Illustration: Absmeier, Geralt, Ross Mann

Für das Jahr 2021 stellen sich eine Menge Fragen in Zusammenhang mit der Sicherheit:

Lassen sich mit einer Zero-Trust-Architektur Cyberangriffe für den Angreifer schwieriger gestalten? Werden strengere Auditing-Praktiken umgesetzt? Wird das mangelnde Bewusstsein von möglichen RPA-Sicherheitsauswirkungen im Jahr 2021 zu einem schwerwiegenden RPA-Hack führen? Wird 2021 das Jahr der »Customizable Cloud«? Wird die scheinbare Komplexität der Identity Governance und Administration (IGA) verschwinden? Wie muss sich die Funktionsweise von SAST-Tools in Zukunft ändern? Wird die Anwendungssicherheit untrennbar mit der Softwareentwicklung verbunden? Wie wird sich die Cybersicherheit für die Automobilindustrie entwickeln? Wird die Sicherheit endlich dort verorten, wo sie hingehört, nämlich auf der Entwickler- und Entwicklungsebene? Wie kann die Sicherheit von IoT-Geräten verbessert werden? Wie wird sich die Nachfrage nach API-Sicherheit, Cloud-Anwendungssicherheit, Orchestrierungsdiensten für die Anwendungssicherheit und ein konsolidiertes risikobasiertes Schwachstellenmanagement entwickeln? Wie erzielt man einen möglichst hohen Grad an Gewissheit über die Identität der unterzeichnenden Parteien und die Unleugbarkeit der Unterschriften? Erfordert das globale Remote-Working-Paradigma neue Tools seitens der IT- und Cybersicherheitsteams? Werden die unterschiedlich gelagerten Sicherheitsbedenken bei IoT-Anwendern, Entwicklern und IT-Security-Experten in den Unternehmen zu Konflikten führen? Wie kann man Betrugs- und Täuschungsversuche von legitimen E-Commerce-Websites unterscheiden? Werden digitale Signaturen in Bezug auf Sicherheit und Rechtswert einen höheren Stellenwert erhalten? Wird DevSecOps endlich ein wesentlicher Bestandteil des Software Development Life Cycle (SDLC)? Werden Hersteller von IoT-Geräten eine sichere, eindeutige Identität als Teil des Produktdesigns bereitstellen? Wie können Experten für Technologie, Privatsphäre und Datenschutz die Gesetzgebung unterstützen, ihre Ziele zu erreichen und gleichzeitig die Grundwerte der Demokratie und Freiheit der Bürger zu schützen?

Hier die Antworten, Prognosen und Lösungsvorschläge von IT-Sicherheitsexperten aus unterschiedlichen Firmen.

Mit einer Zero-Trust-Architektur Angriffe auf privilegierte Konten verhindern – Dan Conrad, Field Strategist bei One Identity

Die branchenweite Einführung einer Zero-Trust-Architektur wird Cyberangriffe deutlich erschweren, die sich auf kompromittierte oder schwache Zugangsdaten verlassen. Das betrifft immerhin 80 % aller Hacks. Die endgültige Veröffentlichung des NIST SP 800-207-Rahmenwerks ermöglicht es mehr Unternehmen und Behörden, das Konzept der Zero-Trust-Architektur einzuführen. Diese Veränderungen werden zu einem Mentalitätswandel führen. Der Grundgedanke dauerhaft vergebener Berechtigungen und eines unkontrollierten Zugriffs durch Personen und Computer wird der Vergangenheit angehören. Ein privilegierter Zugriff wird nicht mehr dauerhaft oder permanent vergeben, sondern Session-bezogen zugewiesen. Dies führt die alte Idee der »minimalen Rechtevergabe« zum Schutz sensibler Daten einen Schritt weiter. Privilegierte Konten sind häufig Ziel von Angriffen. Eine Zero-Trust-Architektur sorgt dafür, dass diese Konten effektiver verwaltet werden, was sie für den Angriffsprozess wertlos macht.

