Code Signing

Unternehmen setzen Erkenntnisse unzureichend um

Quelle: Venafi
Anzeige

Die Ergebnisse einer Studie von über 320 Sicherheitsexperten in den USA, Kanada und Europa über Sicherheitspraktiken für Code Signing hat Venafi bekannt gegeben. Demzufolge setzen nur 28 Prozent der Unternehmen einen definierten Sicherheitsprozess für Code Signing-Zertifikate konsequent durch.

„Wenn die Code Signing-Schlüssel und Zertifikate, die als Maschinenidentitäten dienen, in die Hände von Angreifern fallen, können sie enormen Schaden anrichten“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Sichere Code Signing-Prozesse ermöglichen es, Apps, Updates und Open-Source-Software sicher zu betreiben. Wenn diese aber nicht geschützt sind, können Angreifer sie in leistungsstarke Cyber-Waffen verwandeln. Code Signing-Zertifikate waren der Hauptgrund, warum Stuxnet und ShadowHammer so erfolgreich waren.“

Die Realität sei, so Bocek weiter, dass jedes Unternehmen heute im Bereich der Softwareentwicklung tätig ist, von Banken über Einzelhändler bis hin zu Herstellern: „Wenn Sie Code erstellen, Container bereitstellen oder in der Cloud laufen, müssen Sie sich ernsthaft mit der Sicherheit Ihrer Code Signing-Prozesse befassen, um Ihr Unternehmen zu schützen.“

Die Studie ergab, dass Sicherheitsexperten zwar die Risiken der Code-Signatur verstehen, aber keine geeigneten Maßnahmen ergreifen, um ihr Unternehmen vor Angriffen zu schützen. Zu den wichtigsten Ergebnissen gehören:

  • 50 Prozent sind besorgt, dass Cyber-Kriminelle gefälschte oder gestohlene Code Signing-Zertifikate verwenden, um die Sicherheit ihrer Unternehmen zu verletzen.
  • Weltweit setzen nur 29 Prozent der Unternehmen Sicherheitsrichtlinien für Code Signing konsequent durch. Dieses Problem ist in Europa viel akuter, nur 14 Prozent sind in der Lage, Code Signing durchzusetzen.
  • 35 Prozent haben keinen klaren Eigentümer für die privaten Schlüssel, die in den Code Signing-Prozessen in ihren Unternehmen verwendet werden.
  • Weltweit verlassen sich 43 Prozent der Unternehmen bei der Verwaltung privater Code Signing-Schlüssel auf die IT-Security-Abteilung. Inzwischen verlassen sich nur noch 19 Prozent auf Entwickler, um diese Aufgabe zu erfüllen. Im Gegensatz dazu, sind in 38 Prozent der europäischen Unternehmen die Entwickler dafür verantwortlich, während 27 Prozent erwarten, dass die IT-Security-Abteilung ihre private Code Signing-Schlüssel verwaltet.
  • 69 Prozent erwarten, dass der Einsatz von Code Signing im nächsten Jahr zunehmen wird.

Code Signing-Prozesse werden verwendet, um die Authentizität von Software-Updates für eine Vielzahl von Softwareprodukten zu sichern und sicherzustellen, einschließlich Firmware, Betriebssysteme, mobile Anwendungen und Anwendungscontainer-Images.

Allerdings werden über 25 Millionen bösartige Binärdateien mit Code Signing-Zertifikaten aktiviert, und Cyber-Kriminelle missbrauchen diese Zertifikate bei ihren Angriffen. So haben Sicherheitsforscher kürzlich bösartige Akteure entdeckt, die Malware in Antivirenprogrammen verstecken, indem sie Uploads mit gültigen Code Signing-Zertifikaten signierten. (rhh)

Venafi

Anzeige

Smarte Maschinen im Einsatz

Konferenz „Smarte Maschinen im Einsatz – Künstliche Intelligenz in Unternehmen“ am 15. Oktober 2019

Konradin Industrie

Titelbild Industrieanzeiger 16
Ausgabe
16.2019
LESEN
ARCHIV
ABO

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de