Blick in die Sicherheits-Kristallkugel für 2019

Illustration: Absmeier, Alexa_Fotos, Lumapoche

 

  • Der Schutz von Kundendaten sollte an oberster Stelle stehen. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort.
  • Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu vorzubereiten.
  • 2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden.
  • Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden.
  • Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem.
  • Das Zurückschrecken vor der Diversitätsdebatte ist vorbei.
  • Sicherheitsexperten werden auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden.

 

Sicherheit im Handel 2019: Bequemlichkeit = Risiko

Kunden werden was ihr ganz persönliches Einkaufserlebnis anbelangt immer anspruchsvoller. Händler tun folglich alles, um für die bevorstehende Feiertagssaison sämtliche Möglichkeiten auszureizen. Ladenlokale werden digitaler und vernetzter sein als je zuvor und Online-Shoppern wird ein Einkaufserlebnis geboten, das dem des stationären Handels vergleichbar ist. Das ist auf den ersten Blick erfreulich. Allerdings hat diese Entwicklung einige unerwünschte Nebenwirkungen in puncto Sicherheit.

Händler setzen sich neuen Sicherheitsrisiken aus, zumal wenn wir über die Weihnachtszeit hinaus bis ins folgende Jahr 2019 weiterdenken. Technologien, die Komfort versprechen und bequem sind, setzen Verbraucher und Händler gleichermaßen erhöhten Risiken aus. Dessen sollte sich die Branche bewusst sein.

Die Hälfte der im Rahmen einer Retail-Studie befragten Unternehmen meldete im vergangenen Jahr eine Datenschutzverletzung [1]. Es liegt auf der Hand, dass das Weihnachtsgeschäft für Cyberkriminelle die ideale Zeit ist, sowohl Händler als auch Verbraucher ins Visier zu nehmen. Händler sollten also sehr wachsam sein und nachverfolgen, wer sich warum mit ihrem Netzwerk verbindet – und aus welchen Motiven. Der Schutz von Kundendaten, wie beispielsweise Kreditkarten- und Zahlungsdaten, steht an oberster Stelle.

Informieren Sie sich 2019 so umfassend wie möglich über Händler, die zusätzliche Sicherheitsmaßnahmen einführen. Insbesondere was den Schutz von wichtigen Informationen von IoT-Geräten anbelangt. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Nur das gewährleistet einen wirklichen Schutz von Verbraucher- und Unternehmensdaten.

Dazu kommt, dass die nächste Händlergeneration langsam auch in bargeldlosen Umgebungen Fuß fasst. Schlange stehen entfällt und Zahlungen werden automatisch abgewickelt. Ein bargeldloser Marktplatz scheint die ideale Option für Kunden zu sein, die möglichst komfortabel einkaufen wollen. Allerdings gibt es eine Reihe von berechtigten Sicherheitsbedenken. Mehr Bequemlichkeit an der einen Stelle bringt fast immer ein höheres Sicherheitsrisiko an anderer Stelle mit sich.

Kunden, die sich beispielsweise mit einem zum Ladengeschäft komplementären WLAN verbinden, erhöhen die Wahrscheinlichkeit, dass Hacker im Netzwerk des Händlers Schaden anrichten.

Zu den Daten, die Händler üblicherweise speichern, zählen Trackingdaten zum Einkaufsverhalten ihrer Kunden. Damit sind unendlich viele personenbezogene Daten einem Risiko ausgesetzt. Händler müssen sich fragen, ob ein außergewöhnliches Shopping-Erlebnis wirklich eine Datenschutzverletzung wert ist. Oder, was noch wichtiger ist, ob zu diesem Shopping-Erlebnis nicht automatisch ein Höchstmaß an Datenschutz und Datensicherheit gehören sollte.

Vikram Ramesh, Head of Solutions, Thales eSecurity

[1] https://www.thalesesecurity.com/2018/data-threat-report-retail

 

Quanten-Computing schreibt die Regeln neu: Wie Unternehmen Post-Quantum-Algorithmen nutzen können

Der Fortschritt bei der Entwicklung von Quantenrechnern hat sich im Laufe der Jahre verändert. Einige Experten glauben schon nicht mehr an eine Umsetzung im großen Stil. Trotzdem sollte man die Möglichkeit eines plötzlichen Durchbruchs nicht völlig außer Acht lassen. Quantenrechner im großen Maßstab einzusetzen verspricht in einigen Bereichen wesentliche Fortschritte. Bestimmte schwierige Probleme lassen sich so viel einfacher lösen. Die NASA prüft beispielsweise derzeit, Quantenrechner bei der Analyse der riesigen Datenmengen, die sie über das Universum sammelt, einzusetzen sowie zur Erforschung besserer und sichererer Methoden der Raumfahrt [2].

Wenn man sich die Datenspeicherstruktur des Internets ansieht, erinnert sie ein wenig an alte Städte wie Rom oder Istanbul, bei denen moderne Strukturen auf die alten aufgesetzt werden. Ganz ähnlich verhält es sich mit aktuellen Internetspeicherstrukturen, die auf darunter liegende Schichten von veraltetem, nicht gepflegtem Code eingerichtet werden. Die Sucht der IT-Branche nach Neuheiten kann so zum Bumerang für den Datenschutz werden. Zum Beispiel weil diese vernachlässigten Codebereiche leicht zugänglich sind und von böswillig agierenden Experten ausgenutzt werden könnten. Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu konzentrieren.

2019 besteht die Chance noch rechtzeitig zu handeln und jetzt in Post-Quantum zu investieren.

  • Das aktuelle Quantum-Klima – Erst jetzt, nach Jahrzehnten allmählichen Fortschritts, stehen Forscher kurz vor dem Bau von Quantenrechnern, die leistungsfähig genug sind, um Dinge zu tun, zu denen herkömmliche Computer nicht in der Lage sind. Google hat bei diesen Bemühungen eine führende Rolle, aber auch IBM, Intel und Microsoft haben erhebliche Anstrengungen in diesem Bereich unternommen.
  • Der Schlüssel zum Entsperren der Kryptographie – Computernetzwerke sind nur deshalb sicher weil aktuelle Computer bestimmte mathematische Probleme nicht lösen können. Sobald Quantencomputer einsatzbereit sind, ändert sich das grundlegend und einige der derzeit bestehenden Schutzmaßnahmen sind wertlos.
  • Aktuelle Maßnahmen – Einige der gegenwärtigen Initiativen versuchen verschiedene quantenresistente Kryptografievorschläge frühzeitig an den Start zu bringen, sodass die Internet-Kryptographie nicht von Quantum-Fähigkeiten zunichtegemacht werden kann.
  • Maßnahmen ergreifen – Organisationen müssen auf kryptografisch agile Systeme hinarbeiten, sodass sie sobald es nötig wird diese Systeme umstellen. Diese müssen in der Lage sein, die derzeitig verwendeten Verschlüsselungsalgorithmen und Typen von Algorithmen im Falle einer auftretenden Schwachstelle auszutauschen.
[2] https://www.nextbigfuture.com/2018/11/google-and-nasa-run-classical-supercomputer-versus-quantum-chip-races.html

 

Blockchain: Eine Lösung, die immer noch nach einem Problem sucht?

Zwar sollen die Ausgaben für Blockchain bis 2022 weltweit fast 12 Milliarden US-Dollar betragen [3], aber es ist fraglich, ob die Technologie tatsächlich schon so weit ist.

2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden. Das ist sicherlich noch nicht der Gipfel was die Zahl der Implementierungen anbelangt. Von diesem Zeitpunkt sind wir nach wie vor Jahre entfernt. Der Technologie fehlen ausgereifte Funktionen, wie Benutzer- und Schlüsselverwaltung, die nötig sind, um den Trend der Enterprise-Blockchain in Schwung zu bringen.

Wenn es um Blockchain-Budgets geht, haben Führungskräfte entweder ein Problem, für dessen Lösung Blockchain notwendig ist, oder es gibt ein Blockchain-Budget, das quasi nach einem Problem sucht. Und genau das ist meistens der Fall.

