Vertrauenssystem hat Belastungsgrenze erreicht


Die Studie "Cost of Failed Trust" zeigt, dass das Online-Vertrauen zu kippen droht
Angriffe und finanzielle Verluste nehmen zu und immer mehr Unternehmen sind unvorbereitet

(17.04.15) - Das Ponemon Institute und Venafi veröffentlichten die Studie "2015 Cost of Failed Trust" – die einzige globale Untersuchung, die die Auswirkungen von Angriffen auf das Vertrauenssystem des Internets analysiert. Der Studie zufolge glauben IT-Sicherheitsexperten auf der ganzen Welt, dass das Vertrauenssystem, das durch kryptographische Schlüssel und digitale Zertifikate geschaffen wird, seine Belastungsgrenze erreicht und damit die Sicherheit von Billionen von Dollar in der Weltwirtschaft gefährdet ist. Bei der diesjährigen Studie äußerte erstmals die Hälfte der mehr als 2.300 befragten IT-Sicherheitsexperten die Meinung, dass die vertrauensschaffende Technologie bedroht sei, die ihr Unternehmen für funktionierende Geschäftsabläufe braucht. Alle befragten Unternehmen mussten in den letzten beiden Jahren auf mehrfache Angriffe auf ihre Schlüssel und Zertifikate reagieren.

Die Studie 2015 Cost of Failed Trust wurde in Australien, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten durchgeführt. Als einzige Studie ihrer Art untersucht sie das digitale Vertrauenssystem, von dem die Weltwirtschaft abhängig ist. Wie die diesjährige Studie zeigt, beläuft sich in den nächsten beiden Jahren das Risiko durch Angriffe auf Schlüssel und Zertifikate für jedes Global-5000-Unternehmen auf mindestens 53 Millionen USD – eine Summe, die sich im Vergleich zu 2013 um 51 Prozent erhöht hat. Seit vier Jahren in Folge geben 100 Prozent der befragten Unternehmen an, dass sie mit mehreren Angriffen auf Schlüssel und Zertifikate konfrontiert waren, und Sicherheitslücken wie Heartbleed haben ihren Tribut gefordert. 60 Prozent der Studienteilnehmer stimmten der Aussage zu, dass ihre Unternehmen besser auf Sicherheitslücken bei Schlüsseln und Zertifikaten wie etwa Heartbleed reagieren müssen.

"Die Befürchtung, dass das Online-Vertrauen kippt, zieht sich als roter Faden durch die diesjährige Studie. Und das ist auch kein Wunder. Führende Sicherheitsforscher von FireEye, Intel, Kaspersky und Mandiant und viele weitere stellen laufend fest, dass der Missbrauch von Schlüsseln und Zertifikaten eine wichtige Komponente von APTs und cyberkriminellen Aktivitäten ist", so Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. "Jedes Unternehmen, ob es sich darüber bewusst ist oder nicht, ist von kryptographischen Schlüsseln und digitalen Zertifikaten abhängig, um seine Geschäftstätigkeit aufrechterhalten zu können. Ohne das Vertrauen, das Schlüssel und Zertifikate schaffen, kehren wir in die ‚Steinzeit’ des Internets zurück – und wissen nicht mehr, ob wir einer Website, einem Gerät oder einer mobilen Anwendung Vertrauen schenken können oder nicht."

Weitere Ergebnisse der Studie "2015 Cost of Failed Trust":

>> Nicht nur die Risiken nehmen zu, sondern auch die Anzahl der Schlüssel und Zertifikate:
In den letzten beiden Jahren stieg die Zahl der Schlüssel und Zertifikate, die in Infrastrukturen wie Webservern, Netzwerk-Appliances und Clouddiensten eingesetzt werden, um mehr als 34 Prozent auf fast 24.000 pro Unternehmen. Mit der Verwendung von immer mehr Schlüsseln und Zertifikaten werden diese zu einem immer besseren Angriffsziel. Gestohlene Zertifikate werden im Untergrund für fast 1000 USD pro Stück gehandelt, und der Preis hat sich innerhalb nur eines Jahres fast verdoppelt. Die Sicherheitsforscher bei Intel gehen davon aus, dass das Interesse der Hacker schnell wächst.

>> Die Unternehmen wissen weniger denn je darüber Bescheid, wo und wie sie ihre Schlüssel und Zertifikate verwenden: In der diesjährigen Studie räumten 54 Prozent aller Unternehmen ein, dass sie nicht wissen, wo sich sämtliche Schlüssel und Zertifikate befinden und wie sie eingesetzt werden. Das führt zwangsläufig zu der Frage: Wie kann ein Unternehmen dann wissen, was vertrauenswürdig ist und was nicht?

