GlobalSign Blog

09 Dez 2015

15 Mio $ mit abgelaufenen Zertifikaten verlieren

Es ist eine Sache, Geld durch Markt- oder Branchenfluktuation zu verlieren. Aber Geld dadurch zu verlieren, dass Sie vergessen, Ihr SSL-Zertifikat zu erneuern, kann katastrophal für Ihr Unternehmen sein, insbesondere für Ihr Markenimage und Ihre Vertrauenswürdigkeit bei potenziellen und bestehenden Kunden.

Untersuchungen zeigen, dass fast zwei Drittel der Unternehmen zugeben, dass sie in den letzten zwei Jahren Kunden verloren haben, da sie versäumt haben, ihre Website mit den richtigen Zertifikaten zu sichern.

Wenn Kunden Vertrauen in Ihre Website und somit in Ihr Unternehmen verlieren, wechseln Sie möglicherweise zur Konkurrenz, da sie Angst haben, dass ihre Daten gestohlen werden. Wenn Ihre Website nicht sicher ist, riskieren Sie, dass Daten missbraucht werden, was finanzielle Belastungen in Höhe von mehreren Millionen Dollar verursachen kann. Vorfallsreaktion, Ausgleiche, Anwaltskosten, Geldstrafen und PR sind nur eine Reihe von Kosten, die Ihrem Unternehmen entstehen, weil Sie einfach vergessen haben, Ihre Zertifikate zu erneuern.

Laut einem Ponemon Bericht von 2015 hat das durchschnittliche Unternehmen in den letzten zwei Jahren bereits mehr als zwei Systemstörungen aufgrund von 'Ausfällen im Zusammenhang mit Zertifikaten' erfahren. Die durchschnittlichen Kosten für einen außerplanmäßigen Ausfall im Zusammenhang mit Zertifikaten betragen etwa 15 Millionen $.

Fallstudie Microsoft Azure

2013 erlebte Microsofts Azure Cloud-Plattform einen weltweiten Ausfall aufgrund eines abgelaufenen SSL-Zertifikats. Dieser geschah zu einer Zeit, als auch Probleme bei Microsofts Xbox Musik- und Videodiensten gemeldet wurden.

Diese Bekanntmachung erfolgte am gleichen Tag, als Microsoft zugab, ein Opfer des gleichen Cyber-Hacks wie Apple und Facebook geworden zu sein. Wie Sie sich vorstellen können, mussten viele Kunden kontaktiert werden, Microsofts PR-Team musste den Nachrichtenaustausch bewältigen und Microsoft musste alle Dienste und Produkte untersuchen, die zum Zeitpunkt des Angriffs gekauft worden sein könnten.

Wie kann ich sicherstellen, dass meine Website sicher ist?

Mit der zunehmenden Gefahr von Hacks greifen Auditoren bei Standards und Vorschriften rigoroser durch, die Unternehmen erfüllen müssen, um zu zeigen, dass sie ihre Kunden oder sogar ihre eigenen Daten keiner Gefahr aussetzen. Wenn Sie wissen möchten, welche Schritte Sie für die Compliance unternehmen müssen, besuchen Sie die Seite 'Veröffentlichte Standards' auf der IT Governance Website.

Da Unternehmen wie Google inzwischen Organisationen mit sicheren Websites im Ranking bevorzugen, ist klar, dass dies ein zunehmender Trend in der Unternehmens- und IT-Sicherheit ist.

Hier sind ein paar Maßnahmen, die Sie jetzt ergreifen können, um sicherzustellen, dass Ihre Website jederzeit sicher ist:

Führen Sie eine interne Prüfung durch

Beginnen Sie damit, alle Ihre aktuellen Zertifikate und Schlüssel zusammenzutragen und sich anzuschauen, wo Lücken sind.

Sie können damit beginnen, Ihre Website-Server mit unserem kostenlosen Konfigurations-Checker Tool zu prüfen. Mit dem Certificate Inventory Tool können Sie außerdem sehen, wo Sie bereits Zertifikate installiert haben und wann Sie diese erneuern müssen, und dies ganz unabhängig davon was die ausstellende Zertifizierungsstelle ist.

Mit einer Managed-SSL-Lösung können Sie zusätzlich alle ablaufenden Zertifikate im Blick behalten und die Zertifikate über diese Online-Plattform verwalten.

Durchsetzen interner Richtlinien

Nachdem Sie sich über die ISO-Normen informiert haben, sollten Sie die richtigen Verfahren in Ihrem Unternehmen schaffen und diese dokumentieren, so dass jeder in Ihrem Unternehmen die Schritte kennt, die Sie unternehmen, warum Sie sie unternehmen und wie er/sie involviert ist.

Es sollten unternehmensweite Schulungen durchgeführt werden, so dass Mitarbeiter die Änderungen, die Sie vornehmen, nachvollziehen können, und auch, wie man vermeidet, Ihre Daten zu gefährden.

Hier ist ein Beispiel für einige Verfahren, die Sie implementieren könnten, um Ihr Unternehmen intern und extern zu schützen:

  • Zwei-Faktor-Authentifizierung auf allen Mitarbeitercomputern
  • Schlüsselkarten, mit denen Sie nur die Räume betreten können, für die Sie eine Zugangsberechtigung haben
  • Unternehmensrichtlinien für Bildschirmsperren, sobald Sie Ihren Arbeitsplatz verlassen
  • Alle E-Mails signieren, was die Urheberschaft nachweist und Manipulationen verhindert

Sorgen Sie dafür, dass Sie auf dem neuesten Stand der News zur IT-Sicherheit bleiben

Sie können einen Großteil dazu beitragen, Ihre Website und Daten sicher zu halten, indem Sie einfach auf dem neuesten Stand der News aus IT und Sicherheit bleiben. Sie finden einige unserer beliebtesten Sicherheitspublikationen auf unserem Twitter-Feed.

Indem Sie sich regelmäßige informieren, können Sie schnell reagieren, wenn neue Bugs oder Viren gemeldet werden oder Updates vorgenommen werden müssen. Beispielsweise wurde vor Kurzem berichtet, dass SHA-1 (der für digitale Zertifikate entwickelte und darin eingesetzte Hashalgorithmus) in nur wenigen Jahren gehackt werden könnte. Es wurde daher empfohlen, dass Sie SHA-1-SSL-Zertifikate schnellstmöglich auf SHA-256 aktualisieren.

Rekrutierung und Ressourcen

Es ist erwähnenswert, dass es schwierig wäre, sich als Eigentümer des Unternehmens hierum zu kümmern. Wenn Ihr Unternehmen groß genug ist, müssen Sie die Auswirkung davon, die richtigen Personen einzustellen und Ihrer IT-Sicherheit die richtige Ressource zuzuweisen, berücksichtigen.

Dies variiert je nach Ihrer Branche und Ihren internen und externen Sicherheitsbedürfnissen. Wenn Sie nicht sicher sind, ist es wert, sich mit jemandem zu beraten, der Erfahrung in der Sicherung eines ähnlichen Unternehmens, wie dem Ihren, hat.

Mein letzter Hinweis wäre, in Urlaubszeiten, wie dem bevorstehenden Weihnachtsfest, vorsichtig zu sein. Überprüfen Sie, ob Ihre Zertifikate nicht ablaufen und lassen Sie sie erneuern, bevor Sie in diesen wohlverdienten Urlaub gehen.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren