GlobalSign Blog

02 Aug 2019

IT Think Tank 451 Alliance: PKI adressiert einige der größten Sicherheits-herausforderungen unserer Zeit

Jedes Unternehmen hat seine Problembereiche in Sachen Sicherheit. Das ist die Realität. Zu diesem Ergebnis kommt eine kürzlich von der globalen IT Think Tank 451 Alliance durchgeführte Umfrage. Die Organisation ist eine Abteilung von 451 Research.  Befragt wurden deren Mitglieder zu ihren vorrangigen Sicherheits-bedenken. Die beiden ersten Plätze belegen dabei das  Nutzerverhalten und Phishing. Aber auch Endpoint Security und die mit IoT und Compliance verbundenen Kosten wurden von den Umfrageteilnehmern angeführt.

Neben diesen Projektprioritäten haben die Mitglieder der 451 Alliance folgende Schwerpunktbereiche für das kommende Jahr angegeben (in absteigender Reihenfolge):

  • App-Sicherheit
  • Firewall-Management und Aktualisierung
  • Initiativen zur Identitäts- / Zugriffskontrolle
  • Angriffserkennung- und -verhinderung
  • Patch-Management
  • Incident Response
  • Datenklassifizierung
  • Verschlüsselung

Im Folgenden gehen wir näher auf die Studie und einige der identifizierten Problembereiche ein.

Phishing


Wenig überraschend nimmt Phishing den Spitzenplatz in der Bedenkenliste der Umfrageteilnehmer ein. Phishing ist ein globales Phänomen, es betrifft alle Regionen und jeden Wirtschaftszweig. Angesichts der Zahlen und der potenziellen Folgen von Phishing-Angriffen kommt man nicht umhin, die E-Mail-Aktivitäten der Mitarbeiter kontinuierlich zu überwachen. Etliche Studien belegen wie problematisch Phishing und die Folgen sind. Laut Studien des Cloud-Sicherheitsanbieters Avanan, ist eine von 99 E-Mails eine Phishing-Attacke. Hochgerechnet summiert sich das auf 4,8 E-Mails pro Mitarbeiter bei fünf Arbeitstagen pro Woche. Also erhält jeder Mitarbeiter so gut wie jeden Tag eine Phishing-E-Mail. Die Studie hat zudem ergeben, dass 2018 83 % aller User weltweit über Phishing angegriffen wurden, was zu einer Reihe von schwerwiegenden Störungen und Schäden führte. Dazu zählen verminderte Produktivität (67 %), der Verlust proprietärer Daten (54 %) und Reputationsschäden (50 %).

Beispiel für eine Phishing E-Mail.

Um einen Phishing-Angriff zu verhindern, empfehlen wir folgende Maßnahmen:

  • Aus- und Weiterbildung der Mitarbeiter. Mitarbeiter müssen ein Verständnis dafür entwickeln wie Phishing-Angriffe funktionieren und worauf man achten sollte. Tritt trotz aller Vorsichtsmaßahmen der Fall der Fälle ein sollte jeder wissen, wer zu informieren ist. Phishing ist zwar eine vergleichsweise traditionelle Methode, aber auch sie hat sich weiterentwickelt. Das sollten Schulungen und Trainings auch tun.

  • Verschlüsseln Sie sensible Informationen. Verschlüsselte E-Mails machen es Hackern wesentlich schwerer, auf sensible Unternehmensdaten zuzugreifen.

  • Verwenden Sie PKI-gestützte digitale Zertifikate um die User zu identifizieren und zu authentifizieren. Eine PKI umfasst die Richtlinien, Rollen und Verfahren, die zum Erstellen, Verwalten, Speichern oder Widerrufen digitaler Zertifikate - sowie zum Verwalten der Verschlüsselung mit öffentlichen Schlüsseln - erforderlich sind.

  • E-Mails, die digital signiert werden, validieren den E-Mail-Absender und helfen, legitime E-Mails von Fälschungen zu unterscheiden. In Verbindung mit Schulungen verringert sich so das Risiko, Phishing-E-Mails zu öffnen.

Compliance und die Kosten


Die 451-Alliance-Studie hat außerdem ergeben, dass die IT-Verantwortliche stetig die anfallenden Compliance-Kosten im Hinterkopf haben. Will man diese Kosten kontrollieren, muss man die Cybersicherheitsrisiken des betreffenden Unternehmens angemessen berücksichtigen. Das sollte im Idealfall auf Basis eines vorausschauenden Ansatzes geschehen. So kann man kostspielige Meldungen an Kunden und Behörden verhindern und letztendlich die Compliance-Kosten eines Unternehmens senken.

