Cyber-Security-Trends 2016: mehr Angriffe, neue Ziele und Angriffswege

Neun Trends zu Cyber-Bedrohungen und neuen Technologien – Incident-Response-Strategie und Industrial Control System (ICS) Security so wichtig wie nie – steigende Nachfrage nach Managed Security Services (MSS) und Cyber Threat Intelligence.

foto cc0 tore cyber crime

Wie werden neue Technologien und die sich verschärfenden Cyber-Bedrohungen Wirtschaft und Öffentliche Hand 2016 beeinflussen? Welche Konsequenzen resultieren daraus für IT-Security-Entscheider? Damit haben sich führende Security Analysten und Consultants von TÜV Rheinland in Deutschland sowie in Großbritannien und den USA befasst.

Die Kurzzusammenfassung: 2016 wird es mehr Angriffe und neue Ziele geben. Die Qualität durch komplexe Attacken seitens bestens ausgerüsteter, top-qualifizierter Angreifer wird weiter steigen. Unabhängig von ihrer Größe gibt es für keine Organisation 100-prozentige Sicherheit. »Umso wichtiger wird es, neben allen relevanten Schutzmaßnahmen den Betrieb trotz eines Angriffs aufrechtzuerhalten oder nach einer Attacke so schnell wie möglich wieder aufzunehmen. Das setzt aber voraus, dass man mit solchen Angriffen rechnet und solide Security-Incident-Response-Prozesse etabliert hat«, so Olaf Siemens, Executive Vice President ICT & Business Solutions bei TÜV Rheinland.

Die gute Nachricht: Nach einem Schwerpunkt auf Compliance in den vergangenen Jahren stehen für Organisationen zunehmend Informationssicherheit und Risikomanagement im Fokus, insbesondere auf der Ebene des Top-Managements. Im kommenden Jahr ist es für IT-Security-Entscheider wichtig, folgende Trends in Betracht zu ziehen:

  1. Cyber-Kriminalität wird einfacher und lukrativer.
    2. Die Vernetzung der Dinge bringt weitere Angriffsvektoren hervor.
    3. Die Cloud sorgt für neue Betriebsmodelle.
    4. Informationssicherheit geht weit über klassische Compliance hinaus.
    5. Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion.
    6. Incident Response wird zum Daily Business.
    7. Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch.
    8. Industrial Control System (ICS) Security wird wichtiger denn je.
    9. Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt.

 

1. Cyber-Kriminalität wird einfacher und lukrativer.

Das ist ein bedauerlicher Trend, dem man nur begegnen kann, indem man ihn erkennt und sich aktiv davor schützt. Die Industrialisierung und Professionalisierung schreitet voran – leicht zu beschaffende Cyber-Crime-Toolkits werden mehr und mehr zu einem »Produkt« mit After Sales Support, während Fähigkeiten wie die Durchführung von »Distributed Denial of Service« (DDoS) als »günstige« Cloud Services zu haben sind. Die zunehmende Digitalisierung von Wirtschaft und Öffentlicher Hand macht Cyber Crime immer lukrativer und den Einsatz der neuesten APT-Methoden (Advanced Persistent Threats) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Hidden Champions im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziel von Cyber-Angriffen zu werden.

2. Die Vernetzung der Dinge bringt weitere Angriffsvektoren hervor.

Die Attacken der jüngsten Vergangenheit auf vernetzte Car-IT, vernetzte Medizin-Geräte sowie vernetzte kritische Infrastrukturen und Industrieanlagen (Industrie 4.0) sind erst die Spitze des Eisbergs. Nicht nur bis dahin als sicher angenommene technologische Ökosysteme werden sich als verwundbar herausstellen. Die Entwicklung neuer vernetzter Produkte und das Internet der Dinge erweisen sich in Bezug auf mögliche Schwachstellen als regelrechte Fundgrube für Angreifer, insbesondere mit Blick auf nicht abgesicherte Endgeräte, die eine »Brückenfunktion« zwischen dem Internet der Dinge und Backend-Systemen übernehmen.

Noch legen Produkt-Hersteller bei der Entwicklung mehr Wert auf Features statt auf Sicherheit. Auf Seiten der Anwender wachsen allerdings das Verständnis und die Sensibilität für die Bedeutung von Cyber Security. Um Innovationen nachhaltig durchzusetzen, wird Security by Design zu einem kritischen Erfolgsfaktor.

Fraglich ist, wann Hersteller entschlossen die Initiative ergreifen, ihre vernetzten IoT-Produkte und Infrastrukturen besser gegen Cyber-Angriffe abzusichern. Neben wirtschaftlichen Verlusten und Reputationsschäden könnte es ein Motivationsfaktor sein, dass Anwender Cyber Security bei vernetzten Geräten nicht nur stärker einfordern, sondern auch bereit sind, dafür zu zahlen, sodass nicht erst eine größere Attacke den entscheidenden Impuls dazu gibt, dass die Industrie hier aktiv wird.

3. Die Cloud sorgt für neue Betriebsmodelle.

Unternehmen und Öffentliche Hand setzen ihre Migration in die Cloud fort, die Managed Private Cloud ist dabei weiterhin stark auf dem Vormarsch. Vorteile in Bezug auf Agilität und Kosten überwiegen zunehmend die angenommenen Risiken. Der Weg in die Cloud entbindet Organisationen nicht von ihrer Verantwortung, die Geschäfts- und Kundendaten entsprechend abzusichern. Gerade, weil sich Betriebsmodelle ändern, wird es darum gehen müssen, zu definieren, welche Aufgaben und Verantwortlichkeiten die Organisation und welche der Cloud Service Provider übernimmt und wie Risiken zu managen sind. Die Betriebsverantwortung für das Sicherheitskonzept wird teilweise weiterhin beim Cloud-nutzenden Unternehmen bleiben. Dies betrifft z.B. Incident-Response-Strukturen und -Maßnahmen und macht den Schutz von Identity und Access Management zum einem weiteren Perimeter der Organisation. Es wird immer wichtiger zu verstehen, wie ein Cloud-nutzendes Unternehmen Sicherheitsereignisse erkennen und behandeln kann und wie Incident Response auch zu einem elementaren Teil der Cloud-Strategie wird. Ein Teil der Antwort liegt in der Verschlüsselung der Daten, bevor diese in die Cloud wandern und darin, dass die verantwortliche Organisation die Keys verwaltet und nicht der Cloud Provider. Darüber hinaus ist eine tragfähige IT-Governance erforderlich, die sicherstellt, dass die IT die Business-Strategie und Geschäftsprozesse auch während der Übergangsphase weiterhin reibungslos unterstützt.

4. Informationssicherheit geht über klassische Compliance hinaus.

Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, verlassen Organisationen verstärkt ihre auf Compliance fokussierte Perspektive und nehmen einen stärker risikobasierten Standpunkt ein. Ein risikobasierter Ansatz schärft die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen. Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden. Dies gilt auch und vor allem in den Bereichen Medizin und Gesundheitsvorsorge.

Auch die Steuerung von Daten (Data Governance), Datenschutz und Zustimmungsmodellen (consent models) wird zunehmend relevanter, um Integrität, Vertraulichkeit und Sicherheit von Daten zu gewährleisten. Die Implementierung risikobasierter Verfahren für ein besseres Verständnis von Datenfluss und -steuerung wird eine wesentliche Grundlage für Unternehmenswachstum in der Digital Economy sein.

Das richtige Management von IT-Risiken wird für die Sicherheit der gesamten Organisation immer wichtiger. Risikomanagement, Business-Continuity-Management sowie Unternehmensarchitektur werden weiter miteinander verzahnt.

5. Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion.

Bislang gültige Normen der Cyber-Security-Welt sollten an die aktuelle Bedrohungslage angepasst werden. Regierungen müssen sich künftig wegen Cyber-Strategien, die sie zur Verteidigung ihres Landes einsetzen, noch mehr verantworten. Die EU arbeitet verstärkt an der Reform ihrer Datenschutzgesetzgebung sowie am Schutz von Daten, die das Gebiet der EU verlassen. Daneben wird es vermutlich einen Ersatz für die außer Kraft gesetzte Safe-Harbor-Regelung geben.

In Deutschland werden die Anforderungen an Datenschutz und Datensicherheit für Betreiber Kritischer Infrastrukturen weiter konkretisiert. Für das Frühjahr 2016 sind detaillierte Rechtsverordnungen in den Bereichen Ernährung, Wasser, Energie und ICT angekündigt, Ende 2016 sind Branchenbeobachtern zufolge Verordnungen für die Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen sowie Staat und Verwaltung zu erwarten. Die konkreten Auflagen in Bezug auf Meldepflicht und den Nachweis zur Implementierung angemessener Standards der Informationssicherheit führen zu einem verstärkten Beratungsbedarf kleiner und mittelständischer Unternehmen.

6. Incident Response wird zum Daily Business.

Traditionelle Ansätze der Informationssicherheit sind da nicht mehr wirksam, wo Cyber-Angreifer Methoden wie Zero Day Exploits und APTs nutzen. Signaturbasierte Antivirus-Lösungen haben nach wie vor ihre Berechtigung, zählen aber inzwischen lediglich zu grundlegenden Faktoren der IT-Security-Hygiene.

In Zukunft wird es wichtiger sein, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen. Das frühzeitige Aufspüren gezielter komplexer Angriffe erfordert das Erfassen und die Analyse großer Datenmengen, – z.B. in Form von Logs oder Pcap‘s (packet captures – API zum Mitschneiden von Netzwerkverkehr). Das bedarf Experten-Know-hows, professioneller neuer Tools und einer beständigen Anpassung an Technologie-Trends im Bereich Mobile, Cloud und Internet der Dinge, denn der Datenstrom wird so noch exponentiell wachsen. Unternehmen benötigen mehr denn je leistungsfähige Incident-Response-Strukturen.

7. Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch.

Die komplexe Bedrohungslage stellt die Mehrheit der IT-Security-Teams heute vor große Herausforderungen. Was vielfach fehlt, sind qualifiziertes Personal und Technologien, um die risikobasierten Maßnahmen, die für den Schutz ihrer Organisation erforderlich wären, zu managen. Allerdings: Es wird immer schwieriger, geeignete IT-Security-Experten zu finden. Andererseits scheuen viele Unternehmen langfristige Investitionen in kostenintensive Monitoring- und Analyse-Tools, um gezielte komplexe Angriffe abzuwehren.

Eine wirtschaftlich attraktive Alternative, um Engpässe in punkto Personal und Technologie zu umgehen, sind Managed Security Services (MSS), die es mittlerweile in allen relevanten Bereichen der Informationssicherheit gibt. MSS erlauben einen bedarfsorientierten und skalierbaren Abruf topaktuellen Know-hows, von Experten-Support für eine zeitnahe Problemlösung und den Einsatz innovativer Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt.

8. Industrial Control System (ICS) Security wird wichtiger denn je.

Im Zusammenhang mit Industrie 4.0 gewinnt Industrial Control System (ICS) Security eine völlig neue Relevanz. Bisher sind in Industrienetzwerken vielfach zu wenig Sicherheitsmechanismen implementiert – was ein vergleichsweise einfaches Eindringen der Angreifer ermöglicht. Die verwendeten Protokolle in Industrienetzwerken sind zwar robust, aber häufig nicht sicher. Zusätzlich verschwinden immer mehr nicht routingfähige Protokolle vom Markt und werden durch routingfähige ersetzt. Dies ermöglicht Angreifern ein ungehindertes Fortbewegen im Netzwerk. Dies wird noch dadurch erleichtert, dass es kaum Grenzen zwischen den Zonen gibt und Kontrollmechanismen im Perimeter vielfach nicht vorhanden sind. Im Rahmen von M2M-Kommunikation, wachsender Vernetzung und einer zunehmenden Aufweichung der Perimeter-Sicherheit von Organisationen wird es immer wichtiger, dass Unternehmen verstehen lernen, wie Office-IT und Produktions-IT sowie die IT im Kontext von Industrie 4.0 und der konventionellen Produktion bei der Abwehr von Angriffen zusammenarbeiten sollten. Hier geht es um ein tieferes Verständnis erforderlicher Prozesse und Technologien zu Prävention, Detektion und Abwehr von Angriffen und wie »Incident Response« auch und gerade im Bereich der Produktions-IT funktionieren sollte.

9. Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt.

Cyber Threat Intelligence (CTI) als Teildisziplin proaktiver Informationssicherheit gewinnt immer mehr an Relevanz. Denn angesichts der dynamischen Bedrohungslage wird es für Organisationen immer wichtiger, aufkommende methodische und technologische Trends so früh wie möglich zu identifizieren und auf ihre Kritikalität zu analysieren. Wesentlich ist auch, die eigenen Abwehrfähigkeiten regelmäßig auf neue Bedrohungen zu überprüfen. Weil Organisationen intern häufig nicht über das Know-how verfügen, werden zunehmend externe Spezialisten für Cyber Threat Intelligence (CTI) zu Rate gezogen. Diese verfügen über fundierte Kenntnisse in den Bereichen Open Source Intelligence, Social Media Intelligence, Human Intelligence, kennen sich mit gängigen Mitteln und Motiven aus und konzentrieren sich vor allem auf die Bereiche Cyber-Crime, Cyber-Aktivismus und Cyber-Spionage.

Weitere Informationen unter www.tuv.com/informationssicherheit

Weitere Artikel zu