>> Sicherheitsprofis haben Angst vor einem Ereignis, das einer Krypto-Apokalypse gleichkäme: Als alarmierendste Bedrohung wird ein Szenario angesehen, in dem die Standardalgorithmen zur Schaffung von Vertrauen, wie RSA und SHA, über Nacht kompromittiert und ausgenutzt werden. In diesem Fall wären alle Transaktionen, Bezahlvorgänge, mobilen Anwendungen sowie eine wachsende Zahl von Gegenständen im Internet der Dinge mit einem Schlag nicht mehr vertrauenswürdig. Eine solche Krypto-Apokalypse, wie Forscher auf der Black Hat 2013 ein derartiges Szenario nannten, würde Heartbleed im Hinblick auf Umfang, Komplexität und Dauer der Problemlösung weit in den Schatten stellen.

>> Wachsende Besorgnis gilt auch der missbräuchlichen Verwendung von Zertifikaten im Mobilbereich: Der Missbrauch von Zertifikaten für Unternehmensanwendungen wie WiFi, VPN und MDM/EMM beunruhigt Sicherheitsexperten zunehmend. In der Rangfolge der alarmierendsten Bedrohungen rangiert diese direkt hinter einem krypto-apokalyptischen Ereignis. Sicherheitsvorfälle im Zusammenhang mit Zertifikaten im Mobilbereich wurden als das zweitgrößte Risiko und als diejenigen Ereignisse eingestuft, die den größten Gesamtschaden verursachen können – beziffert auf mehr als 126 Millionen USD. Da die Zahl der mobilen Geräte und Anwendungen in Unternehmen rasant zunimmt, überrascht es nicht, dass die Sicherheitsexperten diesbezüglich besonders besorgt sind.

Ergebnisse speziell für Deutschland - gefragt wurden 574 Sicherheitsverantwortliche aus folgenden Branchen: Financial Services, Behörden, Industrie, Chemieunternehmen, Logistik, Pharma- und Biotech-Unternehmen

Es sind in jedem Unternehmen durchschnittlich 19.000 Keys und Certificates vorhanden (3.000 mehr als in 2013)

Auf dem Schwarzmarkt liegen die Preise pro gestohlenem Software-Zertifikat bei rund 1.000 Euro

Es gab mehr Angriffe auf Unternehmen in Deutschland als in jedem anderen untersuchten Land (Frankreich, England, USA, Australien) - meist handelte es sich um Man-in-the Middle-Angriffe

35 Prozent aller befragten deutschen Unternehmen wussten nicht, wo ihre Keys und Zertifikate aufbewahrt werden

Gefragt nach den größten Gefahren im Zusammenhang mit dem Missbrauch von Keys und Software-Zertifikaten nannten die deutschen Unternehmen "Enterprise Mobility Zertifikate-Missbrauch" bei WiFi, VPN und MDM/EMM. Darüber hinaus sagten sie auch, dass die steigende Nutzung mobiler Geräte Einfallstore für Hacker darstellen - dies ist den deutschen Sicherheitsverantwortlichen bewusst.

Als vier einfache Schritte für die Security Teams empfiehlt Venafi folgendes:

1. Die Sicherheitsverantwortlichen sollten wissen, welche Keys und Zertifikate vorhanden sind und wo
2. Die Teams sollten Keys und Zertifikate managen, Policies festlegen, wie Black- und Whitelisting und damit die Security in diesem Bereich automatisieren
3. Die Sicherheitsverantwortlichen sollten immer wissen, welchen Zertifikaten getraut werden darf: dies erreicht man mit einem kontinuierlichen Monitoring und Reputationscheck für alle vorhandenen Keys und Software-Zertifikate
4. Verwundbare Keys und Zertifikate umgehend reparieren bzw. ersetzen

