2024 war ein Jahr mit bedeutenden Entwicklungen in der Cybersicherheitsbranche. Bei einem Rückblick auf die Prognosen von GlobalSign aus dem letzten Jahr scheinen sich viele der damaligen Trends auch im nächsten Jahr fortzusetzen. Denn in Bereichen wie Künstliche Intelligenz (KI), Post-Quantum Computing (PQC) und kürzere Zertifikatslaufzeiten gibt es weiterhin Veränderungen.
Die künstliche Intelligenz hat sich in der Branche fest etabliert und sie wird in vielen Online-Tools immer mehr zum Einsatz kommen. Zudem sind eIDAS 2.0 und die Europäischen Digital Identity Wallets nach wie vor ein heißes Thema, da sie sich auf die Industriestandards auswirken. Und auch neue Vorschriften werden im kommenden Jahr wohl ihre eigenen Auswirkungen haben. Auch über PQC wird weiterhin spekuliert, und die ersten in diesem Jahr veröffentlichten Standards lassen die Post-Quantum-Technologie näher denn je erscheinen.
Dieser Blog befasst sich mit diesen und weiteren Trends sowie mit den Auswirkungen auf das kommende Jahr. Zudem geht es um unsere Erwartungen bezüglich der künftigen Auswirkungen der Trends auf die Public Key Infrastructure (PKI)-Branche. Und wir behandeln, wie die Ereignisse aus diesem Jahr für das nächste Jahr relevant sein werden.
1. Mehr Automatisierung und KI in der PKI
2. Vorbereitung auf die Post-Quantum Cryptography (PQC)
3. Digitale Identität und regulatorische Änderungen
4. Das Internet of Things (IoT) und PKI
5. Zero-Trust-Architektur
6. Das Wachstum Cloud-basierter Lösungen
7. Verkürzte Zertifikatslebenszyklen
1. Mehr KI in der PKI
Mit der Zunahme von KI und maschinellem Lernen wird ihre Integration in PKI-Systeme immer wichtiger. KI-gesteuerte Phishing- und Spoofing-Angriffe werden immer raffinierter, was herkömmliche Erkennungsmethoden immer wirkungsloser macht. Um mit dieser Entwicklung Schritt zu halten, muss die Cyberabwehr gestärkt werden. Die Abhängigkeit der PKI von der asymmetrischen Verschlüsselung bietet einen robusten Rahmen für die Authentifizierung und Sicherung der Kommunikation. Aber angesichts der rasanten Entwicklung der KI-Tools ist künftig mehr Wachsamkeit nötig, um Schutzmaßnahmen zu entwickeln, die kontinuierlich auf zunehmend automatisierte, intelligente Bedrohungen reagieren.
Künstliche Intelligenz führt bereits zu einer zunehmenden Verbreitung von gefälschten Materialien, da die Tools zur Inhaltsgenerierung weit verbreitet sind. In Zukunft wird also eine robuste Identitätsüberprüfung notwendig sein, damit die Nutzer den Inhalten, die sie online sehen und mit denen sie interagieren, vertrauen können. Wahrscheinlich wird sich auch die Anpassung an die Entwicklung ändern, um das Bewusstsein der Nutzer für Inhaltsquellen zu stärken, sei es durch Vorschriften oder organisch.
„Die Fortschritte in der KI werden nicht nur die Grenzen zwischen echten und gefälschten Inhalten verwischen, sondern auch die Verbreitung von gefälschtem Material auf dem Markt deutlich erhöhen. Infolgedessen wird die Notwendigkeit einer robusten Identitätsüberprüfung und -bindung für das Vertrauen der Nutzer in jegliche Form von Medieninhalten unerlässlich werden. - Mohit Kumar, Vice President of Product Management
In Bezug auf die Regulierung werden wir wahrscheinlich weiterhin von neuen Gesetzen hören, die sich mit dem weltweit zunehmenden Einsatz von KI befassen. Diese Entwicklung ist natürlich schon jetzt bemerkbar. Beispiele sind Vorschriften wie da EU-Gesetz über künstliche Intelligenz, das 2025 vollständig in Kraft treten wird, und verschiedenen US-Initiativen für den verantwortungsvollen Einsatz von KI. Dazu gehören der Algorithmic Accountability Act, der National AI Initiative Act und wichtige Vorschriften in US-Bundesstaaten wie New York und Kalifornien.
Die entsprechenden Auswirkungen auf die PKI-Verwaltung werden wir im Laufe des nächsten Jahres spüren. KI und maschinelles Lernen werden bei der Vorhersage des Ablaufs von Zertifikaten, der Erkennung von Anomalien und der Vermeidung von Ausfällen immer wichtiger. Sicherheitsanbieter integrieren KI zunehmend in ihre PKI-Plattformen, um diese Vorteile zu nutzen. Damit zeigen sie deren wachsende Rolle in der Branche, die sich in Richtung intelligenter, flexibler Lösungen bewegt.
2. Vorbereitung auf die Post-Quantum Cryptography (PQC)
Das Quantencomputing stellt eine erhebliche Bedrohung für herkömmliche Verschlüsselungsmethoden dar und macht die Entwicklung quantenresistenter kryptographischer Algorithmen erforderlich. Mit den Fortschritten der Quantentechnologie wird die Sicherung von Daten gegen entsprechende Bedrohungen immer relevanter.
Quantenresistente kryptographische Algorithmen halten der Rechenleistung von Quantencomputern stand und gewährleisten weiterhin die Sicherheit digitaler Kommunikation und Daten. Google und das NIST sind bei der Umsetzung dieser neuen Standards führend. Und Google hat kürzlich einen hybriden Post-Quantum-Kryptoalgorithmus in Chrome eingeführt.
Vorschriften wie die ersten Post-Quantum-Verschlüsselungsstandards des NIST, die Anfang des Jahres veröffentlicht wurden, zeigen, dass die Post-Quantum-Technologie näher denn je ist. Sie wird von der Branche natürlich weiterhin beobachtet werden. Im kommenden Jahr wird es wahrscheinlich zu weiteren Regulierungen zur Post-Quantum-Technologie kommen, da die Besorgnis über ihr Aufkommen weiter wächst und Regierungen und Organisationen ihre Auswirkungen berücksichtigen muss.
„Mit dem weiteren Voranschreiten des Quantencomputings dürfte auch der Fokus auf quantenresistente kryptographische Algorithmen und Quantenverschlüsselung zunehmen. Vielleicht ist 2025 das Jahr, in dem diese neuen Methoden anfangen, die derzeitige Verschlüsselung zu verdrängen.“ – Amanda Faverty, Enterprise Account Manager
Unternehmen und Zertifizierungsstellen (CAs) müssen sich schnell an diese Veränderungen anpassen, indem sie quantenresistente Verschlüsselung einsetzen und gesetzlichen Anforderungen immer einen Schritt voraus sind. Dadurch gewährleisten sie die Sicherheit und Vertrauenswürdigkeit der digitalen Identitäten und der Kommunikation. Die Vorbereitung auf die Post-Quantum-Kryptographie hat für die Branche höchste Priorität. Mit dem Voranschreiten des Quantencomputings wird die Entwicklung und Implementierung von quantenresistenten kryptographischen Algorithmen entscheidend sein, um die Sicherheit aufrechterhalten zu können.
Digitales Vertrauen durch sichere Zertifikate zukunftssicher machen
3. Digitale Identität und regulatorische Änderungen
Wir haben bereits einige Änderungen von Rechtsvorschriften angesprochen, die aufgrund der zunehmenden Nutzung von Technologien im öffentlichen Bereich unvermeidlich waren. Da sich die Branche auch künftig verändern wird und wir Online-Aktivitäten immer besser verstehen, werden wir weitere Änderungen bei der Authentifizierung, Messung und Sicherung der digitalen Identitäten erleben.
Im Mittelpunkt stehen dabei die sich entwickelnden Cyberbedrohungen, die zu strengeren Anforderungen an die Verwaltung digitaler Zertifikate führen. Entsprechende Compliance-Standards richten sich besonders an Risikobranchen wie das Gesundheitswesen, das Finanzwesen und die Fertigung. Das zeigt sich in den Entwicklungen bei Vorschriften wie PSD3 in Europa, die voraussichtlich im Zeitraum 2025 bis 2026 umgesetzt werden, oder in den Aktualisierungen des HIPAA in den USA, die ab 2025 gelten werden. Diese Vorschriften legen großen Wert auf die Überprüfung der digitalen Identität und die Einhaltung von Vorschriften. Daher müssen Unternehmen geeignete, robuste PKI-Lösungen einführen.
PKI ist entscheidend für sichere und konforme digitale Interaktionen. Da KI-gesteuerte Bedrohungen und regulatorische Anforderungen zunehmen, müssen Unternehmen mithilfe von PKI ihre digitalen Identitäten schützen und Compliance-Anforderungen erfüllen.
4. Das Internet of Things (IoT) und PKI
Mit der kontinuierlichen Zunahme der Menge an IoT-Geräten, die bis 2025 voraussichtlich 55,7 Milliarden erreichen wird, bleibt PKI für die Sicherung der Gerätekommunikation, Authentifizierung und Datenintegrität extrem wichtig. PKI wird wahrscheinlich eine grundlegenden Sicherheitsebene in IoT-Ökosystemen werden, mit der jedes Gerät sicher kommunizieren und seine Identität bestätigen kann. Ihre Rolle bei der Sicherung der Industrie wird sich noch ausweiten, und sie wird mehr Verantwortung erhalten in Bereichen wie z.B.:
- Sicherheit der Gerätekommunikation: Verschlüsselt Datenübertragungen und schützt sie so vor Abfang- und Manipulationsversuchen.
- Authentifizierung: Verwendet digitale Zertifikate zur Überprüfung der Geräteidentität, damit nur legitime Geräte auf das Netzwerk zugreifen können.
- Datenintegrität: Signiert Daten mit privaten Schlüsseln, wodurch die Empfänger die Integrität und Herkunft der Daten überprüfen können.
Unterstützt werden diese Anwendungsfälle durch die Einführung der PKI-Authentifizierung durch führende Plattformen wie AWS IoT und Microsoft Azure IoT Hub. Hinzu kommt, dass laufende Regulierungen wie der IoT Cybersecurity Improvement Act of 2020 und in jüngerer Zeit Gesetze wie die britische Regelung „Product Security and Telecommunications Infrastructure (PSTI)“ weiterhin die Bedeutung der Verwaltung von Geräteidentitäten betonen und die Hersteller zur Integration von PKI drängen. Da die Zahl der vernetzten IoT-Geräte stetig zunimmt, wird die Rolle der PKI bei der Bereitstellung robuster Sicherheitslösungen immer wichtiger.
5. Zero-Trust-Architektur
Da immer häufiger Zero-Trust-Modelle eingesetzt werden, ist die PKI für die identitätsbasierte Authentifizierung und verschlüsselte Kommunikation unerlässlich. Durch die Ausweitung des Zero-Trust-Prinzips wird es Anforderungen geben, die über die externe Kommunikation hinausgehen. Für eine beständige Sicherheit gehört auch die kontinuierliche Überprüfung von Benutzern, Geräten und Anwendungen. Und PKI bietet dazu den notwendigen Sicherheitsrahmen.
Dieser Trend ist eine anhaltende Auswirkung zahlreicher Vorschriften, die Unternehmen zu Zero-Trust-Verfahren drängen, damit sich die Cybersicherheitsstandards verbessern. Die US Executive Order on Cybersecurity vom Mai 2021 schreibt die Umstellung auf Zero-Trust-Architekturen vor und drängt die Unternehmen zu deren Einführung. Zero Trust macht ständige Überprüfungen erforderlich, was die entscheidende Rolle der PKI bei der Schaffung sicherer Identitäten unterstreicht. Gartner prognostiziert, dass bis 2025 über 60% der Unternehmen herkömmliche VPNs durch Zero Trust Network Access (ZTNA) ersetzen werden. Dabei werden sie sich zur sicheren Authentifizierung stark auf PKI verlassen.
„Die Einführung von Zero-Trust-Modellen wird weiter zunehmen und macht PKI zu einer entscheidenden Komponente für die identitätsbasierte Authentifizierung und verschlüsselte Kommunikation.“ – Debbie Hayes, Director of Product Marketing
PKI ist und bleibt für die Umsetzung von Zero-Trust-Modellen von entscheidender Bedeutung, da sie zuverlässige Sicherheit für die Identitätsüberprüfung und verschlüsselte Kommunikation bietet. Mit der zunehmenden Verbreitung von Zero Trust wird die Rolle der PKI für sichere und konforme Umgebungen immer wichtiger.
