Venafi-Umfrage: Unternehmen sind nicht auf die Umstellung auf 90-Tage-TLS-Zertifikate vorbereitet

Kevin Bocek – Vice President of Security Strategy and Threat Intelligence bei Venafi

Venafi, das führende Unternehmen im Bereich Machine Identity Security, veröffentlicht einen neuen Forschungsbericht, Organizations Largely Unprepared for the Advent of 90-Day TLS Certificates. Der Bericht untersucht den aktuellen Stand der Vorbereitung von Unternehmen auf den Übergang zu neuen Standards für die Maschinenidentität, einschließlich kürzerer Zertifikatslebenszyklen und Post-Quantum-Kryptographie.

Eine Umfrage unter 800 IT-Sicherheitsentscheidern in den USA (300), Großbritannien (200), Deutschland und Frankreich (je 150) ergab, dass mehr als drei Viertel (76 %) der Sicherheitsverantwortlichen die dringende Notwendigkeit erkennen, zu kürzeren Zertifikatslaufzeiten überzugehen, um die Sicherheit zu verbessern. Viele fühlen sich jedoch nicht darauf vorbereitet, Maßnahmen zu ergreifen. 77 Prozent (76 % in Deutschland) sind der Meinung, dass die Umstellung auf 90-Tage-Zertifikate zu mehr Ausfällen führen wird.

Zu den weiteren Highlights der Umfrageergebnisse gehören:

  • Die 90-Day Zertifikate-Herausforderung – 81 Prozent der Sicherheitsverantwortlichen (73% in Deutschland) glauben, dass die von Google vorgeschlagene Verkürzung der Lebensdauer von TLS-Zertifikaten von 398 Tagen auf 90 Tage die bestehenden Herausforderungen bei der Verwaltung von Zertifikaten noch verstärken wird. Überwältigende 94 Prozent der Umfrageteilnehmer sind besorgt über die Auswirkungen der Änderungen, wobei fast drei Viertel (73 %, 65% in Deutschland) sagen, dass dies zu einem „Chaos“ führen könnte, und weitere 75 Prozent (69% in Deutschland) meinen, dass sie dadurch sogar unsicherer werden könnten.
  • Dynamische Certificate Authority (CA)-Industrie  – Der jüngste Erlass, dass den von der Certificate Authority (CA) Entrust ausgestellten Zertifikaten nicht mehr vertraut werden kann, ist nur das jüngste Beispiel für die Störung des CA-Marktes. Tatsächlich geben 88 Prozent (87% in Deutschland) der Sicherheitsverantwortlichen an, dass ihr Unternehmen von CA-Widerrufen betroffen ist. Davon mussten 45 Prozent (45% in Deutschland) zusätzliche Ressourcen einsetzen, um Zertifikate zu finden, zu widerrufen und zu ersetzen; 38 Prozent (31 % in Deutschland) hatten einen Sicherheitsvorfall und 31 Prozent (33% in Deutschland) einen zertifikatsbedingten Ausfall zu verzeichnen.
  • Verweigerung sich auf Quantum vorzubereiten – Angesichts der zunehmenden Notwendigkeit, auf neue quantenresistente Verschlüsselungsalgorithmen umzusteigen, sagen 64 Prozent (47% in Deutschland) der Sicherheitsverantwortlichen, dass sie den Tag fürchten, an dem der Vorstand sie nach ihren Migrationsplänen fragt. 78 Prozent (79% in Deutschland) sagen, wenn ein Quantencomputer gebaut wird, der in der Lage ist, die Verschlüsselung zu knacken, werden sie sich dann darum kümmern. 60 Prozent (59% in Deutschland) glauben, dass Quantencomputing weder heute noch in Zukunft ein Risiko für ihr Unternehmen darstellt. Darüber hinaus lehnen 67 Prozent (65% in Deutschland) das Thema mit der Begründung ab, es sei zu einer „Hype-Pokalypse“ geworden.

