Warum Kryptographie im Jahr 2021 die Grundlage für IT-Sicherheit sein wird

Wie kryptografische Keys und digitale Zertifikate im Jahr 2021 und darüber hinaus verwendet (und missbraucht) werden.

In Bezug auf die Netzwerksicherheit hat das Jahr 2020 die Bedeutung von Krypto-Agilität deutlich gemacht (c) pixabay.com

Das aktuelle Tempo der digitalen Innovation bedeutet, dass alles, was nach heutigen Maßstäben als sicher gilt, in Zukunft unsicher sein wird, wenn es um Sicherheit geht. Die Praxis der Kryptografie gibt es schon seit Hunderten von Jahren, und heute bildet sie die Grundlage für viele alltägliche Aktivitäten, von Banktransaktionen und Videostreaming bis hin zu Passwörtern und digitalen Währungen. Die Entwicklung der Kryptografie (und wie sie verwendet und verwaltet wird) wird die Art und Weise, wie wir jetzt und in Zukunft Geschäfte machen, weiterhin prägen. Viele Unternehmen haben begonnen, sich mit dem Krypto-Management zu befassen, müssen aber noch kryptoagile Best Practices in ihren Umgebungen vollständig umsetzen.

In Bezug auf die Netzwerksicherheit hat das Jahr 2020 die Bedeutung von Krypto-Agilität deutlich gemacht, die sowohl vertrauenswürdige Initiativen zur digitalen Transformation unterstützt als auch als erste Verteidigungslinie gegen zunehmende kryptobasierte Sicherheitsverletzungen fungiert. In diesem Jahr waren viele Unternehmen gezwungen, Initiativen zur Unterstützung neuer und einzigartiger Anwendungsfälle für Remote Workforce und dezentrale Netzwerke voranzutreiben. Diese Anwendungsfälle haben fünf kryptografiebasierte Trends aufgezeigt, die die IT-, Netzwerk- und IoT-Sicherheit im nächsten Jahr und darüber hinaus beeinflussen werden.

  1. Public Key Infrastructure (PKI) als grundlegendes Sicherheitstool – PKI wird von Unternehmen schon seit Jahrzehnten zum Schutz und zur Verwaltung von Geheimnissen eingesetzt. In jüngerer Zeit haben Unternehmen die Fähigkeit von PKI erkannt, Entwicklung und Sicherheit zu verbinden, insbesondere bei IoT- und DevOps-Implementierungen. Ihre Fähigkeit, eine Vertrauensbasis zu schaffen und sich nahtlos in Programmierprozesse und Entwicklungs-Toolkits einzufügen, hat dieses bewährte, grundlegende Sicherheitstool für digitale Identitäten verändert. PKI wird dank ihrer Skalierbarkeit und den Optionen für eine automatisierte Lifecycle-Management-Plattform weiter an Beliebtheit gewinnen.
  2. Ablauf von Root-CAs – Wenn Root-CAs ablaufen, wird den von ihnen verwendeten Zertifikaten nicht mehr vertraut, was zu Geräteausfällen führen kann, wie z. B. bei der abgelaufenen AddTrust Root-CA, die mehrere Ausfälle bei verbundenen Geräten wie Smart-TVs verursacht hat. Root-Stores werden in der Regel nicht effektiv verwaltet, da die Root-Verwaltung über Software-Updates erfolgt und wenn diese Updates nicht rechtzeitig durchgeführt werden, wird das Zertifikat vertrauenswürdig und das Update schlägt fehl. Wenn Sie Ihre Legacy-Roots nicht aktualisieren, können Sie keine Updates einspielen, was zu einem möglichen Geräteausfall führt. Während dies für Verbrauchergeräte eine Unannehmlichkeit ist, könnte dieses Szenario bei Maschinen wie autonomen Autos oder medizinischen Geräten lebensbedrohliche Folgen haben. Die gute Nachricht ist, dass das Ablaufen von Root-CAs ein zeitlich festgelegtes Ereignis ist, was es vorhersehbar und mit vorausschauender Planung handhabbar macht.
  3. Verkürzte Lebenszyklen von digitalen Zertifikaten – In diesem Jahr kündigten die großen Browser an, dass die Lebensdauer von Zertifikaten auf 13 Monate verkürzt werden soll. Die Änderung trat im September dieses Jahres in Kraft, aber IT-Administratoren werden die wahren Auswirkungen der Änderung erst 2021 spüren, wenn sie mit der Verwaltung des plötzlichen Zertifikats-Rollovers konfrontiert werden. Eine besondere Herausforderung wird es für Teams sein, die keine Tools oder Automatisierungsmöglichkeiten haben, um den Prozess zu verwalten. Für viele bedeutet diese Änderung, dass die Arbeitsbelastung der Teams um 100 % gestiegen ist, ihr Budget und ihre Mitarbeiterzahl jedoch gleich bleiben. Dies bedeutet eine zusätzliche Belastung für die Mitarbeiter, die bereits mit der Verwaltung und Erneuerung aller öffentlich verwurzelten SSL-Zertifikate von Drittanbietern zu kämpfen haben.
  4. Krypto-basierte Exploits und Cyber-Attacken, die Code Signing, SSH-Schlüssel und TLS-Zertifikate nutzen – Administratoren generieren in der Regel ihre eigenen Schlüssel, anstatt sie von einer vertrauenswürdigen Stelle zu erwerben, was die Risiken für Missbrauch und Sichtbarkeit erhöht. Wir beobachten einen Aufwärtstrend bei SSH-Schlüssel-, TLS-Zertifikat- und Code-Signing-basierten Angriffen, und während wir alle immer besser darin werden, diese Angriffe zu erkennen, nimmt die Trendlinie und die Tragweite dieser Angriffe zu. Krypto-basierte Angriffe können auf allen Ebenen des Stacks stattfinden; Code Signing und SSH-Schlüssel sind allgegenwärtig und Teams haben oft keine einfache Möglichkeit, zu verfolgen, wo sie sich innerhalb der Organisation befinden. SSH-Schlüssel mögen harmlos erscheinen, aber wenn sie in die falschen Hände geraten, bieten sie leichten Zugang zum Netzwerk.
  5. Die Einführung neuer quantensicherer Kryptografie und Standards – Es gibt noch viele Unbekannte, wenn es um Quanten und ihre möglichen Auswirkungen auf die Technologie geht. Das Quantencomputing steckt noch in den Kinderschuhen und Forscher arbeiten daran, zu verstehen, wie seine skalierbare Architektur die von ihnen entworfenen Algorithmen ausnutzen könnte. Regierungs- und Aufsichtsbehörden wie das NIST arbeiten an Standardentwürfen, die erweitert und als Spezifikationen branchenübergreifend angewendet werden können. Mit der Zeit wird es eine quantensichere Kryptografie geben, aber wie bei allen bedeutenden Veränderungen in der Industrie wird es Zeit brauchen, bis Kunden und Endanwender die Auswirkungen erkennen.

Während diese Vorhersagen alle individuelle Zeit, Aufmerksamkeit und Investitionen erfordern, läuft die wichtigste Erkenntnis für Teams darauf hinaus, die Entwicklung eines einzigartigen Plans zur Inventarisierung der digitalen Identitäten (Schlüssel und Zertifikate) des Unternehmens sicherzustellen und Best Practices im Bereich Krypto abzubilden, die in der gesamten IT-Infrastruktur angewendet werden.