6. Das Wachstum Cloud-basierter Lösungen
Aufgrund der Zunahme von Cloud-nativen Architekturen wird auch die Nutzung von PKI zur Absicherung von Cloud-basierten Anwendungen, Microservices und containerisierten Umgebungen zunehmen. Dieser Wandel wird durch den Bedarf an robusten Sicherheitsmaßnahmen vorangetrieben, die mit den dynamischen und skalierbaren Cloud-Umgebungen mithalten können. Gartner prognostiziert, dass bis 2025 über 95% der neuen digitalen Arbeitslasten auf Cloud-nativen Plattformen bereitgestellt werden. Das zeigt die entscheidende Rolle von PKI bei der Sicherung dieser Umgebungen und der Gewährleistung der Datenintegrität und Authentifizierung über verschiedene und verteilte Systeme hinweg.
Es wird erwartet, dass sich PKI-Lösungen erheblich weiterentwickeln werden, um Cloud-native Implementierungen zu unterstützen. Der Schwerpunkt wird dabei auf der Bereitstellung einer skalierbaren und flexiblen Zertifikatsverwaltung liegen, die auf die Anforderungen Cloud-basierter Dienste zugeschnitten ist. Verbesserte Automatisierungs- und Integrationsfunktionen werden zu den Hauptmerkmalen gehören, mit denen Unternehmen ihre Zertifikate in komplexen Cloud-Ökosystemen effizient verwalten.
Mit der Zunahme von Microservices und Container-Umgebungen wird die Notwendigkeit einer sicheren Kommunikation zwischen diesen Komponenten auch die Einführung der PKI vorantreiben. Nur dann kann sich jeder Microservice und jeder Container authentifizieren und sicher kommunizieren, um unbefugten Zugriff und Datenverstöße zu verhindern. Die Zukunft der PKI in Cloud-basierten Lösungen wird davon abhängen, wie gut sie mit den Anforderungen von Cloud-Umgebungen mitwachsen kann. Denn Unternehmen müssen sich schnell an veränderte Sicherheitsanforderungen anpassen, um ständigen Schutz ohne Leistungseinbußen zu gewährleisten.
7. Verkürzte Zertifikatslebenszyklen erfordern Krypto-Agilität
Als Reaktion auf Sicherheitsbedenken und Branchenvorschriften wird sich der Trend zur Verkürzung der Lebensdauer von Zertifikaten voraussichtlich fortsetzen. Das wird zudem durch die Notwendigkeit vorangetrieben, Sicherheitsmaßnahmen zu verstärken, indem die Zeitfenster verkleinert werden, in denen kompromittierte Zertifikate ausgenutzt werden können. Kürzere Zertifikatslebenszyklen begrenzen selbst bei einem kompromittierten Zertifikat die Gültigkeitsdauern, sodass der potenzielle Schaden minimiert wird.
Die Entscheidung des CA/Browser Forums im Jahr 2020, die maximale Gültigkeitsdauer für SSL/TLS-Zertifikate auf ein Jahr zu reduzieren, spiegelt diesen Trend wider. Diese Maßnahme sollte die Sicherheit verbessern, indem die Zertifikate häufiger erneuert werden. Dadurch verringert sich das Risiko, dass ein kompromittiertes Zertifikat längerfristig ausgenutzt wird. Die entsprechende Dynamik verstärkte sich in diesem Jahr durch den Vorschlag von Apple, bis 2027 die Lebensdauer von öffentlichen SSL/TLS-Zertifikaten auf nur 47 Tage zu verkürzen. Dieser Vorschlag wurde auf der letzten Sitzung des CA/Browser Forums angekündigt und folgt auf den früheren Vorstoß von Google, die Gültigkeit von Zertifikaten auf 90 Tage zu begrenzen.
