Die Probleme und Herausforderungen des maschinellen Identitätsmanagements

Das Konzept des Identitäts- und Zugriffsmanagements (Identity and Access Management, IAM) ist unter IT- und Cybersicherheitsverantwortlichen, die sich mit der Autorisierung und Authentifizierung von menschlichen Benutzern befassen, bereits gut bekannt. Doch was ist mit den Maschinen? Schließlich findet ein Großteil von elektronischer Kommunikation und Transaktionen – von Servern bis hin zu IoT-Sensoren – zwischen Geräten statt. Wäre es daher nicht ratsam, jedem dieser Geräte eine Identität zuzuweisen und sie auf die gleiche Weise zu verwalten und zu schützen, wie es die IAM-Lösungen tun? Demzufolge werden die Maschinenidentitäten in Form von kryptografischen Schlüsseln, digitalen Zertifikaten und anderen Ressourcen bereitgestellt.

Angesichts der Notwendigkeit, in IT-Umgebungen, die zunehmend von Unsicherheit und Ungewissheit geprägt sind, das Zero-Trust-Prinzip („vertraue nichts, überprüfe alles“) einzuführen, sind Maschinenidentitäten für den Aufbau vertrauenswürdiger Beziehungen zwischen Geräten und Workloads in einer Vielzahl von Ökosystemen unerlässlich geworden. Dennoch werden Entscheidungen über Tools für das Machine Identity Management (MIM) laut Garnter in den Unternehmen nicht ausreichend beachtet.

Die gute Nachricht ist, dass immer mehr IT- und Cybersicherheitsverantwortliche die Notwendigkeit einer Strategie für die Verwaltung von Maschinenidentitäten erkennen. Denn laut einer vom Ponemon Institute durchgeführten und von Keyfactor veröffentlichten Umfrage gaben 66 % der Befragten an, dass sie mit dem MIM-Konzept vertraut oder sogar sehr gut vertraut sind. Diese Daten stammen aus Nordamerika, Europa, dem Nahen Osten und Afrika und wurden unter IT-Fachleuten aus den Bereichen Cybersicherheit, Infrastruktur, Betrieb und Entwicklung erhoben.

Ein weiterer Punkt, der in der Studie hervorgehoben wird, ist die Tatsache, dass das Volumen der maschinellen Identitäten rasch zunimmt. Das ist insbesondere bei Zertifikaten, die innerhalb von Unternehmen ausgestellt werden, der Fall. Denn im Durchschnitt gaben die Umfrageteilnehmer an, dass in IT-Organisationen rund 267.620 vertrauenswürdige Zertifikate ausgestellt werden. Das entspricht einen Zuwachs von fast 16 % gegenüber der letztjährigen Studie. Allerdings gibt es auf der anderen Seite durchschnittlich auch nur 1.942 Zertifikate in Organisationen, die öffentlich und vertrauenswürdig sind.

Das Problem: Je mehr Zertifikate ausgestellt werden und je kürzer ihre Lebensdauer ist, desto schwieriger wird die Verwaltung der einzelnen Identitäten. Demnach waren 70 % der Meinung, dass die zunehmende Verwendung von digitalen Schlüsseln und Zertifikaten die Arbeitsbelastung der IT-Abteilungen deutlich erhöht hat. Im Jahr 2021 waren es noch 62 %. Weitere 65 % sind über den erhöhten Arbeitsaufwand und das Risiko von Unterbrechungen aufgrund kürzerer Zertifikatslaufzeiten besorgt – zum Vergleich: im Jahr waren es noch 59 % der Befragten.

Wenn Zertifikate nicht überwacht werden, können sie unerwartet ablaufen, sodass Anwendungen oder Dienste nicht mehr funktionieren. Die Mehrheit der Studienteilnehmer (81 %) gab an, in den letzten 24 Monaten mindestens zwei oder mehr Ausfälle verzeichnet zu haben – im Jahr 2021 waren es dagegen nur 77 %. Dabei kann die Wiederherstellungszeit (Time to Recovery, TTR) ein Problem sein. Das bestätigen auch die Zahlen: 67 % der Befragten gaben an, dass es drei oder mehr Stunden dauerte, bis der normale Betrieb wiederhergestellt war.

Obwohl der Einsatz von Zertifikatsmanagement-Tools zunimmt, sind Tabellenkalkulationen immer noch weit verbreitet: Das zeigt auch die Erhebung. 44 % der Befragten an, dass sie eine spezielle Lösung für das Customer Lifecycle Management (CLM) verwenden, während sich 42 % auf einen Flickenteppich aus Tabellenkalkulationen verlassen. Auf die von SSL/TLS-Zertifikatsanbietern bereitgestellten Tools und selbst entwickelten Lösungen greifen nur 38 % zurück.

Die vollständige Transparenz von Zertifikaten und die Automatisierung ihrer Lebenszyklen sind laut der Umfrage die wichtigsten Kriterien bei der Auswahl eines Zertifikatsmanagementsystems. Auch das sah letztes Jahr noch ganz anders aus.

Bedenken und strategische Maßnahmen

61 % der Befragten meinen, dass der Diebstahl oder Missbrauch von Rechneridentitäten für IT-Organisationen ein ernsthaftes oder sehr ernsthaftes Problem darstellt – das ist ein deutlicher Anstieg gegenüber den 34 % aus dem letzten Jahr. Darüber hinaus gab die Hälfte der Studienteilnehmer an, dass es in ihrem Unternehmen in den nächsten 24 Monaten wahrscheinlich oder sehr wahrscheinlich zu mehr Vorfällen von Identitätsdiebstahl oder -missbrauch durch Maschinen kommen wird.

Ungewissheit und ein Mangel an qualifiziertem Personal sind außerdem nach wie vor die häufigsten Herausforderungen bei der Definition einer Strategie für das Identitätsmanagement von Maschinen – was durch 41 % der Antworten belegt wird, wie die folgende Abbildung zeigt.

In einer Liste von sieben digitalen Sicherheitsstrategien bleibt die kryptografische Agilität die oberste Priorität für das maschinelle Identitätsmanagement. Demnach gaben 57 % der Befragten an, dass kryptografische Agilität (z. B. die Abschaffung von Algorithmen, Post-Quantum-Kryptografie oder CA-Kompromittierung) eine strategische Priorität für ihr Unternehmen darstellt. Außerdem haben die Angaben zur Verringerung des Risikos durch unbekannte oder selbstsignierte Zertifikate (35 % der Befragten) und zur Verringerung der Komplexität von IT-Infrastrukturen (55 % der Befragten) im Vergleich zu den Ergebnissen von 2021 deutlich an strategischer Bedeutung gewonnen.

.