Maschinenidentitäten zur Absicherung von Finanzdienstleistungen

Kevin Bocek Kevin Bocek  |
  • Einsteiger
Klonen des Passworts für eine Maschine auf andere virtuelle Maschinen. Maschinenidentitäten

Maschinenidentitäten als Schlüssel zur Absicherung von Finanzdienstleistungen

Der Ausfall von Services während des CrowdStrike-Vorfalls hat gezeigt, wie anfällig der Bankensektor ist. Ein scheinbar harmloses Update eines Cybersicherheitsanbieters setzte Millionen von Rechnern außer Betrieb. Elektronische Zahlungen in Geschäften konnten nicht mehr vorgenommen werden, die Menschen mussten wieder auf Bargeld zurückgreifen, bis auch die Geldautomaten ausfielen. Darum sollte man mehr auf Maschinenidentitäten achten.

Dies ist jedoch nur ein Vorgeschmack auf das, was in den nächsten Jahren angesichts der tiefgreifenden Veränderungen geschehen könnte. Jede Maschine braucht eine eindeutige Identität, eben Maschinenidentitäten. Die von Google und Apple vorgenommenen Änderungen, nämlich Maschinenidentitäten mehr als sechs Mal pro Jahr auszutauschen, werden seismische Veränderungen und Wellen von Ausfällen im gesamten Bankensektor nach sich ziehen.

Die Folge könnten verheerende Ausfälle sein, die noch schlimmer sind als der von CrowdStrike. Der Vorfall war zwar nicht auf ein Zertifikat zurückzuführen, aber die Auswirkungen sind ein Warnzeichen. Unternehmen haben mit der Absicherung einer zunehmenden Anzahl von Maschinenidentitäten mit kürzerer Lebensdauer zu kämpfen. Und das ist erst der Anfang. Die Fortschritte in der Post-Quantum-Kryptografie machen es möglich, Maschinenidentitäten zu fälschen. Wenn Unternehmen diese Probleme nicht sofort angehen, kann es jederzeit zu verheerenden Ausfällen oder Cyberangriffen kommen.

Maschinenidentitäten – wie TLS und Code-Signing-Zertifikate – sind die Grundlage unseres Lebens. Sie ermöglichen eine sichere Kommunikation zwischen Systemen, Servern und Anwendungen und stellen sicher, dass sie die sind, die sie vorgeben zu sein. Hinter jeder Kontostandsabfrage, jeder Kreditprüfung und jedem Hypothekenantrag steht eine Maschinenidentität, die dafür sorgt, dass dies sicher geschieht.

Wenn eine Maschinenidentität abläuft, bevor sie ersetzt wurde, kann dies zu einem Ausfall führen – wie der Zahlungsdienstleister Verifone zu seinem Leidwesen feststellen musste. Bürger in Deutschland waren nicht mehr in der Lage, ihre Einkäufe zu bezahlen oder ihr Auto zu betanken. Dieselben Identitäten sind auch in der Lage, privilegierten Zugang zu Systemen zu gewähren, was sie zu einem bevorzugten Ziel für Angreifer macht. Wenn sie in die falschen Hände geraten oder geknackt werden, hat das enorme Folgen für die Sicherheit. Es ist so, als würde man jemanden durch die Eingangstür der Hauptgeschäftsstelle gehen lassen und das Gebäude durchsuchen. Die Verwaltung und Absicherung von Maschinenidentitäten ist für die Aufrechterhaltung der Integrität von Bankensystemen unerlässlich. Dies wird jedoch zunehmend schwieriger.

Drei Herausforderungen von Maschinenidentitäten für Finanzunternehmen
Die Sicherheit von Maschinenidentitäten entwickelt sich stetig weiter. Hier sind drei wichtige Herausforderungen, die jede Bank in den kommenden Tagen, Monaten und Jahren beachten muss:

  • Die Zahl der maschinellen digitalen Identitäten übersteigt die der menschlichen digitalen Identitäten um mindestens 45:1 – und die Kluft wird immer größer. Untersuchungen haben ergeben, dass die durchschnittliche Organisation im Finanzwesen derzeit 4.934 maschinelle TLS-Identitäten verwendet. Diese Zahl wird in den nächsten zwei Jahren voraussichtlich auf 7.000 ansteigen. Und TLS ist nur eine Form der Maschinenidentität. Die weite Verbreitung von nativen Cloud-Lösungen und Multi-Cloud-Strategien bedeutet, dass andere Identitäten – wie API-Schlüssel und Code Signing-Zertifikate – zum Standard werden. Jede einzelne Identität ist ein potenzieller Fehlerpunkt, wenn sie nicht korrekt verwaltet wird.
  • Google und Apple haben angekündigt, dass sie die Lebensdauer von öffentlichen Zertifikaten verkürzen wollen. In den nächsten 6-12 Monaten werden Google und Apple wahrscheinlich die Lebensdauer öffentlicher TLS-Zertifikate von 398 Tagen auf nur noch 90 Tage oder weniger verkürzen. Apple ist diesem Vorschlag gefolgt und will die Lebensdauer bis 2028 sogar weiter auf 47 Tage verkürzen. Jede Bank wird davon betroffen sein. Dies wird die Sicherheit erhöhen, da ein Angreifer weniger Zeit hat, eine kompromittierte Identität zu missbrauchen. Es bedeutet aber auch, dass die Identitäten viel schneller ablaufen, was die Wahrscheinlichkeit erhöht, dass ein Zertifikat abläuft und einen Ausfall auslöst. Drei Viertel (74%) der Sicherheitsverantwortlichen im Finanzwesen glauben, dass mehr Ausfälle aufgrund dieser Änderung „unvermeidlich“ sein werden, wobei 68 Prozent der Meinung sind, dass die Initiative Chaos verursachen wird.
  • Branchenexperten sind sich einig, dass die Revolution im Quantencomputing noch zwischen 5 und 10 Jahren auf sich warten lässt. Diese leistungsstarken Computer werden in der Lage sein, die heutigen Verschlüsselungsstandards, die die Maschinenidentität untermauern, in einem Wimpernschlag zu durchbrechen. Daher müssen alle Maschinenidentitäten gegen quantenresistente ausgetauscht werden, bevor Angreifer die Möglichkeit haben, die Technologie als Waffe einzusetzen. Im Grunde genommen muss die gesamte vernetzte Welt umgestellt werden. Doch Sicherheitsverantwortliche im Finanzwesen stecken den Kopf in den Sand: 69 Prozent wissen, dass diese Umstellung ein „Alptraum“ sein wird, aber 81 Prozent warten, bis ein Quantencomputer gebaut wird, der die Verschlüsselung knacken kann, bevor sie sich mit dem Problem befassen. Sicherheitsverantwortliche sollten sich jetzt vorbereiten.

Fazit
Derzeit benötigt eine Organisation im Finanzwesen im Durchschnitt 2 bis 3 Arbeitstage für die Ausstellung eines Zertifikats, und weniger als ein Zehntel (8 %) automatisiert den Prozess vollständig. In einer Welt, in der es Tausende von Identitäten gibt, die fünfmal schneller erneuert werden müssen, muss sich dies ändern. Es gibt jedoch auch eine gute Nachricht. Die Tools, die für die Bewältigung der zunehmenden Zahl von Maschinenidentitäten, der kürzeren Lebensdauer öffentlicher TLS-Zertifikate und der Post-Quantum-Kryptografie benötigt werden, sind jetzt verfügbar. Durch die Automatisierung der Sicherheit von Maschinenidentitäten können Unternehmen sicherstellen, dass Maschinenidentitäten entdeckt, überwacht und schnell ersetzt werden können, wenn sie ablaufen. Diese Automatisierung ermöglicht es Unternehmen, mit der Verkürzung der Lebensdauer von Zertifikaten Schritt zu halten.

Dieser Prozess wird auch als Generalprobe für die Migration zu neuen quantenresistenten Maschinenidentitäten dienen, wenn die Zeit gekommen ist. In beiden Fällen sind die gleichen Prinzipien entscheidend nämlich zu wissen, wo sich die Identitäten befinden, und in der Lage zu sein, sie schnell auszutauschen. In Anbetracht des Ausmaßes der maschinellen Identitäten in den Unternehmen wird eine Automatisierung erforderlich sein. Es steht viel auf dem Spiel, und die Folgen einer Unterbrechung des Bankwesens auch nur für ein paar Stunden liegen auf der Hand.

Autor

Zurück zu allen Artikeln

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content