Durch die Zunahme von Phishing-Angriffen und Vorfällen mit falsch ausgestellten Zertifikaten fühlten sich Unternehmen auch dazu veranlasst, kürzere Zertifikatslaufzeiten einzuführen. Die Begrenzung der Gültigkeitsdauer von Zertifikaten hilft dabei, dass Unternehmen die entsprechenden Risiken besser kontrollieren und abmildern können.
Die Automatisierung der Verfahren zur Erneuerung von Zertifikaten ist hierbei ein wichtiger Faktor. Durch die Automatisierung des Erneuerungsprozesses können Unternehmen ihre Zertifikate zeitnah aktualisieren lassen, ohne dass die Gefahr menschlicher Fehler oder eines Übersehens besteht. Das optimiert neben der Sicherheit auch den mit der manuellen Zertifikatsverwaltung verbundenen Verwaltungsaufwand. Dadurch wird zudem ein Zustand der Krypto-Agilität gefördert, der für die Aufrechterhaltung eines sicheren Betriebs entscheidend ist.
„Aufgrund der abnehmenden Lebensdauer von digitalen Zertifikaten müssen Unternehmen ihre Sicherheitsmodelle unbedingt an die Krypto-Agilität anpassen. Mithilfe automatisierter Lösungen können Unternehmen das Risiko kompromittierter oder abgelaufener Zertifikate verringern, neuen Bedrohungen einen Schritt voraus sein und in der immer dynamischeren digitalen Landschaft robuste Sicherheit gewährleisten.“ - Laurence Pawling, Vice President of Global Infrastructure
Die Verkürzung der Lebenszyklen von Zertifikaten ist eine entscheidende Entwicklung. Aufgrund immer raffinierterer Bedrohungen werden kürzere Lebenszyklen von Zertifikaten, die durch Automatisierung erleichtert werden, für die Verbesserung der Sicherheit von Unternehmen und den Schutz ihrer digitalen Werte extrem wichtig sein. Dieser Trend unterstreicht die Bedeutung flexibler und proaktiver Strategien zur Zertifikatsverwaltung in der sich ständig weiterentwickelnden Welt der Cybersicherheit.
Optimieren Sie Ihr Zertifikatsökosystem, indem Sie noch heute mit uns sprechen
Unterstützung bei Branchenveränderungen durch vertrauenswürdige Anbieter von Sicherheitslösungen
Die Trends aus dem Jahr 2023 haben sich weitgehend bewahrheitet und 2024 weiterentwickelt. Damit wurden die Voraussetzungen für künftige Entwicklungen geschaffen. Unternehmen müssen sich proaktiv über diese Trends informieren, um Sicherheitsinfrastrukturen aufzubauen, die den neuen Bedrohungen standhalten.
„2025 wird ein Jahr des tiefgreifenden Wandels für die PKI- und CA-Branche sein. KI, strenge Vorschriften und Spitzentechnologien wie quantenresistente Kryptographie werden zusammenfinden, um eine digitale Infrastruktur mit mehr Sicherheit und Flexibilität zu schaffen.“ – Arnaud Vanderoost, Vice President of Sales EMEA
Die Zukunft der PKI ist vielversprechend, denn ihre kontinuierlichen Fortschritte sorgen für eine robuste und vertrauenswürdige digitale Sicherheit in einer zunehmend vernetzten Welt. Unternehmen werden jedoch ihre Konzepte zu Sicherheit und der Verwaltung digitaler Zertifikate überdenken müssen, um im kommenden Jahr weiter die Nase vorn zu haben. PKI bleibt ein Eckpfeiler der digitalen Kommunikation, da sie die notwendigen Werkzeuge zur Authentifizierung von Identitäten, zur Verschlüsselung von Daten und zur Gewährleistung der Integrität von Transaktionen bereitstellt.
GlobalSign ist ein vertrauenswürdiger Führer auf dem Gebiet der digitalen Sicherheit und bietet umfassende PKI-Lösungen für die Bedürfnisse moderner Unternehmen. Dank seiner Expertise in skalierbarem und flexiblem Zertifikatsmanagement, der Automatisierung von Erneuerungsprozessen und der Integration mit führenden Cloud-Anbietern kann GlobalSign Unternehmen bei der Verbesserung ihrer Cybersicherheitslage optimal unterstützen.
Bereit, Ihre Sicherheit zu verbessern? Kontaktieren Sie noch heute unsere Experten!
