Cybersicherheit in 2022 und 2023 – Bournout-Krise bei Sicherheitsanalysten

Illustration: Absmeier Congerdesign

Der Beginn eines neuen Jahres bringt eine unwiderstehliche Versuchung mit sich: vorherzusagen, was im Bereich der Cyber Security auf uns zukommen wird. Obwohl jedes Jahr unerwartete Entwicklungen mit sich bringt und auch das Jahr 2022 keine Ausnahme darstellte, wirft Andreas Riepen von Vectra AI, einen weiteren Blick in die Kristallkugel.

 

Klar ist: Aussagekräftige Vorhersagen zu machen, stellt ein Risiko dar. Es fällt zum Beispiel leicht zu verkünden, dass es Ransomware immer noch geben wird oder dass wir immer noch Schwierigkeiten haben werden, Arbeitsplätze im Bereich der Cyber Security zu besetzen. Aber das ist nicht alles.

 

Das Jahr 2022 im Rückblick

Hier ein kurzer Blick von Andreas Riepen auf 2022:

 

  • Zunehmenden Druck auf die Cloud-Sicherheit. Wir haben gesehen, wie Angreifer von Unternehmensdomänen zu direkten Angriffen auf Cloud-Ressourcen übergegangen sind, was den Netzwerkverteidigern in hybriden Cloud-Umgebungen das Leben schwerer gestaltete.
  • Mehr proaktive Maßnahmen zur Minimierung von Ransomware-Angriffen. Hier konnte man einige Erfolge verzeichnen – aber noch nicht ausreichend. Zu wenige Unternehmen setzten in diesem Zusammenhang AI (Artificial Intelligence) ein, auch wenn die Übeltäter es bereits tun.
  • Wachsende Nachfrage nach MDR-Diensten (Managed Detection and Response). Es bleibt dabei: Es ist am besten, wenn menschliche Analysten mit Automatisierungsinstanzen zusammenarbeiten und nicht die Kontrolle und Entscheidungsfindung aus der Hand geben.
  • AI gegen den Diebstahl von Anmeldedaten und die Infiltration von MFA einsetzen. Mehr Unternehmen sollten erkennen, wie anfällig die Multifactor Authentication sein kann; MFA bleibt dennoch ein Hauptziel.

 

Die größte Entwicklung im Bereich der Cyber Security im Jahr 2022 war natürlich der Ausbruch der (Cyber) Feindseligkeiten zwischen Russland und der Ukraine, deren Auswirkungen weitreichender waren als erwartet. Ein Großteil des Konflikts wird nun im Cyberspace ausgetragen. Es ist ziemlich klar, dass der erste vollwertiger Cyberkrieg absichtlich zivile Infrastrukturen, öffentliche und private Ziele getroffen hat. Der Verlauf dieser geopolitischen Krise liefert Unternehmen weltweit ein klares, anschauliches Motiv für die Einführung einer besseren, intelligenteren, AI-gesteuerten Cyberverteidigung. Organisationen sollten sich beim Schutz ihrer Vermögenswerte nicht nur auf staatliche Verteidigungssysteme verlassen.

 

Welche Prognosen stellt Andreas Riepen von 2023?

 

  • Die erste Aufgabe wird der Schutz der Supply Chain sein

Unternehmen kennen die Kosten von Lieferunterbrechungen, und zum Glück denken Logistikstrategen nach den jüngsten Ereignissen verstärkt über die Widerstandsfähigkeit von Systemen nach. Aber die Angreifer werden immer erfinderischer. Im Jahr 2023 wird es nicht nur weitere Angriffe auf die »üblichen Verdächtigen« geben, sondern es werden auch innovative Hintertürchen ausgenutzt – zum Beispiel die Schwachstellen in der Buchhaltung einer Reederei oder bei Anwaltsfirmen. Alle miteinander verbundenen Unternehmen, die ein kritisches Liefernetzwerk bilden, sollten enger zusammenarbeiten, um Sicherheitsrichtlinien und -standards zu überprüfen.

Richard Bartley von Gartner erklärte kürzlich: »Supply-Chain- und geopolitische Risiken werden die Cyber Security dominieren… Die Pandemie, die soziale und politische Polarisierung, die Herausforderungen der digitalen Ethik und der Privatheit sowie der Klimawandel haben Auswirkungen auf Partner und vertrauenswürdige Dritte.« Andreas Riepen geht davon aus, dass nicht alle Personen diese Warnung beherzigen werden und wir im Jahr 2023 raffinierte neue Angriffe auf die Lieferkette erleben werden, die man durch gemeinsame Überprüfungen von miteinander vernetzten Unternehmen hätte verhindern können.

 

  • Schutz muss anpassungsfähiger werden

Die Angreifer sind ständig auf der Suche nach lohnenswerten Eintrittswegen in Netzwerke und Arbeitsprozesse – und probieren neue Angriffsszenarien aus. Die unausgereiften Architekturen von gestern zum Schutz vor Malware funktionieren morgen möglicherweise nicht mehr so gut, und die gesamte Angriffsfläche wird sich im Jahr 2023 weiter vergrößern. Ich gehe davon aus, dass das Interesse des Marktes an einem wirklich anpassungsfähigen Schutz zunehmen wird. Plattformen zur Erkennung und Reaktion auf Bedrohungen (Threat Detection and Response, TDR), die sich an veränderte Angriffsflächen eines Unternehmens anpassen, bieten einen verbesserten Schutz vor Angreifern, die in neue hybride Cloud-Infrastrukturen eindringen.

 

  • Experten werden mehr über IaC sprechen

»Infrastructure as Code« kann eine effiziente Möglichkeit sein, die Ausfallzeiten eines Unternehmens bei der Wiederherstellung nach einem Ransomware-Angriff zu reduzieren. Herkömmliche Wiederherstellungsmethoden können langsam und kostspielig sein. IaC ermöglicht Skripte, mit denen ein Unternehmen die kompromittierte Infrastruktur von Grund auf wiederherstellen kann – ein oft sehr viel schnellerer Prozess. Riepen geht davon aus, dass wir im Jahr 2023 mehr intelligente Unternehmen sehen, die sich IaC zuwenden werden, um schnellere Wiederherstellungsprozesse zu automatisieren.

Eric Alhm von Gartner unterstreicht diese Überlegung: »Automatisierung dient nur dann einem Zweck, wenn sie ›etwas anderes‹ besser, schneller, billiger oder anderweitig messbar verbessert … Im Jahr 2023 sollten Fachleute für Sicherheitsmaßnahmen nach Verbesserungen in ihrem Programm durch Automatisierung suchen, dabei aber selektiv vorgehen.«

Andreas Riepen glaubt darüber hinaus, dass wir im Jahr 2023 sehen werden, dass anspruchsvollere Unternehmen die in Frage kommenden Lösungen genauer unter die Lupe nehmen werden.

 

  • Mehr kontrollierte Angriffe

Ob man es glaubt oder nicht: Ransomware-Angriffe, die von Menschenhand gesteuert werden, sind im Trend – was eine interessante Herausforderung für die Überzeugung darstellt, dass Automatisierung und AI die wesentlichen Werkzeuge der Bad Guys sein sollen. Diese Entwicklung unterstreicht auf einfache Weise eine simple Wahrheit: Cyberverteidiger brauchen eine Mischung aus Tools, Techniken und Prozessen, die auf ihre speziellen Bedürfnisse abgestimmt sind. »Keine einzelne Technik oder Kontrolle stellt für sich ein ›Allheilmittel‹ dar«, meint Jon Amato, Senior Analyst bei Gartner, »aber die Implementierung der richtigen Balance aus mehreren Techniken gewährleistet ein robustes Ökosystem für die Endpunktsicherheit.«

Andreas Riepen erwartet, dass Amatos Ansicht im Jahr 2023 zunehmend Anerkennung finden wird.

 

  • Mehr »Steal-Now, Decipher-Later Forays«

Der Q-Day steht vor der Tür, das heißt der Tag, an dem Quantencomputing wirklich verfügbar sein wird, die herkömmlichen Sicherheitsprotokolle unter Druck setzen und verschlüsselte Daten zur Normalität machen wird. Einige Cyberkriminelle werden nicht auf den Q-Day warten. Ich erwarte, dass wir mehr »blindes Zugreifen« auf digitale Werte erleben werden, von denen Diebe erwarten, dass sie wertvoll sind – Werte, die sie jetzt noch nicht knacken können, aber vielleicht werden sie bald dazu in der Lage sein. Sicherheitsverantwortliche im Jahr 2023 müssen sich auf die neuen Regeln der Post-Quantum-Welt einstellen.

 

  • Unternehmen werden mehr Etiketten lesen

Das NIST, das U.S. National Institute of Standards and Technology, ist vom Weißen Haus in den USA angewiesen worden, die Kennzeichnung von Software und IoT-Geräten zu koordinieren – mit klaren Aussagen zu Standards von Datenschutz und Informationssicherheit, die sich im Produkt widerspiegeln und von den Unternehmen eingehalten werden müssen. Das NIST hat die Kriterien für die Kennzeichnung im Jahr 2022 festgelegt, und ich sage voraus, dass wir uns im Jahr 2023 daran gewöhnen werden, die Sicherheitsbereitschaft von mehr Geräten und Anwendungen in unserem Leben zu bewerten. Ich denke, dies wird sich besonders auf die IoT-Welt auswirken, in der eine Vielzahl verschiedener »intelligenter« Geräte mit zu wenig Sicherheitsbewusstsein zum Kauf angeboten werden. Das ist sowohl für den Verbraucher- als auch für den Unternehmensmarkt eine gute Sache.

 

  • Die Burnout-Krise bei Sicherheitsanalysten wird sich verschärfen

SOCs (Security Operation Centers) sind bereits jetzt überlastet und unterbesetzt. Im Jahr 2023 wird es noch schlimmer werden. Mehr Ermüdung, mehr Kündigungen, mehr Personalwechsel – und das sind alles keine ermutigenden Zeichen. Unternehmen werden sich verstärkt auf MSSPs (Managed Security Service Provider) verlassen, da der Mangel an gut ausgebildeten Fachleuten immer größer wird. Vectra unterstützt MSSPs, wir haben die weltbesten Partner in dieser Kategorie, aber ich bin dafür, dass Unternehmen auch ihre eigenen Talente pflegen und unterstützen. Das erfordert mehr kreative Rekrutierungskampagnen und mehr Maßnahmen zur Förderung, zum Schutz und zur Bezahlung von SOC-Experten. Flexible Regelungen zur Arbeitszeit, zu Gesundheits- und Wellness-Schutz und mehr von dieser Art. Der »Talentkrieg« wird sich nur noch verschärfen.

 

  • Rationalisierung wird Vorzüge entfalten

Ich glaube, dass neue Trends in der Architektur von Sicherheitssoftware effizientere Abläufe ermöglichen werden. Ich stimme Patrick Hevesi von Gartner zu, wenn er darauf hinweist, dass »große Sicherheitsanbieter einheitliche Plattformen für Cyber Security entwickeln, die durch ihre zugrundeliegenden Fähigkeiten für Data Lakes als Cyber Security Mesh Architectures (CSMAs) definiert sind… CSMAs werden Unternehmen dabei helfen, die Komplexität der Verwaltung mehrerer einzelner Produkte zu vereinfachen.«

Ich widerspreche nicht dem, was ich oben über die Vorteile einer Mischung aus Tools, Techniken und Prozessen gesagt habe, aber die Tool-Konsolidierung ist ein willkommenes Mittel, um diese Mischung zu verwalten, ohne überfordert zu sein. Ein Single-Dashboard-Ansatz ist ein längerfristiges, erstrebenswertes Ziel, aber es ist nicht länger unvorstellbar.