Maschinenidentitäten und ihre Risiken

Warum abgelaufene Maschinenidentitäten ein wachsendes Geschäftsrisiko darstellen, erklärt Kevin Bocek, VP Security Strategy & Threat Intelligence bei Venafi, in einem Gastbeitrag.

Spotify-Nutzer erlebten im Mai diesen Jahres einen Ausfall bei Megaphone. Millionen Nutzer konnten ihre Lieblingspodcasts stundenlang nicht mehr anhören, nachdem ein TLS-Zertifikat des Streaming-Riesen abgelaufen war. Digitale Zertifikate oder „Maschinenidentitäten“ sind dazu gedacht, Vertrauen in der Online-Welt herzustellen. Davon werden es immer mehr, das Wachstum ist exponentiell. Deshalb wird es für Unternehmen immer schwieriger, sie zu verwalten.

Die digitale Transformation führt zu einer beispiellosen Zunahme der Anzahl von Maschinenidentitäten auf der ganzen Welt. Das ist eine schlechte Nachricht für die Sicherheitsteams, die mit der Verwaltung dieser Identitäten betraut sind. Wenn auch nur eine ausläuft, kann das zu Chaos führen.

Spotify ist sicherlich nicht die erste bekannte Marke, die auf diese Weise betroffen ist. Und es wird bestimmt nicht die letzte sein. Die Botschaft ist klar: Unternehmen brauchen eine effizientere, automatisierte Methode zur Verwaltung dieser Identitäten, wenn sie die Cybersicherheit und die Betriebszeit ihrer Dienste optimieren wollen.

Eine teure Herausforderung

Während die menschliche Identität über Benutzernamen und Passwörter authentifiziert und gesichert wird, verwenden Maschinenidentitäten kryptographische Schlüssel und digitale Zertifikate, um die Legitimität der zwischen autorisierten Maschinen fließenden Informationen zu überprüfen. Sie können verwendet werden, um privilegierten Zugriff, DevOps-Assets und Web-Transaktionen zu sichern, Softwarecode zu authentifizieren und einen sicheren Fernzugriff auf Unternehmensnetzwerke zu ermöglichen. Aber was passiert, wenn diese Identitäten ablaufen? Ein zertifikatsbedingter Ausfall, wie er kürzlich Spotify betraf, führt zu Ausfallzeiten und Sicherheitsrisiken, bis er behoben ist.

Das könnte erhebliche finanzielle und rufschädigende Auswirkungen haben. Wie groß die Auswirkungen genau sind, ist umstritten, da genaue Daten nur schwer zu bekommen sind. Eine Gartner-Studie von 2014 beziffert den Wert auf 5.600 US-Dollar pro Minute IT-Ausfallzeit. In einer neueren Studie von ITIC aus dem Jahr 2021 wird behauptet, dass eine einzige Stunde Serverausfallzeit für 91 Prozent der KMU und Großunternehmen 300.000 Dollar und mehr ausmacht. Mehr als zwei Fünftel (44 %) der Befragten gaben an, dass eine Stunde Ausfallzeit mehr als eine Million US-Dollar kostet. Ganz zu schweigen von den Auswirkungen einer schlechten Kundenerfahrung, einer verringerten Mitarbeiterproduktivität, eines verminderten Markenwerts, einer Unterbrechung der Lieferkette und anderen Faktoren, die in dieser Studie von 2018 hervorgehoben wurden.

Das Managen der Maschinenidentitäten wird nicht besser

Die schlechte Nachricht ist, dass das Maschinenidentitäts-Management für IT-Sicherheitsteams immer schwieriger wird, da ihre Unternehmen eine Vielzahl von digitalen Initiativen starten. Untersuchungen wie die von McKinsey von 2021 zeigen, dass zwei Drittel (65 %) der Unternehmen ihre Technologieausgaben während der Pandemie erhöht haben. Sie investierten in IoT-Systeme, um Geschäftsprozesse zu optimieren, in Laptops und mobile Geräte für hybride Mitarbeiter sowie in neue interne und kundenorientierte Apps und Websites, um das Nutzererlebnis zu verbessern. In der Cloud helfen Container, APIs und mehr dabei, DevOps und eine größere geschäftliche Agilität voranzutreiben. Aber all diese neuen Assets benötigen Maschinenidentitäten, um sie zu sichern.

