arrow - Fotolia
Maschinenidentitäten: 4 Security-Trends für 2025
Die verkürzte Lebensdauer von Zertifikaten, Post-Quanten-Bereitschaft sowie KI-generierter Code gehören zu den großen Herausforderungen im Zusammenhang mit Maschinenidentitäten.
Im Jahr 2024 bestimmten vor allem die großen Anbieter wie Google und Co. mit Ankündigungen die Schlagzeilen, dass sie die Laufzeit von TLS-Zertifikaten auf 90-Tage verkürzen würden. Apple schlug nun sogar in einem Entwurf für eine Abstimmung auf GitHub vor, die Lebensdauer von Zertifikaten bis 2027 sogar auf 45 Tage zu verkürzen.
1. 2025 werden Ausfälle im Zusammenhang mit Zertifikaten sprunghaft ansteigen
Unternehmen werden mit der Anpassung an kürzere TLS-Lebenszyklen zu kämpfen haben und Sicherheitsteams werden mit deren Absicherung überfordert sein. Im Jahr 2025 werden die Ausfälle aufgrund der zunehmenden Zahl abgelaufener Zertifikate sprunghaft ansteigen, da neue Vorschriften für die Lebensdauer von Zertifikaten in Kraft treten. Entweder ergreifen Anbieter wie Google oder Apple selbst Maßnahmen und die Zertifizierungsstellen (Certificate Authority, CA) werden sich daranhalten müssen. Letztendlich bedeutet dies, dass sich Sicherheitsteams jetzt auf einen Ansturm von Entwicklern und Anwendungseigentümern vorbereiten müssen, die Hilfe bei großen Wellen von ablaufenden Zertifikaten und Ausfällen benötigen.
Das Blatt hat sich gegen die derzeitige Lebensdauer von 398 Tagen gewendet - und das aus gutem Grund. Kürzere Lebenszyklen von Zertifikaten machen es Angreifern schwerer, TLS-Maschinenidentitäten zu missbrauchen. Dies ist ein notwendiger Schritt, um die Sicherheit und das Vertrauen in unserer Online-Welt weiterhin zu gewährleisten. Diese Umstellung der Erneuerung der Zertifikate von 398 auf 90 oder 45 Tage wird jedoch nicht einfach sein. Für die Unternehmen bedeutet dies eine größere Belastung, da sie die Zertifikate bis zu neunmal häufiger ersetzen müssen. Jedes dieser Zertifikate ist ein potenzieller Single Point of Failure (SPoF), wenn es nicht ordnungsgemäß verwaltet und gesichert wird. Es wird zu Unterbrechungen, es wird zu Ausfällen und Sicherheitsvorfällen kommen.
Die Sicherheitsteams brauchen: a) Sichtbarkeit über die Zertifikate b) Intelligenz, um zu wissen, was gefährdet ist c) Automatisierung, um Fehler und Irrtümer bei der gesamten Handhabung von TLS-Zertifikaten auszuschließen. Große Ausfälle gab es bei Microsoft Azure, weil ein Zertifikat erneuert, aber nicht installiert wurde. Eine vollständige Sichtbarkeit ist nicht nur für einen Tag, sondern rund um die Uhr erforderlich. Dies ist nur einer der Bausteine, die Sicherheitsteams als Teil ihres Sicherheitsprogramms für die Maschinenidentität benötigen.
Und die Unternehmen haben bereits damit zu kämpfen. Allein in den letzten 12 Monaten waren laut einer Venafi-Untersuchung 83 Prozent der Unternehmen von zertifikatsbedingten Ausfällen betroffen. Sicherheitsverantwortliche sind bereits besorgt. Drei Viertel (74 Prozent) sagen, dass Googles Pläne Chaos verursachen werden, und 77 Prozent halten weitere Ausfälle für „unvermeidlich“ - wobei 81 Prozent sagen, dass dies die bestehenden Probleme bei der Verwaltung von Zertifikaten noch verstärken wird.
