Wirtschaft, Technologie und Rechtsprechung: Ausblick auf die Cybersicherheit 2016

foto cc0 helm

Sechs zentrale Entwicklungen rund um die IT-Sicherheit aus wirtschaftlicher, technologischer und rechtlicher Sicht beleuchtet Greg Day, Chief Security Officer, in einer aktuellen Analyse zum Jahreswechsel.

1) Wahrnehmung der Sicherheit in der EU neu gestalten

Die Richtlinie zur Netz- und Informationssicherheit und die Reform der Datenschutz-Grundverordnung in der EU werden wesentliche Auswirkungen auf Cyberstrategien im Jahr 2016 haben. Vermutlich bis Ende des Jahres könnten beide kurz davor stehen, in Kraft zu treten. Unternehmen, egal ob Teil der kritischen nationalen Infrastruktur oder diejenigen, die Datensätze von mehr als 5.000 EU-Bürgern handhaben, müssen ihre Sicherheitsfunktionen auf den aktuellen Stand der Technik bringen, wobei die letztgenannte Verordnung nach ihrem Risikoprofil ausgerichtet wird.

Heute gibt es eine klare Kluft zwischen den Unternehmen, die neueste Technik nutzen, und denjenigen, die die gleichen alten Praktiken wie schon seit vielen Jahren weiter verfolgen. Mittels potenzieller Prüfungen der Funktionen, wenn Ereignisse auftreten, und einer möglichen Benachrichtigung wird es mehr Druck geben, um Schritt zu halten und Sicherheitsvorfälle zu verhindern. All dies wird die Bedeutung einer guten Internetsicherheit in der Vorstandsetage verstärken. 2016 wird das Jahr sein, in dem die Unternehmen die Umstellung, soweit erforderlich, durchführen.

2) Da Apple Pay und Google Pay sowie berührungsloses Zahlen per Smartphone zulegen, wird es eine Verschiebung der Cyberkriminalität in Richtung Smartphone geben.

In den späten 1990er Jahren explodierten die Bedrohungsvolumina, als sich Kriminelle zunehmend ins Online-Banking- und -Shopping einhackten. Nun wird die Art, wie wir Geld ausgeben, die größte Umwandlung seit Jahrzehnten vollziehen – mit mobilen Bezahlplattformen (mit Nutzerzahlen im zweistelligen Prozentbereich, das entspricht Millionen von Transaktionen), Venmo-Geldtransfers zwischen Freunden und eWallets, die zum Mainstream avancieren. Unternehmen wie Braintree ermöglichen es Millionen von Geschäften, Zahlungen über diese neuen Technologien abzuwickeln. Es ist zu erwarten, dass die Internetkriminalität in großem Stil diesen Geldströmen folgen wird.

In den letzten Monaten wurden neue Exploits in Apple iOS entdeckt, parallel zu den zunehmenden Angriffen auf Android. Gelten diese dem frühen Sondieren in die komplexe Lieferkette der Mobile-Payment-Systeme? Wie weit dies gehen in der Zukunft wird, ist noch nicht klar. Der Umfang intelligenter Geräte steigt aber weiter. Medien, Konnektivität und andere Dienste im Auto gewinnen an Bedeutung. Vor kurzem wurde bekannt, wie Angreifer in Fahrzeugsysteme eindringen. Da hier die Möglichkeiten wachsen, müssen wir mit mehr Aufmerksamkeit seitens der Computerkriminalität rechnen, die in der Regel monetäre Ziele verfolgt. Derzeit wird der Verhinderung von Vorfällen auf mobilen Geräten weniger Aufmerksamkeit geschenkt, aber das soll sich im Jahr 2016 ändern.

3) Europa, Lieferketten und Sicherheit

Während sich viele darauf konzentrieren, die Sicherheit auf den Stand der Technik zu bringen, bleiben sie abhängig von der Versorgungskette. Wir sind nur so stark wie unser schwächstes Glied und einige der größten Verstöße weltweit in den letzten zwölf Monaten haben dies hervorgehoben. In Europa ist Outsourcing zu komplexen internationalen Lieferketten gängig. Die Risiken, die diese Partnerschaften schaffen, werden neu bewertet werden, damit Unternehmen verhindern, dass sie die Schwachstelle sind, an der sich Angreifer Eingang verschaffen. Dies kann bedeuten, gemeinsam genutzte Ressourcen einzubeziehen, um das Risiko von ungesicherten Verbindungen und einer Erfassung der Kommunikation zu minimieren.

Auf nationalstaatlicher Ebene entsteht ein signifikantes Kontingent von kritischer nationaler Infrastruktur (CNI) aus öffentlich-privaten Partnerschaften. Viele Unternehmen sind besorgt über Angriffe auf nationale Einrichtungen. Typischerweise sind die Risiken und damit Sicherheitsinvestitionen für Unternehmen niedriger als bei kritischen Infrastrukturen. Wenn aber das Unternehmen Teil einer Lieferkette für eine solche CNI ist, herrscht Unklarheit darüber, wo die Grenzen liegen, welche zusätzlichen Funktionen benötigt werden und wie diese finanziert werden sollen. Angriffe auf Nationalstaaten nehmen zu, was eine zunehmende Konzentration auf dieses komplexe und anspruchsvolle Thema erwarten lässt.

4) Die neue Rolle des CSO

Bislang hat der CSO an den CIO berichtet, als Sicherheit noch als eine Komponente der IT betrachtet wurde. Doch das ändert sich zusehends aus einer Reihe von Gründen, wie im jüngsten Bericht »Governance of Cybersecurity 2015« von Palo Alto Networks hervorgehoben wird. Europa ist hierbei die einzige Region mit einer beträchtlichen Veränderung bei der CISO/CSO-Berichterstattung an den CIO – von 50 Prozent im Jahr 2012 auf 33 Prozent im Jahr 2015.