Weitere Untersuchungen von Venafi zeigen außerdem, dass ein durchschnittliches Unternehmen Ende 2021 fast 250.000 Maschinenidentitäten verwendet hat. Es wird jedoch prognostiziert, dass sie diesen Bestand bis 2024 auf mindestens 500.000 verdoppeln werden. Bei so vielen auszustellenden und zu verwaltenden Zertifikaten ist es keine Überraschung, dass einige durch die Maschen fallen.

Die Herausforderung wird durch verschiedene Trends auf dem Markt noch schwieriger. Führende Browser-Anbieter verlangen, dass Unternehmen ihre Maschinenidentitäten jedes Jahr ändern, wodurch die Häufigkeit zunimmt, mit der sie ihre Zertifikate wechseln müssen. Darüber hinaus stellen Let’s Encrypt, die inzwischen weltweit führende Zertifizierungsstelle (CA), und viele ihrer Konkurrenten nur noch Maschinenidentitäten für 90 Tage aus. Sie tun dies, um den potenziellen Schaden durch Schlüsselkompromittierung und Falschausstellungen zu begrenzen. Durch häufigere Verlängerungen wird das Verpassen von Ablaufdaten jedoch wahrscheinlicher. Dadurch erhöht sich nicht nur das Risiko von Ausfällen, sondern es können auch zusätzliche Sicherheitsrisiken entstehen, da Websites für Man-in-the-Middle- und Phishing-Angriffe anfällig werden.

Fazit: Unternehmen benötigen mehr Automatisierung

Diese Situation lässt sich nicht länger manuell verwalten. Selbst Unternehmen mit bescheidenen Plänen zur digitalen Transformation werden bald feststellen, dass die Anzahl der Schlüssel und Zertifikate, die sie im Auge behalten müssen, außer Kontrolle gerät. Die Antwort ist die Investition in eine Steuerungsebene, die eine automatisierte Verwaltung von Maschinenidentitäten während ihres gesamten IT-Lifecycles ermöglicht.

Es gibt mehrere Möglichkeiten, wie Unternehmen und ihre Sicherheitsadministratoren von einer solchen intelligenten Automatisierung profitieren können. Erstens können sie so eingestellt werden, dass sie intuitiv alle Unternehmenszertifikate über Cloud-, virtuelle und physische Ressourcen hinweg erkennen und sie dann in einem zentralen Repository katalogisieren. Das sorgt für kontinuierliche Transparenz.

Als Nächstes können Kontrollwerkzeuge eingesetzt werden, um die Einhaltung der Sicherheitsvorschriften automatisch zu überprüfen: So wird sichergestellt, dass alle Zertifikate die richtigen Eigentümer, Attribute und Konfigurationen haben, unabhängig davon, welche Zertifizierungsstelle sie ausgestellt hat. Schließlich, und das ist das Wichtigste, um das Risiko des Ablaufs von Zertifikaten zu mindern: Tools können den Teams helfen, alle ihre Zertifikate kontinuierlich zu überwachen, sie zu warnen, wenn ein Zertifikat abläuft, und es sogar automatisch zu erneuern.

Die Möglichkeit, Zertifikate proaktiv und in Sekundenschnelle zu installieren, zu konfigurieren und zu validieren, bevor sie ablaufen, verringert nicht nur das Sicherheitsrisiko und die Gefahr finanzieller und imagegefährdender Schäden, die sich aus Ausfällen ergeben. Sie sorgt auch dafür, dass IT-Sicherheitsfachleute mehr Zeit auf wichtige strategische Aufgaben verwenden können. In einer Welt, in der IT-Sicherheitsfachleute und der Nachwuchs immer knapper werden, ist dies ein weiterer Grund, die Herausforderungen des Maschinenidentitäts-Managements zu automatisieren.

Themenseiten: Identitymanagement, Venafi

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Maschinenidentitäten und ihre Risiken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *