von PKI weltweit beobachten lassen. In diesem Jahr belegt die Studie eindeutig, dass sich das IoT zur maßgeblichen Triebfeder für die PKI entwickelt hat. Für die diesjährige Studie wurden mehr als 1.600 IT- und IT-Sicherheitsfachkräfte weltweit befragt. Die Ergebnisse unterstreichen zweierlei. PKI ist eine der Kerntechnologien, wenn es um Authentifizierung geht und das für eine Vielzahl unterschiedlicher Anwendungsfelder. Und: das Internet of Things ist unzweifelhaft der nächste große Anwendungsbereich. Seit 2015 hat sich der Einfluss des IoT als treibende Kraft für eine Public Key Infrastructure inzwischen mehr als verdoppelt, von 21 Prozent auf aktuell 44 Prozent. Weiterhin hat die Studie ergeben, dass innerhalb der nächsten beiden Jahre annähernd die Hälfte aller IoT-Geräte (42 Prozent) digitale Zertifikate zur Authentifizierung nutzen werden. Angeführt wird der Trend übrigens von Deutschland, gefolgt von den USA und UK.

In den letzten Jahren haben Unternehmen bereits begonnen die Sicherheitskontrollen zu verstärken, die sie für ihre PKI verwenden. Das sind gute Nachrichten für all diejenigen, die bereits getätigte Investitionen auch für anstehende IoT-Implementierungen nutzen wollen. Um die Anzahl von IoT-Geräten zuverlässig zu authentifizieren muss ein Unternehmen dann nicht bei Null anfangen. Vielmehr haben Firmen mit der PKI eine grundlegende und bewährte Technologie an der Hand, die sie aktuell bereits für zentrale Anwendungen verwenden.

Was die Implementierung einer Public Key Infrastructure anbelangt, bleiben allerdings viele der traditionellen Herausforderungen bestehen. Etwa der Mangel an klar zugeordneten Verantwortlichkeiten, den 70 Prozent der Befragten beklagen. Für 73 Prozent der befragten Deutschen sind unklare Verantwortlichkeiten auch die größte Herausforderung beim Ausbringen und Verwalten einer PKI. Dazu kommt der Mangel an Ressourcen und Fachkräften. Interessanterweise kämpfen etliche IoT-Pilotprojekte und Proof-of-Concept-Anwendungen mit ähnlichen Problemen.

Was heißt das alles nun für Unternehmen, die sich vielleicht immer noch schwer tun, ein höheres Sicherheitslevel rund um ihre PKI einzuziehen? Firmen sollten die Ergebnisse ganz klar als Aufruf betrachten jetzt zu handeln. Die Studie zeigt, dass Unternehmen durchschnittlich acht verschiedene Anwendungen PKI-basiert betreiben. Innerhalb der letzten Jahre sind es vor allem Cloud-Anwendungen gewesen und jetzt das IoT, die für neue Herausforderungen bei der PKI-Planung sorgen. Wir können vermutlich davon ausgehen, dass die Entwicklung hinsichtlich von IoT und PKI nach einem ganz ähnlichen Muster abläuft wie die von Cloud Computing und PKI.

Firmen müssen den aktuellen Erfordernissen beim Einsatz von digitalen Zertifikaten Rechnung tragen und sich gleichzeitig für die Zukunft wappnen. Eine Zukunft, die durch Diversifizierung und Größenordnungen bisher unbekannten Ausmaßes gekennzeichnet ist.

Aus welcher Perspektive auch immer man es betrachtet, die IoT-Sicherheit muss dort ansetzen, wo man Geräten und den von ihnen erzeugten Daten vertrauen muss.

Unternehmen setzen digitale Technologien ein um ihre betrieblichen Abläufe zu verbessern, um ihren Kunden einen Mehrwert zu bieten und um Wettbewerbsvorteile für sich zu verbuchen. IoT-Initiativen bilden also das Rückgrat dieser Bestrebungen. Aber es macht keinerlei Sinn die erhobenen Daten zusammenzuführen, zu analysieren oder auf ihrer Basis unternehmerische Entscheidungen zu treffen, wenn nicht sichergestellt ist, dass Gerät und Daten vertrauenswürdig sind. Will man IoT-Anwendungen unternehmensweit sicher und in einem geschützten Umfeld betreiben, braucht man Sicherheitstechniken, die ihre Funktionstüchtigkeit schon seit langem unter Beweis gestellt haben. Wie PKI.
(Thales eSecurity: ra)

eingetragen: 28.10.18
Newsletterlauf: 22.11.18

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.