BLOG

Neue Studie enthüllt, was die Implementierung von TLS 1.3 vorantreibt – und einschränkt

Rachael Shah Miniatur
Rachael Shah
Veröffentlicht am 18. November 2022

Vor vier Jahren heiratete Meghan Markle Prinz Harry. In der Zwischenzeit meldete Sears Insolvenz an und die Welt wurde mit einem seltenen, extrem blauen Blutmond beschenkt. Auch Toys „R“ Us schloss alle seine Geschäfte und Apple erreichte als erstes börsennotiertes US-Unternehmen einen Wert von einer Billion Dollar.

Vergessen wir nicht, dass 2018 auch die Genehmigung von TLS 1.3 durch die Internet Engineering Task Force (IETF) stattfand.

Seitdem hatten Organisationen ausreichend Zeit, die Vorteile und Herausforderungen der Einführung von TLS 1.3 zu bewerten, der neuesten Version eines der am weitesten verbreiteten kryptografischen Protokolle, das Datensicherheit und Datenschutz im Internet ermöglicht.

Um zu verstehen, warum Unternehmen TLS 1.3 implementiert haben – oder warum (noch) nicht –, hat Enterprise Management Associates (EMA) den Forschungsbericht „TLS 1.3’s Fourth Anniversary: Was haben wir über Implementierung und Netzwerküberwachung gelernt?“

Die von F5 gesponserte EMA-Studie umfasst Meinungen von Technologie- und Unternehmensführern in Nordamerika aus Branchen wie Technologiedienstleistungen, Finanzen und Gesundheitswesen. Die Teilnehmer beleuchten, wie Unternehmen Informationssicherheit und Compliance-Prioritäten priorisieren, ganz zu schweigen davon, wie Vorschriften zur Datensicherheit und zum Datenschutz die Ausrichtung der Sicherheitsprioritäten beeinflusst haben.

Hier sind drei Schlussfolgerungen aus dem Bericht:

1.       Regulierungs- und Lieferantenkontrollen, verbesserte Datensicherheit und Remote-Arbeit fördern die Einführung

Datensicherheits- und Datenschutzstandards standen für Unternehmens- und Technologieführer in den letzten Jahren im Vordergrund. Daher überrascht es nicht, dass die Studienteilnehmer verbesserte Datensicherheit und Datenschutz als Hauptgründe für die Implementierung von TLS 1.3 angaben. Tatsächlich gaben 85 % der Befragten an, dass die Datensicherheit der größte Vorteil ihrer TLS 1.3-Implementierung sei.

Darüber hinaus trugen bei der Einführung von TLS 1.3 auch der Trend zu (anhaltend) Remote-Arbeit sowie die Notwendigkeit zum sicheren Umgang mit sensiblen Daten und geistigem Eigentum des Unternehmens zur Anpassung der Unternehmen an die COVID-19-Pandemie bei. Wie Abbildung 1 zeigt, verwenden 76 % der Befragten TLS 1.3 für den Geschäftsverkehr von Remote-Mitarbeitern.

Abbildung 1: Befragte Organisationen, die TLS 1.3 implementiert haben, antworteten, ob der Geschäftsverkehr für Mitarbeiter, die remote arbeiten, mit TLS 1.3 verschlüsselt ist.

2.       Sichtbarkeit und Überwachung sind die größten Hindernisse

Trotz Hersteller- und Regulierungskontrollen wie HIPAA und der Datenschutz-Grundverordnung (DSGVO) der EU fällt es Unternehmen schwer, mit TLS 1.3 voranzukommen, da sie Auswirkungen auf die Sicherheit und die Überwachungspläne in ihrer Umgebung zu erwarten haben (siehe Abbildung 2). Darüber hinaus ist es wirklich kein Geheimnis, dass diese Art der Integration eine Herausforderung sein kann. Anstatt sich also zu verpflichten, gewinnen viele Unternehmen Zeit, um einen Migrationsplan auszuarbeiten und Übergangslösungen zu prüfen, die einfacher und weniger aufdringlich zu implementieren sind als TLS 1.3.

Auch der Verlust der Sichtbarkeit gibt 96% der Umfrageteilnehmer Anlass zum Nachdenken. Immerhin waren 44 % der Befragten, die TLS 1.3 implementiert hatten, gezwungen, ihre Implementierung rückgängig zu machen, weil sie keine Transparenz mehr über den Datenverkehr hatten, und über ein Viertel der Befragten glaubt, dass es aufgrund der fehlenden Transparenz über den Datenverkehr beim Protokoll zu einer Sicherheitsverletzung gekommen sein könnte.

Abbildung 2: Befragte Organisationen, die TLS 1.3 nicht implementiert haben, bewerteten potenzielle Probleme bei der Bereitstellung von TLS 1.3 als relevant für ihre Organisation.

3.       Die Ressourcen- und Implementierungskosten sind erheblich

Wie aus Abbildung 3 hervorgeht, waren bei 87 Prozent der befragten Organisationen, die TLS 1.3 implementiert haben, gewisse Änderungen an der Infrastruktur erforderlich, um die Integration zu ermöglichen. Die Aktualisierung einer Netzwerktopologie ist für viele sicherlich eine bittere Pille. Es ist zeitintensiv und kostspielig. Der Abzug von Ressourcen zur Umsetzung eines Projekts dieser Größenordnung lässt sich angesichts der begrenzten Personalressourcen des ohnehin schon überlasteten Sicherheitspersonals und des wahrgenommenen Geschäftswerts im Vergleich zu konkurrierenden Unternehmensanforderungen (81 %) nur schwer rechtfertigen.

Abbildung 3: Die befragten Organisationen, die TLS 1.3 implementiert haben, beurteilten, ob die Aktivierung von TLS 1.3 eine Änderung ihrer Netzwerk-/Sicherheitsarchitektur erforderte

Auch wenn verschiedene Variablen die Einführung von TLS 1.3 weiterhin beeinflussen werden, ist eines sicher: TLS wird als empfohlenes Datenschutzprotokoll bleiben.

Und da mittlerweile fast 90 % des gesamten Internetverkehrs verschlüsselt sind und diese Zahl weiter steigt, kann Ihnen das, was Sie nicht sehen, schaden. Cyberkriminelle nutzen ständig verschlüsselten Datenverkehr aus, um bösartige Nutzdaten zu verbergen, unabhängig von der TLS-Version. Wenn Sie es nicht überprüfen, machen Sie Ihr Unternehmen angreifbar.

Lesen Sie im vollständigen EMA-Bericht mehr darüber, was Technologie- und Unternehmensführer über die Implementierung von TLS 1.3 sagen, und erfahren Sie, warum die Sichtbarkeit und Orchestrierung von SSL/TLS-verschlüsseltem Datenverkehr – insbesondere von ein- und ausgehendem Datenverkehr, der mit TLS 1.3 verschlüsselt ist – heute so wichtig ist.