Dazu kommt eine Vielzahl zu beachtender Regularien vor allem in Europa. Zu den wichtigsten US-Vorschriften zählen Sarbanes Oxley, CFR 21 Part 11, FDA ESG, sowie eIDAS und die DSGVO in Europa.

Multifaktor- und Zwei-Faktor-Authentifizierung

Die Teilnehmer der zitierten Studie wollen sich zudem verstärkt auf Multifaktor-Authentifizierung konzentrieren. Sie ist für den Schutz sensibler Daten und Anwendungen unverzichtbar. Die für Zwei-Faktor-Authentifizierung verwendeten digitalen Zertifikate werden beispielsweise über eine Cloud-basierte Managed PKI (MPKI)Management-Plattform bereitgestellt und verwaltet. Eine Managed PKI bietet eine kostengünstige, einfache Verwaltung und Überwachung von Anwender- und Geräte-Identitäten, und kontrolliert, wer oder was auf Dienste, Daten und digitale Assets zugreift. MPKI bietet zudem erweiterte Funktionen, die sich perfekt für große Unternehmen eignen, die eine Windows-Umgebung betreiben bei der Active Directory für die automatische Registrierung und Installation im Hintergrund genutzt wird.

Endpunktsicherheit

Endpunktsicherheit ist unverzichtbar, denn ein Hacker kann eine Verbindung zwischen einem Netzwerk und einem Gerät (dem „Endpunkt“) wie z. B. Mobiltelefon, Laptop, Server und so weiter problemlos abfangen.

Technologien wie der GlobalSign’s Auto Enrollment Gateway (AEG) leisten einen wichtigen Beitrag, den Schutz der Endpunkte zu gewährleisten.

AEG ist eine vollständig automatisierte, verwaltete Public Key Infrastructure (PKI) -Lösung, die sich an die Skalierbarkeit in einer modernen gemischten Unternehmensumgebung richtet. Die User stellen automatisch öffentlich vertrauenswürdige Zertifikate während ihres gesamten Lebenszyklus aus und verwalten sie. Das spart wertvolle IT-Ressourcen und verringert das Risiko, das mit abgelaufenen Zertifikaten und den daraus resultierende Störungen im Geschäftsablauf verbunden ist.

IoT-Sicherheit und Identität

Große Sorgen bereitet Unternehmen auch die zunehmende Integration  von IoT-basierten Geräten. Hier sorgt eine PKI-basierte IoT-Identity Platform für sichere, identifizierbare IoT- und IIoT-Geräte, flexibel und skalierbar, um Milliarden von Identitäten für IoT-Geräte aller Art auszustellen und zu verwalten, und integriert über eine entwicklerfreundliche RESTful-API. Die IoT-Identify-Plattform von GlobalSign bedient unterschiedliche IoT-Sicherheitsanwendungen in allen Branchen bedienen, wie etwa Fertigung, Landwirtschaft, Smart Grid, Bezahlsysteme, IoT-Gateways, Gesundheitswesen, industrielle Ökosysteme und weitere mehr. Solche Plattformen unterstützen den kompletten Lebenszyklus der Geräteidentität, von der erstmaligen Zertifikatbereitstellung (sowohl Neu- als auch Wiederbereitstellungen) über die Pflege während der Laufzeit bis zur endgültigen Abschaltung, Außerbetriebnahme oder Eigentumsübertragung des Geräts. Jedem Gerät/Endpunkt eine eindeutige Identität zu geben bedeutet, dass diese sich authentifizieren können, sobald sie online sind und über ihren gesamten Lebenszyklus hinweg ihre Integrität nachweisen und sicher mit anderen Geräten, Diensten und Benutzern kommunizieren können.

Cloud-Sicherheit

Sicherheitstechnisch auf alle Eventualitäten vorbereitet zu sein gilt insbesondere für Cloud-Technologielösungen mit denen Sie eine PKI automatisieren und verwalten können. Damit haben Teams die Möglichkeit auf Bedrohungen zu reagieren, Identitäten bereitzustellen und Websites / Netzwerke zu schützen. Dieses Kontrollniveau sorgt für den Schutz geistigen Eigentums, der Markenreputation und von Unternehmensressourcen.

Wenn Sie Fragen zu unseren PKI-basierten Lösungen haben, besuchen Sie unsere Produktseite.

Artikel teilen