  • Kaufen Sie nicht den Hype – Blockchains sind eine brillante Anwendung der Kryptografie für das Konzept eines verteilten, unveränderlichen Protokolls. Trotzdem sind Blockchains für die weitaus meisten Probleme über deren Lösung Unternehmen nachdenken völlig ungeeignet. Gerade was die Nachteile der Technologie anbelangt.
  • Blockchain ist kein riesiger, verteilter Computer – Es gibt keine Parallelschaltung, keine Synergien und keine gegenseitige Unterstützung. Es gibt nur eine sofortige millionenfache Vervielfältigung. Das ist das Gegenteil von effizient – und das ist entscheidend.
  • 2019 wird der Hype sich zerstreuen – Unternehmen werden Komplexität sowie die Art und Weise der Zusammenarbeit besser einschätzen können, die für die Integration von Enterprise-Blockchain-Anwendungen in den Geschäftsalltag nötig sind.
[3] https://www.coindesk.com/report-blockchain-spending-to-hit-nearly-12-billion-by-2022/

 

Wenn wir die Algorithmen verstehen wollen, die über unser Leben entscheiden, müssen wir mehr Forschungsarbeit leisten

Jeden Tag lesen wir etwas zum Potenzial von intelligenter werdenden Algorithmen. Wir trainieren sie, alle Arten von Entscheidungen zu treffen – von der Frage, was ein Auto an einer Kreuzung tun soll, bis zu der Frage, ob ein inhaftierter Krimineller eine Anhörung für seine vorzeitige Entlassung verdient.

Künstliche Intelligenz (KI) und maschinelles Lernen haben in letzter Zeit große technische Fortschritte gemacht. Laut einer Salesforce-Studie [4] werden bis 2020 rund 57 % der Geschäftskunden davon abhängig sein, dass Unternehmen wissen, was Kunden brauchen, bevor sie danach fragen. Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden. Allerdings sollte man nicht vergessen, dass jeder technologische Fortschritt auch eine Kehrseite hat. Und, dass es ganz sicher jemanden gibt, der diesen Fortschritt zu unlauteren Zwecken missbrauchen will und wird.

Auf der Jagd nach Autonomie und fortschrittlicheren Entscheidungen durch Maschinen ist Due Diligence von entscheidender Bedeutung. Sie erst gewährleistet, dass wir ausreichend in die Forschung investieren um Algorithmen und ihre Entscheidungsfindung besser zu verstehen.

Ohne dieses grundlegende Verständnis können weder die Industrie noch die Gesellschaft selbst absehen, wie ein Algorithmus auch untergraben werden kann. Soviel ist jedenfalls sicher: Wir werden den Tag erleben, an dem ein Algorithmus kompromittiert wird.

  • Wie man Algorithmen anwenden kann – Techniken und Methoden maschinellen Lernens sollen den Sicherheitsanalytiker nicht ersetzen, sie sollen mit ihm zusammenarbeiten und ihn entlasten.
  • Algorithmen auf beiden Seiten – Wir haben es bereits erlebt: Algorithmen sind in der Lage manuelle Vorgehensweisen zu ersetzen, wenn es gilt Systeme zu kompromittieren. Das werden wir 2019 noch häufiger sehen. Algorithmen lassen sich schließlich von beiden Seiten nutzen. Und maschinelles Lernen wird zweifelsohne dazu verwendet werden, Angriffe zu lancieren sowie dazu sie vorauszusehen und abzuwehren.
  • Der Faktor Mensch – Obwohl künstliche Intelligenz Vorteile für viele Aspekte des privaten und beruflichen Lebens bietet, gab und gibt es Bedenken hinsichtlich ihres zukünftigen Einsatzes in der Gesellschaft. Viele traditionelle berufliche Positionen wie Bankangestellte und Supermarktmitarbeiter sind bereits vielfach durch Maschinen ersetzt worden. Was die Arbeitslosenquoten anbelangt löst das begründete Besorgnis aus.

Duncan Jones, Head of Research bei Thales eSecurity

[4] https://www.salesforce.com/form/pdf/state-of-the-connected-customer.jsp

 

Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem

Im Jahr 2019 werden die Themen »mangelnde Qualifikation« und »Fachkräftemangel« in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen.

Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

 

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei

Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

 

Sicherheit auf die Agenda

Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: »Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?« Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des Jahres 2019 mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2 % des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4 % – die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt.

Bridget Kenyon, Global CISO, Thales eSecurity

 


 

Threats Predictions: Diese Cyber-Sicherheitstrends erwarten uns in 2019

Sicherheitsprognose für 2019: Bedrohungsakteure operieren verstärkt im Verborgenen

Sicherheitsprognosen für 2019

Trends 2019 in der Fertigungsindustrie: Sicherheit und höhere Service Levels

Cybersecurity-Landschaft in 2019

Cyberbedrohungslandschaft – IT-Sicherheit braucht eine europäische Lösung