Über die Studie "Cost of Failed Trust" 2015
Die Studie "2015 Cost of Failed Trust" untersucht, welche genauen finanziellen Folgen bösartige Angriffe auf das Vertrauenssystem haben, die Fehler bei der Verwaltung kryptographischer Schlüssel und Zertifikate ausnutzen. Für die Studie wurden 2.371 IT-Sicherheitsexperten befragt. Die Studie beziffert nicht nur die Kosten dieser "Trust Exploits", sondern demonstriert auch, wie mangelhaftes Schlüssel- und Zertifikatsmanagement in Unternehmen Kriminellen Tür und Tor öffnet. "2015 Cost of Failed Trust" ist die einzige öffentlich verfügbare Untersuchung zum Umfang und zur Bandbreite solcher Angriffe. 59 Prozent der Studienteilnehmer sind in Unternehmen mit mindestens 5.000 Mitarbeitern tätig. Die größten vertretenen Sektoren sind Finanzdienstleistungen (17 Prozent), Behörden (11 Prozent), professionelle Dienstleistungen (8 Prozent), Konsumgüter (7 Prozent) und Einzelhandel (7 Prozent). Die Umfragedaten wurden im Januar 2015 vom Ponemon Institute erhoben.
(Venafi: ra)

Venafi: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Viele Schulen regeln den KI-Einsatz nicht

    Um schneller einen Aufsatz zu schreiben, die Antwort im Unterricht nachzuschlagen oder Ideen für das Kunstprojekt zu sammeln - Künstliche Intelligenz ist längst auch in vielen deutschen Klassenzimmern angekommen. Allerdings hat nicht einmal jede vierte Schule zentral geregelt, was dabei erlaubt und was verboten ist. Lediglich an 23 Prozent der weiterführenden Schulen gibt es zentrale KI-Regeln, die für die ganze Schule gelten.

  • Ein Fünftel wurde im Job zu KI geschult

    Mit KI die Mail formulieren, eine Hintergrundrecherche starten oder aus Gesprächsnotizen ein Protokoll erstellen - Künstliche Intelligenz kann im Job unterstützen, wenn man weiß wie. Ein Fünftel (20 Prozent) der Berufstätigen wurde deshalb von ihrem Arbeitgeber bereits im KI-Einsatz geschult. Bei weiteren 6 Prozent gibt es zwar entsprechende Fortbildungen, sie haben sie aber noch nicht wahrgenommen. Der großen Mehrheit von 70 Prozent der Beschäftigten wird allerdings keine KI-Fortbildungen angeboten. Das sind Ergebnisse einer repräsentativen Befragung von 1.005 Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Mindestens ein Datenschutzvorfall

    The Business Digital Index (BDI), eine Initiative von Cybernews, hat die digitale Sicherheit von 75 EU-Institutionen untersucht. Das Ergebnis ist besorgniserregend: 67 Prozent der untersuchten Einrichtungen erhielten die Noten "D" oder "F" und gelten damit als "hohes" oder "kritisches" Risiko.

  • Überwachung und Compliance stets im Fokus

    Mit der Einführung der elektronischen Patientenakte (ePA) setzt die Bundesregierung einen Meilenstein für die Zukunft der digitalen Gesundheitsversorgung. Ziel ist es, eine umfassende Datentransparenz - sowohl für Patienten als auch das medizinische Personal - zu schaffen, um die Qualität der Versorgung zu optimieren und Mitarbeitende im Healthcare-Sektor zu entlasten. Wie die Studie "Digitale Zwickmühle im Gesundheitswesen: Zwischen Innovationsdruck und Systemrisiken" von Soti jedoch zeigt, mangelt es in vielen deutschen Gesundheitseinrichtungen noch immer an den nötigen technischen Voraussetzungen, um diesem Anspruch in der Praxis auch wirklich gerecht zu werden. Für diese Erhebung wurden weltweit IT-Entscheidungsträger im Healthcare-Bereich befragt.

  • Haftungsrisiko bei Cyber-Schäden

    Führungskräfte in Deutschland blicken mit wachsender Sorge auf ihr Haftungsrisiko bei Cyber-Schäden - für 88 Prozent sind Cyber-Attacken und für 86 Prozent Datenverluste das Top-Risiko für Manager 2025. Das zeigt der aktuelle "Directors' and Officers' Liability Survey" des Risikoberaters und Großmaklers Willis, einem Geschäftsbereich von WTW, und der internationalen Anwaltssozietät Clyde & Co. Außerdem zeigt die Studie, dass vielen Themen im Management Board nicht genug Zeit eingeräumt wird: 38 Prozent der befragten Führungskräfte in Deutschland sind der Meinung, dass im Vorstands- und Geschäftsführungskreis mehr Zeit für das Thema Cybersicherheit aufgewendet werden sollte. "Das ist ein deutliches Signal dafür, dass viele Unternehmen sich der Bedrohung zwar bewusst sind, sich ihr aber noch nicht ausreichend widmen", sagt Lukas Nazaruk, Head of Corporate Risk & Broking Deutschland und Österreich bei Willis.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen