Das Ponemon Institute und Venafi veröffentlichen die deutschen Ergebnisse der globalen Studie „2015 Cost of Failed Trust“. Die Studie zeigt, dass das Online-Vertrauen zu kippen droht – Angriffe und finanzielle Folgen nehmen zu und immer mehr Unternehmen sind unvorbereitet.
Mehr als die Hälfte der deutschen Unternehmen geben dort an, dass Sie in den letzten zwei Jahren Kunden aufgrund von mangelnder Vertrauenswürdigkeit von digitalen Zertifikaten und kryptographischen Schlüssen verloren haben. Die Mehrheit aller Befragten sieht das Vertrauenssystem, welches durch Schlüssel und Zertifikate geschaffen wurde, an seiner Belastungsgrenze. Die Mehrheit aller Befragten sieht das Vertrauenssystem, welches durch Schlüssel und Zertifikate geschaffen wurde, an seiner Belastungsgrenze.
Bei der Studie wurden 574 Personen in Deutschland befragt. Laut der Umfrage kam es in den letzten zwei Jahren im Schnitt zu zwei Stillständen in Geschäftsprozessen pro Unternehmen, die sich eindeutig auf Fehler bei Zertifikaten zurückführen lassen. Sicherheitsexperten schätzen die Kosten eines solchen Ausfalls auf 15 Millionen Euro.
Die Analyse der Umfrage zeigt, dass jedes Unternehmen in den letzten zwei Jahren durchschnittlich durch mindestens ein SSL /TLS und ein SSH Audit gefallen ist. In der Region müssen Organisationen mit Risiken von 5,2 Millionen Euro für unzureichende Compliance und mit 59 Millionen Euro für die Gefahr eines Cyberangriffs rechnen.
Die Studie 2015 Cost of Failed Trust wurde in Australien, Frankreich, Deutschland, Großbritannien und den Vereinigten Staaten durchgeführt. Als einzige Studie ihrer Art untersucht sie das digitale Vertrauenssystem, von dem die Weltwirtschaft abhängig ist. Wie die diesjährige Studie zeigt, beläuft sich in den nächsten beiden Jahren das Risiko durch Angriffe auf Schlüssel und Zertifikate für jedes Global-5000-Unternehmen auf mindestens 48 Tausend Euro – eine Summe, die sich im Vergleich zu 2013 um 51 Prozent erhöht hat. Seit vier Jahren in Folge geben 100 Prozent der befragten Unternehmen an, dass sie mit mehreren Angriffen auf Schlüssel und Zertifikate konfrontiert waren und Sicherheitslücken wie Heartbleed haben ihren Tribut gefordert.
„Die Befürchtung, dass das Online-Vertrauen kippt, zieht sich als roter Faden durch die Studie. Und das ist auch kein Wunder. Führende Sicherheitsforscher von FireEye, Intel, Kaspersky und Mandiant und viele weitere stellen laufend fest, dass der Missbrauch von Schlüsseln und Zertifikaten eine wichtige Komponente von APTs und cyberkriminellen Aktivitäten ist“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi.
„Jedes Unternehmen, ob es sich darüber bewusst ist oder nicht, ist von kryptographischen Schlüsseln und digitalen Zertifikaten abhängig, um seine Geschäftstätigkeit aufrechterhalten zu können. Ohne das Vertrauen, das Schlüssel und Zertifikate schaffen, kehren wir in die ‚Steinzeit’ des Internets zurück – und wissen nicht mehr, ob wir einer Website, einem Gerät oder einer mobilen Anwendung Vertrauen schenken können oder nicht.“
Als vier einfache Schritte für die Security Teams empfiehlt Venafi folgende Maßnahmen:
- Sicherheitsverantwortliche sollten wissen, welche Schlüssel und Zertifikate verwendet werden und für was.
- Sie sollten Schlüssel und Zertifikate managen, Policies wie Black- und Whitelisting festlegen und damit die Security in diesem Bereich automatisieren.
- Sie sollten immer wissen, welchen Zertifikaten getraut werden darf: dies erreicht man mit einem kontinuierlichen Monitoring und Reputationscheck für alle vorhandenen Schlüssel und Software-Zertifikate.
- Sie sollten darüber hinaus alle kompromittierbare Schlüssel und Zertifikate umgehend reparieren bzw. ersetzen.
„Angesichts der wachsenden Flut von Angriffen auf Schlüssel und Zertifikate müssen sich Unternehmen unbedingt über die gravierenden finanziellen Konsequenzen klar werden. Ohne das Vertrauenssystem, das Schlüssel und Zertifikate schaffen, könnten wir die digitale Weltwirtschaft nicht aufrechterhalten“, erklärt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Institutes. „Diese Untersuchungen sind für IT-Sicherheitsexperten weltweit hochaktuell – sie brauchen einen solchen Weckruf, um zu erkennen, dass sie Schlüsseln und Zertifikaten nicht mehr blind vertrauen können, denn diese werden zunehmend von Cyberkriminellen missbraucht.“
„Wir hoffen, dass diese Studie den Sicherheitsteams aller Global-5000-Unternehmen zu erkennen hilft, dass die Technologien, auf die sie sich seit zwei Jahrzehnten verlassen, an ihre Belastungsgrenze stoßen und den Bedrohungen nicht mehr gewachsen sind“, meint Jeff Hudson, CEO von Venafi. „Da Schlüssel und Zertifikate überall im Einsatz und für die Zukunft der digitalen Weltwirtschaft unerlässlich sind, muss ihre bessere Absicherung für CEOs, Vorstände und CISOs zur Top-Priorität werden. Ein Ersatz ist nicht in Sicht, und Scheitern ist keine Option. Wir müssen lernen, neu zu denken – indem wir etwa die Technologien für Zertifikatsreputation nutzen, die Venafi TrustNet jetzt bietet.“
Über die Studie „Cost of Failed Trust“ 2015
Die Studie „2015 Cost of Failed Trust“ untersucht, welche genauen finanziellen Folgen bösartige Angriffe auf das Vertrauenssystem haben, die Fehler bei der Verwaltung kryptographischer Schlüssel und Zertifikate ausnutzen. Für die Studie wurden 2.371 IT-Sicherheitsexperten befragt. Die Studie beziffert nicht nur die Kosten dieser „Trust Exploits“, sondern demonstriert auch, wie mangelhaftes Schlüssel- und Zertifikatsmanagement in Unternehmen Kriminellen Tür und Tor öffnet.
„2015 Cost of Failed Trust“ ist die einzige öffentlich verfügbare Untersuchung zum Umfang und zur Bandbreite solcher Angriffe. 59 Prozent der Studienteilnehmer sind in Unternehmen mit mindestens 5.000 Mitarbeitern tätig. Die größten vertretenen Sektoren sind Finanzdienstleistungen (17%), Behörden (11%), professionelle Dienstleistungen (8%), Konsumgüter (7%) und Einzelhandel (7%). Die Umfragedaten wurden im Januar 2015 vom Ponemon Institute erhoben.
Über das Ponemon Institute
Das Ponemon Institute führt unabhängige Studien und Schulungen durch, um in Unternehmen und Behörden weltweit Praktiken für IT-Sicherheit, Datenschutz und verantwortliches Informationsmanagement voranzutreiben. Ihre Mission ist die Erstellung hochwertiger empirischer Studien zu wichtigen Themen, die Auswirkungen auf den Schutz von IT-Assets und IT-Infrastrukturen haben. Als Mitglied des Council of American Survey Research Organizations (CASRO) halten wir strenge Standards für Vertraulichkeit, Privatsphäre und ethische Forschung ein.