„Wir haben vor kurzem den größten IT-Ausfall der Welt erlebt – der Ausfall des CrowdStrike-Updates war ein Fehler und unerwartet. Sicherheitsteams wissen, dass sie mit großen Risiken konfrontiert werden, wenn neue Ausfälle durch das auftreten, was sie so gerne hassen: mehr ablaufende Zertifikate“, sagt Kevin Bocek, Chief Innovation Officer bei Venafi. „Die Umstellung auf kürzere Lebenszyklen von Zertifikaten reduziert diese Risiken erheblich und ist ein notwendiger Schritt. Allerdings kann dies auch mehr Chaos für Sicherheitsteams mit sich bringen – und mit dem Misstrauen gegenüber Entrust in Chrome gibt es einen doppelten Wermutstropfen. Es gibt nicht nur Kanarienvögel in der Kohlenmine; es gibt Murmeltiere in jeder Cloud, virtuellen Maschine und jedem Kubernetes-Cluster. Es geht nicht nur um einen Software-Update-Anbieter, sondern um das gesamte Internet, wie wir es kennen.“

Die Einführung von 90-Tage-Zertifikaten bedeutet, dass Unternehmen ihre Zertifikate fünfmal häufiger erneuern müssen als bisher – eine Verfünffachung des Aufwands. Die Umfrage zeigt, dass dies für Unternehmen aus zwei Gründen eine große Herausforderung darstellt:

  • Verzögerte Bereitstellung – Nur acht Prozent (9% in Deutschland) der Sicherheitsverantwortlichen automatisieren alle Aspekte der Verwaltung von TLS-Zertifikaten in ihrem gesamten Unternehmen vollständig, wobei fast ein Drittel (29 %, 22% in Deutschland) immer noch auf eigene Software und Tabellenkalkulationen zurückgreift, um das Problem zu lösen. Infolgedessen dauert die Bereitstellung eines Zertifikats durchschnittlich 2-3 Arbeitstage (21,75 Stunden).
  • TLS-Umwandlung – Das Volumen der in Unternehmen verwendeten TLS-Zertifikate ist aufgrund der zunehmenden Verbreitung der Technologie in den letzten Jahren stetig gestiegen. Fünfundneunzig Prozent der Sicherheitsverantwortlichen geben an, dass Initiativen zur digitalen Transformation die Nutzung von SSL/TLS in ihrem Unternehmen im vergangenen Jahr um durchschnittlich 36 Prozent (31% in Deutschland) erhöht haben. Infolgedessen verwaltet das durchschnittliche Unternehmen heute 3.730 TLS-Zertifikate – eine Zahl, die bis 2026 voraussichtlich um 39 Prozent auf über 5.000 ansteigen wird.

Ähnliche Herausforderungen gibt es bei der Quantenverschlüsselung. 67 Prozent (62% in Deutschland) der Befragten glauben, dass die Umstellung auf Post-Quantum-Kryptografie ein Alptraum sein wird, da sie nicht wissen, wo alle ihre Schlüssel und Zertifikate sind. Bei der Betrachtung der spezifischen Herausforderungen, die diese Umstellungen mit sich bringen, wurden die potenzielle Geschwindigkeit der Umstellung, der Umfang und die Kosten sowie der Mangel an internen Fähigkeiten und Kenntnissen als die drei größten Bedenken genannt. 86 Prozent (83% in Deutschland) geben jedoch an, dass die Übernahme der Kontrolle über die Verwaltung von Schlüsseln und Zertifikaten der beste Weg ist, um sich auf künftige Quantenrisiken vorzubereiten.

„Es gibt großartige Neuigkeiten: Von 90-Tage-Zertifikaten über den Ersatz vertrauenswürdiger Zertifizierungsstellen bis hin zur Umstellung auf Post-Quantum verfügen Sicherheitsteams heute über Funktionen für die Sicherheit von Maschinenidentitäten, die noch vor wenigen Jahren nicht zur Verfügung standen. Sicherheitsteams können jetzt Certificate Lifecycle Management (CLM), PKI-as-a-Service und Workload-Identitätsaussteller auf einer Steuerungsebene nutzen“, erklärt Bocek abschließend. „Der Business Case ist einfach, um sicherzustellen, dass die 90-tägige Lebensdauer von Zertifikaten keinen Schaden anrichtet. Wir wissen, dass das Problem kommen wird, anders als beim letzten großen IT-Ausfall, und die Automatisierung, die wir mit Machine Identity Security eingeführt haben, macht uns bereit für die Post-Quantum-Zukunft, das nächste CA-Misstrauen und den Betrieb in der Cloud, die unsere Entwickler wählen. Bei Venafi sind wir für diese Zeiten gerüstet.“

Den kompletten Bericht lesen Sie hier: https://venafi.com/lp/organizations-largely-unprepared-for-the-advent-of-90-day-tls-certificates/.