2. Erste größere KI-generierte Code-Schwachstellen
Entwicklungsteams haben GenAI und andere KI-Technologien mit Begeisterung übernommen und nutzen KI, um Code für die Anwendungen zu generieren. Das Streben nach dem 10-fachen Entwickler ist in vollem Gange. Während in der Vergangenheit bei der Softwareentwicklung mehrere Augen auf den Code gerichtet waren, um sicherzustellen, dass er sicher ist und den Qualitätsstandards entspricht, wird dies mit dem Aufkommen der KI-Codierung allmählich zur Seite geschoben.
Einige Unternehmen werden zu viel Vertrauen in die Fähigkeiten der KI setzen, wenn es um die Verwendung von KI-generiertem Code geht. Dies führt dazu, dass anfälliger und bösartiger Code seinen Weg in die Produktion findet. GenAI kann vieles leisten, aber sie ist mit den richtigen Prompts auch leicht auszutricksen und neigt zu Halluzinationen. Im kommenden Jahr werden Unternehmen, die diese Probleme nicht ernst nehmen, in die Bredouille kommen. 78 Prozent der Sicherheitsverantwortlichen glauben, dass von KI entwickelter Code zu einer Sicherheitsabrechnung führen wird.
Auch wenn er nicht mit KI in Verbindung stand, hat der CrowdStrike-Ausfall in diesem Jahr aus erster Hand gezeigt, wie schnell Code vom Entwickler zur Katastrophe werden kann. Angesichts der Tatsache, dass Code aus verschiedenen Quellen stammt und diese Zahl weiter zunehmen wird, ist es von entscheidender Bedeutung, Code, Anwendungen und Workloads anhand ihrer Identität zu authentifizieren. Mit Code Signing, das im nächsten Jahr zur ersten Verteidigungslinie werden soll, können Unternehmen sicherstellen, dass der Code aus einer vertrauenswürdigen Quelle stammt, nicht verändert wurde und für die Verwendung freigegeben ist.
Dreiundachtzig Prozent der Sicherheitsverantwortlichen gaben in einer Untersuchung an, dass ihre Entwickler derzeit KI zur Codegenerierung verwenden, wobei 57 Prozent sagen, dass dies inzwischen gängige Praxis ist. Allerdings sind 72 Prozent der Meinung, dass sie keine andere Wahl haben, als Entwicklern die Verwendung von KI zu gestatten, um wettbewerbsfähig zu bleiben, und 63 Prozent haben in Erwägung gezogen, die Verwendung von KI bei der Codierung aufgrund der Sicherheitsrisiken zu verbieten.
3. Quantenvorbereitung wird zum wichtigen Cybersicherheitsthema
Vorstände löchern CISOs bereits mit Fragen über die Quantum-Vorbereitungen und Migrationsstrategien der Unternehmen. Im Jahr 2025 wird die Post-Quantum-Bereitschaft das vielleicht heißeste Cybersicherheitsthema im Vorstand sein. Dies ist ein Generationswechsel in der Cybersicherheit und nicht nur ein einfaches Jahr-2000-Ereignis und wird ganz oben auf der Liste der Cybersicherheit in den Aufsichtsräten stehen und uns noch viele Jahre lang begleiten.
Im vergangenen Jahr haben bedeutende Fortschritte in der Quantentechnologie bereits Bedenken hinsichtlich der Datensicherheit geweckt. Da sich die Welt dem Punkt nähert, an dem Quantencomputer möglicherweise die derzeitigen Verschlüsselungsmethoden brechen könnten, ist es für Unternehmen von entscheidender Bedeutung, ihre Pläne für die Quantenbereitschaft zu entwickeln. Die Herausforderung im Jahr 2025 wird darin bestehen, zu verstehen, wo Maschinenidentitäten eingesetzt werden. Dies ist der erste Schritt zur Post-Quantum-Bereitschaft, die zur Umstellung auf neue quantenresistente Maschinenidentitäten führen wird. Größere Unternehmen werden Tausende oder sogar Hunderttausende von Identitäten haben, die durch neue quantensichere Identitäten ersetzt werden müssen. Untersuchungen haben ergeben, dass 64 Prozent der Sicherheitsverantwortlichen den Tag fürchten, an dem der Vorstand sie nach ihren Migrationsplänen fragt. Weitere 67 Prozent glauben, dass die Umstellung auf Post-Quantum-Kryptografie ein Alptraum sein wird, da sie nicht wissen, wo alle ihre Schlüssel und Zertifikate sind.
„Kürzere Lebenszyklen für Maschinenidentitäten machen die Verwaltung anspruchsvoller, während Quantum Computing Unternehmen dazu zwingt, ihre Post-Quantum-Bereitschaft zu prüfen.“
Kevin Bocek, Venafi
Angesichts dieser Ungewissheit muss die Reise zur Quantensicherheit jetzt beginnen. Im kommenden Jahr werden Unternehmen damit beginnen, nicht vertrauenswürdige Zertifizierungsstellen als Teil ihres Übergangs zu quantensicheren Systemen zu ersetzen. Glücklicherweise sind die notwendigen Plattformen, die diesen Übergang erleichtern, bereits verfügbar. Sicherheitsteams können integrierte Lösungen wie Certificate Lifecycle Management (CLM), PKI-as-a-Service und Workload-Identitätsaussteller über eine einheitliche Steuerungsebene nutzen. Dieser rationalisierte Ansatz hilft nicht nur bei der Sicherung von Maschinenidentitäten, sondern schafft auch eine solide Grundlage für eine erfolgreiche Migration in eine Post-Quantum-Zukunft.
4. Unternehmen werden dedizierte Sicherheitsteams für Maschinenidentitäten im Jahr 2025 aufbauen
Im Jahr 2025 wird die IT-Sicherheit von Maschinenidentitäten eine eigene Kategorie bilden und nicht mehr mit den allgemeinen Identitätsprogrammen in einen Topf geworfen werden. CISOs verstehen jetzt, dass es menschliche digitale und maschinelle Identitäten gibt, und sie beide absichern müssen. Dieser Wandel wird durch mehrere Faktoren vorangetrieben. Angreifer haben es zunehmend auf Maschinenidentitäten abgesehen, insbesondere in nativen Cloud- und Entwicklungsumgebungen. So haben Gruppen wie IntelBroker vor kurzem behauptet, dass sie gestohlene Maschinenidentitäten und Entwicklerdaten von Cisco und Nokia verkaufen. Die rasche Einführung von Cloud-nativen Technologien und künstlicher Intelligenz führt dazu, dass Maschinenidentitäten wie TLS und SPIFFE immer komplexer und schneller erstellt und in kritischen Systemen eingesetzt werden.
Gleichzeitig verändert sich die Landschaft der Maschinenidentitäten. Kürzere Lebenszyklen für Maschinenidentitäten machen die Verwaltung anspruchsvoller, während Quantum Computing Unternehmen dazu zwingt, ihre Post-Quantum-Bereitschaft zu prüfen. Erschwerend kommt die schiere Menge hinzu: Die Zahl der maschinellen Identitäten übersteigt die der menschlichen Identitäten mittlerweile 45:1. Und es wird erwartet, dass sich diese Kluft noch vergrößert und bald 100:1 erreicht.
Fazit
Alle diese Veränderungen müssen bewältigt werden. In dem Maße, wie sich diese Herausforderungen verschärfen, werden immer mehr Unternehmen umfassende, automatisierte Sicherheitsprogramme für den Schutz von Maschinenidentitäten entwickeln. Diejenigen, die dies nicht tun, werden täglich mit Ausfällen und Sicherheitsvorfällen konfrontiert werden.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.