PKI-Umfrage zur Kombi aus digitaler Signatur und DevOps
10. Dezember 2019Die Zertifizierungsstelle GlobalSign hat 2019 eine Umfrage dazu durchgeführt, wie und warum genau Unternehmen Public Key Infrastructure (PKI)-basierte Zertifikate einsetzen. Im Rahmen der Umfrage wurden annähernd 750 Personen befragt, unter anderem zu Themen wie digitale Signaturen und DevOps. Die Analyse umfasst IT-Entscheidungsträger und -Führungskräfte aus unterschiedlichen Branchen wie Behörden, Finanzen, Gesundheits- und Ingenieurwesen. Die Fragen decken verschiedene Themenbereiche ab, darunter die Verwendung von PKI, diverse Lösungsansätze bis hin zur Einbindung in DevOps.
Eine PKI ermöglicht Unternehmen und Systemen den sicheren Datenaustausch und vor allem die Überprüfung der Legitimität einer Zertifizierungsstelle. Mit PKI-basierten Technologien und Lösungen können Benutzer digitale Zertifikate authentifizieren, die einen öffentlichen Schlüssel für die Verschlüsselung und kryptografische Authentifizierung von Daten enthalten. Hier folgen die wichtigsten Ergebnisse der Umfrage der Zertifizierungsstelle GlobalSign.
Dazu wurde die Studienteilnehmer zur Art der von ihnen verwendeten PKI respektive ihrer zertifikatbasierten Lösungen befragt. Es ist nicht überraschend, dass zirka 75 Prozent der Befragten angeben, öffentliche SSL- oder TLS-Zertifikate zu verwenden, zirka 50 Prozent vertrauen auf private SSL- und TLS-Zertifikate. Ein Drittel der Teilnehmer (30 Prozent) verwendet Zertifikate für digitale Signaturen, während etwas weniger Befragte bei Secure/Multipurpose Internet Mail Extensions (S/MIME) auf eine PKI vertrauen. S/MIME ist ein weit verbreitetes Protokoll zum Senden digital signierter und verschlüsselter Nachrichten und eine solide Option zum Schutz von E-Mail-Benutzern vor Phishing.
Warum entscheiden Unternehmen sich in erster Linie für PKI-basierte Technologien? Mehr als 30 Prozent verweisen auf die Skalierbarkeit für das Internet der Dinge (IoT) und 26 Prozent sind überzeugt, dass PKI branchenübergreifend eingesetzt werden kann. 35 Prozent der Befragten entscheiden sich für eine PKI, um die Integrität ihrer Daten zu gewährleisten.
Häufig auftretende Probleme beim PKI-Einsatz
PKI hat nachweislich einen hohen Stellenwert für Unternehmen, ist aber komplex in der Implementierung. Das spiegeln auch die Umfrageergebnisse: Der Mangel an internen IT-Ressourcen ist dabei eines der größten Probleme mit denen Unternehmen sich heutzutage konfrontiert sehen. 17 Prozent der Befragten klagen über lange Umsetzungszeiten bei PKI-Projekten und fast 40 Prozent geben an, dass die Bereitstellung und das Lebenszyklusmanagement ausgesprochen zeitaufwendig sein können. Trotz der Belastung eigener IT-Ressourcen verwenden etliche Unternehmen immer noch ihre eigene interne Zertifizierungsstelle. Allerdings wird die Umstellung auf einen automatisierten und verwalteten Ansatz zunehmend beliebter.
Die Umfrage hat zudem ergeben, dass digitale Signaturen verstärkt zum Einsatz kommen. Über 50 Prozent der Umfrageteilnehmer geben an, digitale Signaturen aktiv zu nutzen, um die Integrität und Authentizität ihrer Inhalte zu schützen. Für 53 Prozent der Befragten ist die Einhaltung gesetzlicher Vorschriften bei ihrer Entscheidung für digitale Signaturen ausschlaggebend, während 60 Prozent ihre Entscheidung als ökologisch motiviert begründen (weniger Papier). Ein weiterer Grund für die Verwendung digitaler Signaturen liegt in der Zeitersparnis bei der Bearbeitung von Dokumenten.
DevOps-Nutzung wächst
Dem DevOps-Markt wird bis 2025 ein Volumen von voraussichtlich 13 Milliarden Dollar prognostiziert. DevOps hat die Softwareindustrie mit automatisierten Geschäftsprozessen und Agilität revolutioniert. Allerdings bringt der Ansatz erhebliche Sicherheitsrisiken mit sich. Gegenwärtig ist der Erwerb von Zertifikaten in einer DevOps-Umgebung schwierig, zeitaufwendig und fehleranfällig. Entwickler und Unternehmen kämpfen mit einer Vielzahl an Herausforderungen wie den folgenden:
- Der explodierenden Anzahl von Schlüsseln und Zertifikaten, die als Rechneridentitäten auf Load-Balancern, virtuellen Maschinen, Containern und Service Meshes dienen. Das Nachvollziehen der verwendeten Geräteidentitäten wird ohne die richtige Technologie schnell chaotisch, teuer und riskant.
- Schwache Zertifikate oder der unerwartete Ablauf von Zertifikaten, wenn es kein ordnungsgemäßes Verfahren zur Durchsetzung und Überwachung von Richtlinien gibt. Diese Art von Ausfallzeiten hat erheblich geschäftliche Auswirkungen.
Im Idealfall erlaubt eine PKI für eine DevOps-Lösung die direkte Integration über eine REST-API, EST oder beispielsweise die Venafi Cloud. DevOps-Teams profitieren dann weiterhin von der Agilität der Technologie, müssen aber kein Sicherheitsrisiko eingehen.
Eine PKI ist eine der grundlegendsten Sicherheitstechnologien und wird es auf absehbare Zeit bleiben. Die Daten der GlobalSign-Umfrage 2019 sind in der folgenden Infografik zusammengefasst und stützen diese These. Angesichts des explosionsartigen Wachstums in IoT und IIoT geht die Zertifizierungsstelle von einer steigenden Zahl von PKI-Bereitstellungen aus. (rhh)