Das Thema Cybersicherheit erreicht zunehmend die Vorstandsetage, was die Investitionen und das Engagement fördert. Der CSO verlagert sich von der IT- zur Geschäftsrisiko-Ebene. CSOs berichten immer häufiger entweder an den Aufsichtsrat (Einbindung in die rechtlichen Konsequenzen bei Sicherheitsvorfällen), den Finanzvorstand (aufgrund der geschäftlichen Auswirkungen) oder direkt an den CEO (aufgrund der Bedeutung für das Gesamtgeschäft). Diese Rolle entfernt sich zunehmend vom CIO, dessen Hauptaufgabe es ist, dafür zu sorgen, dass die IT das operative Geschäft effektiv unterstützt. Eine gesunde Spannung zwischen den beiden Anforderungen ermöglicht es neue Geschäftsmöglichkeiten zu erschließen, ohne dass dies auf Kosten der Sicherheit geht. Solange der CSO an den CIO berichtet, besteht die Sorge, dass sich Interessenkonflikte darauf auswirken könnten, ausgewogene Entscheidungen zu treffen.

5) Traditionelle Business-Netzwerke schrumpfen

Bis Ende 2015 wird es drei Mal so viele IP-fähige aktive Geräte geben wie Menschen. Über ein Zettabyte Daten queren dann die globalen Netzwerke, das sind 90 Prozent der Daten, die in den letzten zwei Jahren weltweit generiert wurden. Unternehmen sind nicht mehr in der Lage, die Kosten für den Aufbau großer, komplexer Netzwerke zu rechtfertigen und versuchen zunehmend ihre IT-Systeme auszulagern, in die Cloud zu verlagern oder durch Consumer-Technologie zu ersetzen. Unternehmensnetzwerke schrumpfen zu rudimentären Kernnetzen.

Business-Tools wie beispielsweise CRM, E-Mail und File-Sharing wandern in die Cloud. In seinem jüngsten »Application Usage und Threat Report« nennt Palo Alto Networks ein Wachstum von 46 Prozent bei der Nutzung von SaaS-Ressourcen in Unternehmen – allein im letzten Jahr. Hinzu kommt die wachsende Akzeptanz für das Internet der Dinge, Geräte wie Machine-to-Machine (M2M) am Arbeitsplatz und die steigende Nachfrage nach Wearables. Es ist nicht mehr überraschend festzustellen, dass die IT, wie wir sie bislang kannten, im Wandel begriffen ist.

Während dies geschieht, gibt es eine neue Lernkurve in Sachen Cybersicherheit: Wie sind Best Practices für Schatten-IT-Systeme zu definieren? Konzepte wie Transparenz und Richtlinienkontrolle bis hin zur Erfüllung regulatorischer Anforderungen machen modernste Funktionen erforderlich. Diese müssen in komplexen, standortübergreifenden und mehrfach vernetzten Umgebungen funktionieren. Bei BYOD gab es zunächst Unsicherheit, dann eine Verschiebung hin zu einem Modell mit erheblichen Vorteilen, dass sich die Dynamik zunutze macht. Trotz ähnlicher Bedenken gegenüber der Umstellung auf die Cloud und das Internet der Dinge bewegt sich Europa in Richtung transformativer IT und digitaler Geschäftseinheiten. 2016 werden Unternehmen damit beginnen, diese Herausforderungen anzugehen, egal ob es um einfache Wearable-Geräte, intelligente Business-Tools oder Shared-Cloud-Ressourcen geht.

6) Die Grenzen von Angriffen verwischen

In den letzten Jahren hat es eine deutliche Fokussierung auf APTs und nationalstaatlicher Angriffe gegeben, deren Auswirkungen oft erheblich waren, doch die Grenzen verschwimmen. Viele regelmäßige Angriffe setzen nun auf fortschrittlichere Konzepte wie den Einsatz mehrerer Komponenten, um eine Erkennung zu vermeiden sowie die Fokussierung auf mehr implizite Ziele. Die Cyberkriminalität nutzt Old-School-Techniken wie EXE-Infektionen und Makros. Betrüger setzen aber auch Aufklärungstechniken ein und kommerzielle Internetkriminelle suchen nach neuen innovativen Techniken und noch nicht entdeckten Schwachstellen. Wir müssen daher aufhören, Angriffe in Kategorien einzuteilen und uns stattdessen auf die Methoden und Beweggründe der Angreifer konzentrieren. Die Auswirkungen eines gezielten Angriffs durch Cyberkriminelle können so groß wie bei einem gezielten nationalstaatlichen Angriff sein.

Wir können unterschiedliche Lösungen nutzen, um verschiedene Arten von Angriffen zu erkennen. Da die Grenzen verwischen, gibt es einen größeren Bedarf dafür, dass diese Lösungen als eine Einheit funktionieren. Angriffe sollten nicht nach Typ (APT > APT-Lösung, Cyberkriminalität – AV-Lösung, Whaling und Phishing > Gateway-Content-Filter) identifiziert werden, sondern durch die Möglichkeit, die erforderlichen Attribute/Indikatoren eines Angriffs miteinander zu verbinden, zu korrelieren, sie genau zu erkennen und dann aufzuhalten.

Greg Day, Regional Chief Security Officer EMEA bei Palo Alto Networks

foto autor greg day palo alto networks