Das Information Security Forum (ISF, www.securityforum.org), eine Organisationen im Bereich IT- und Cybersicherheit sowie Risikomanagement, stellt in seiner Prognose für 2014 die für Unternehmen im Bereich Informationssicherheit wichtigsten Themen vor. Die größten Herausforderungen bergen die Nutzung privater mobiler Geräte am Arbeitsplatz, Datenschutz in der Cloud, verschiedene Gesetze und Regulierungen, Cyberkriminalität, Angriffe auf den Unternehmensruf sowie das sogenannte Internet der Dinge. Die Prognosen des ISF für das kommende Jahr basieren auf der Forschungsarbeit der Analysten der Organisation sowie den Erfahrungswerten der weltweit mehr als 300 Mitgliedsunternehmen. Unternehmen sollten die einzelnen Themen nicht unabhängig voneinander, sondern im Zusammenhang behandeln.
Die sechs größten Sicherheitsrisiken 2014
1. BYOD am Arbeitsplatz
Der nach wie vor zunehmende Trend hin zu Bring your own device (BYOD), und damit die Einbindung privater Smartphones oder Tablets in den Geschäftsablauf, wird Unternehmen auch 2014 vor eine der größten Herausforderungen im Bereich Informationssicherheit stellen. Zu den größten Risiken gehören dabei der nachlässige Umgang mit den Geräten durch die Anwender, die Ausnutzung von Software-Schwachstellen durch Angreifer sowie die fahrlässige Bereitstellung ungenügend getesteter und unzuverlässiger Applikationen. Damit keine Unternehmensinformationen ungeschützt auf privaten Geräten gespeichert werden beziehungsweise verloren gehen, benötigen Unternehmen deshalb 2014 mehr denn je eine funktionierende BYOD-Strategie. Des Weiteren werden im neuen Jahr auch mehr Unternehmen Konzepte wie »Bring your own Cloud« oder »Bring your own Software« prüfen und testen. Bei allen Vorteilen dürfen dabei unter keinen Umständen Sicherheitsaspekte vernachlässigt werden.
2. Datenschutz in der Cloud
Bereits 2013 war Cloud Computing eines der brennendsten Themen im Bereich Informationssicherheit. Das bleibt auch 2014 so. Ein besonderes Risiko stellt die Verlagerung personenbezogener Daten in die Cloud dar, da es für diese besonders strenge Schutzvorschriften gibt. Unternehmen müssen deshalb angemessene Vorkehrungen treffen, um Zwischenfälle und damit verbundene Sanktionen oder andere wirtschaftliche Auswirkungen zu vermeiden. Das gilt insbesondere für Unternehmen, die gleichzeitig in verschiedenen Ländern mit unterschiedlichen Datenschutzvorgaben tätig sind. Sie sollten mit ihren Cloud-Providern abklären, wo die Daten gespeichert und verarbeitet werden.
3. Gesetze, Richtlinien und Regulierungen
Unabhängig von der Cloud hat der Großteil der Regierungen in den wichtigsten Märkten zuletzt Bestimmungen erlassen oder in Arbeit, die den Schutz personenbezogener Daten regeln und Unternehmen sanktionieren, die diese nicht angemessen schützen. Unternehmen sollten Compliance und Datenschutz deshalb fest in ihre Risikomanagementstrategie integrieren, um Strafen beziehungsweise Image- oder Kundenverluste aufgrund von Datenschutzverletzungen oder -vorfällen zu vermeiden. Darüber hinaus gibt es insbesondere in der europäischen Union beziehungsweise einzelnen Mitgliedsstaaten Bestrebungen, die Erfassung, Speicherung und Verwendung von Informationen zu regulieren. Zum Teil beinhalten die Pläne erhebliche Strafen sowie eine Meldepflicht bei schwerwiegenden Zwischenfällen. Unternehmen sollten sich frühzeitig mit den Plänen auseinandersetzen, um gewappnet zu sein, wenn diese in Kraft treten.
4. Cyberkriminalität
In Zukunft wird der Cyberspace für Kriminelle, Aktivisten oder Terroristen noch interessanter, um an Geld zu gelangen, Aufmerksamkeit zu erregen oder Unternehmen und Regierungen zu schädigen. Vollständig lassen sich Angriffe und Zwischenfälle für Unternehmen nicht verhindern. Es gilt deshalb, rechtzeitig Vorkehrungen zu treffen, um die Widerstandsfähigkeit bei schwerwiegenden, unerwarteten Angriffen und Zwischenfällen sicherzustellen. Wichtig dabei ist, dass Unternehmen wissen, welche ihrer Informationen und Daten geschäftskritisch und für den reibungslosen Geschäftsablauf am wichtigsten sind. Diese müssen besonders geschützt werden.
5. Angriffe auf das Unternehmensimage
Stärker noch als in der Vergangenheit werden Cyberkriminelle und -aktivisten 2014 mit ihren Aktionen darauf abzielen, das Image von Unternehmen zu beschädigen, um sich dadurch Vorteile zu verschaffen. Die Komplexität und der rasante Wandel der Bedrohungslandschaft bergen zudem zahlreiche Fallstricke, die für Unternehmen schnell zu Sicherheitsvorfällen und damit verbundenen Imageschäden und finanziellen Einbußen führen können.
6. Das Internet der Dinge
Unternehmen sind mittlerweile fast vollständig von Internet und Technologie abhängig. Zunehmend werden auch Gegenstände und Objekte an das Netz angebunden. Das bietet Unternehmen einerseits eine Vielzahl neuer Möglichkeiten zur IT-Automatisierung, Datensammlung oder zur Erstellung von Prognosen. Andererseits birgt das Internet der Dinge jedoch auch eine Vielzahl neuer Sicherheitsrisiken und Angriffsmöglichkeiten. Für das kommende Jahr ist damit zu rechnen, dass Cyberkriminelle und -aktivisten ihren Fokus verstärkt auf das Internet der Dinge lenken.
»Unsere Prognose hilft Unternehmen bei der Einschätzung der eigenen Bedrohungs- und Sicherheitslage. Daneben müssen sie sich aber vor allem auf bislang noch unvorhersehbare Bedrohungen und Risiken einstellen. Angriffe und Zwischenfälle lassen sich dabei nie vollkommen vermeiden. Es geht für Unternehmen deshalb darum, möglichst widerstandsfähig zu sein, um unberechenbare Ereignisse ohne schwerwiegende Auswirkungen auf den Geschäftsbetrieb bewältigen zu können«, sagt Steve Durbin, Global Vice President des ISF. »Im kommenden Jahr werden wir zudem eine weitere Professionalisierung im Bereich Cybercrime beobachten können. Das ISF rät Unternehmen deshalb dringend dazu, sowohl Bedrohungsszenarien als auch Änderungen bei den gesetzlichen Rahmenbedingungen bei Datenschutz und Informationssicherheit genau im Blick zu behalten und zu analysieren. Hierbei sollten sie jeweils die tatsächlichen Auswirkungen auf ihren Geschäftsbetrieb prüfen und darauf abgestimmte Vorkehrungen treffen.«
Weiterer Ausblick: ISF Threat Horizon
Über die aktuelle Prognose hinaus stellt das ISF mit seiner Berichtserie »Threat Horizon« Verantwortlichen und Sicherheitsexperten in Unternehmen ausführliche Informationen und Handlungsanweisungen zu kommenden Sicherheitsthemen und -risiken zur Verfügung. Die jährlich erscheinenden Reports behandeln aktuelle und zukünftige Herausforderungen und Bedrohungen. Außerdem unterstützen sie Unternehmen dabei, wirksame Strategien zu implementieren und aktiv mit Sicherheitsbedrohungen umzugehen. Der »Threat Horizon 2016« erscheint voraussichtlich im ersten Quartal 2014.