Die Ergebnisse einer Studie von über 320 Sicherheitsexperten in den USA, Kanada und Europa über Sicherheitspraktiken für Code Signing hat Venafi bekannt gegeben. Der Studie zufolge setzen nur 28 Prozent der Unternehmen einen definierten Sicherheitsprozess für Code Signing-Zertifikate konsequent durch.
„Wenn die Code Signing-Schlüssel und Zertifikate, die als Maschinenidentitäten dienen, in die Hände von Angreifern fallen, können sie enormen Schaden anrichten“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „Sichere Code Signing-Prozesse ermöglichen, Apps, Updates und Open-Source-Software sicher zu betreiben. Wenn diese aber nicht geschützt sind, können Angreifer sie in leistungsstarke Cyberwaffen verwandeln. Code Signing-Zertifikate waren der Hauptgrund, warum Stuxnet und ShadowHammer so erfolgreich waren.
Die Realität ist, dass jedes Unternehmen heute im Bereich der Softwareentwicklung tätig ist, von Banken über Einzelhändler bis hin zu Herstellern. Wenn Sie Code erstellen, Container bereitstellen oder in der Cloud laufen, müssen Sie sich ernsthaft mit der Sicherheit Ihrer Code Signing-Prozesse befassen, um Ihr Unternehmen zu schützen.
Die Venafi-Studie ergab, dass Sicherheitsexperten zwar die Risiken der Code-Signatur verstehen, aber keine geeigneten Maßnahmen ergreifen, um ihr Unternehmen vor Angriffen zu schützen. Zu den wichtigsten Ergebnissen gehören:
50 Prozent sind besorgt, dass Cyberkriminelle gefälschte oder gestohlene Code Signing-Zertifikate verwenden, um die Sicherheit ihrer Unternehmen zu verletzen.

  • Weltweit setzen nur 29 Prozent der Unternehmen Sicherheitsrichtlinien für Code Signing konsequent durch.  Dieses Problem ist in Europa viel akuter, nur 14 Prozent sind in der Lage, Code Signing durchzusetzen.
  • 35 Prozent haben keinen klaren Eigentümer für die privaten Schlüssel, die in den Code Signing-Prozessen in ihren Unternehmen verwendet werden.
  • Weltweit verlassen sich 43 Prozent der Unternehmen bei der Verwaltung privater Code Signing-Schlüssel auf die IT-Security-Abteilung. Inzwischen verlassen sich nur noch 19 Prozent auf Entwickler, um diese Aufgabe zu erfüllen. Im Gegensatz dazu, sind in 38 Prozent der europäischen Unternehmen die Entwickler dafür verantwortlich, während 27 Prozent erwarten, dass die IT-Security-Abteilung ihre private Code Signing-Schlüssel verwaltet.
  • 69 Prozent erwarten, dass der Einsatz von Code Signing im nächsten Jahr zunehmen wird.

Code Signing-Prozesse werden verwendet, um die Authentizität von Software-Updates für eine Vielzahl von Softwareprodukten zu sichern und sicherzustellen, einschließlich Firmware, Betriebssysteme, mobile Anwendungen und Anwendungscontainer-Images. Allerdings werden über 25 Millionen bösartige Binärdateien mit Code Signing-Zertifikaten aktiviert, und Cyberkriminelle missbrauchen diese Zertifikate bei ihren Angriffen. So haben Sicherheitsforscher kürzlich bösartige Akteure entdeckt, die Malware in Antivirenprogrammen verstecken, indem sie Uploads mit gültigen Code Signing-Zertifikaten signierten. (rhh)
Venafi