Das Jahr der Remote Work Datenhacks – Robert Meyers, Compliance and Privacy Professional bei One Identity

Anfang 2021 werden immer mehr Unternehmen Datenschutzverletzungen aus dem Jahr 2020 einräumen. Als Reaktion darauf wird die Zahl behördlicher Prüfungen/Audits drastisch steigen. Und damit scheinbar die Zahl der Datenschutzverletzungen als solcher. Die überwiegende Mehrzahl der dann veröffentlichten Angriffe ist aber nicht neu. Stattdessen machen die Hacks Schlagzeilen, die aus dem Umstieg auf Remote Working und speziell dem mangelnden Management Kapital schlagen konnten. Dies wird viele Unternehmen veranlassen, zügig ihre Sicherheitsmaßnahmen anzupassen und sich auf das Management privilegierter Konten zu konzentrieren. Behörden haben allerdings bereits erkannt, dass es sehr lange dauern kann, bis Unternehmen einen Angriff erkennen. Das wird zur Umsetzung strengerer Auditing-Praktiken führen.

Die Geburt der digitalen Identität für RPA – Alan Radford, Regional CTO von One Identity

2021 wird das Geburtsjahr digitaler Identitäten für eine digitale Belegschaft. RPA-Technologien dienen der Verbindung mit einem Unternehmensnetzwerk und um dort bestimmte Aufgaben auszuführen. Die zugehörigen RPA-Benutzeridentitäten sind allerdings nicht per se sicherer als ihre menschlichen Kollegen. Vielen Sicherheitsexperten ist das nicht ausreichend bewusst. Im Laufe des Jahres 2021 werden Identitäts- und Sicherheitsteams diese bislang unbeachteten RPA-Sicherheitsprobleme zunehmend erkennen. Dazu zählen Probleme, die durch das Erstellen und Löschen digitaler Konten entstehen können, wie etwa verwaiste Konten oder sogenanntes »Privilege Creep« (also die schleichende Ausweitung von Rechten). Ähnlich wie wir es bei anderen Innovationen beobachten konnten, wird dieses mangelnde Bewusstsein von möglichen RPA-Sicherheitsauswirkungen im Jahr 2021 zu einem schwerwiegenden RPA-Hack führen. Das wird nicht folgenlos bleiben. Sicherheitsteams werden Privileged Management und Governance folglich in den Fokus stellen.

Das goldene Zeitalter der Cloud – Bhagwat Swaroop, President & General Manager, One Identity

2020 hat die (digitale) Welt dramatisch Fahrt aufgenommen. Cloud-Technologien sind nicht mehr länger etwas, das Unternehmen lediglich erwägen. Nach vielen gescheiterten Versuchen haben die Pandemie und Remote Working dafür gesorgt, dass Software-as-a-Service und Cloud zur neuen Norm geworden sind. 2021 wird das Jahr der »Customizable Cloud«. Dabei handelt es sich nicht mehr um einen Alles-oder-Nichts-Ansatz. Unternehmen werden stattdessen zu einem eher pragmatischen Ansatz für die Cloud übergehen und ein Vorgehen wählen, der genau zu ihrem Anforderungsprofil passt. Von der Anbindung von Mikro-Services aus der Cloud bis hin zu Vor-Ort-Lösungen für Unternehmen, die sich mehr und mehr von der physischen Infrastruktur entfernen. Es gibt nicht die richtige Antwort wie man die Cloud am besten nutzt. 2021 wird das Jahr der Cloud-Lösungen, die für ein Unternehmen den jeweils höchsten Wert haben.

Die breite Akzeptanz von IGA – Darrell Long, VP Product Management bei One Identity

Im Laufe des kommenden Jahres wird die scheinbare Komplexität der Identity Governance und Administration (IGA) verschwinden. Im Sinne eines vollständigen IGA-Programms, müssen Unternehmen traditionell einen relativ strengen Rahmen innerhalb ihrer Strategie für das Identitäts- und Zugriffsmanagement festlegen. Laut Gartner machen Bemühungen zur IGA-Bereitstellung jedoch etwa 80 % der Automatisierung von Geschäftsprozessen aus. Dennoch verwenden Unternehmen weiterhin Tool-zentrierte Implementierungsansätze. 2021 wird sich die Komplexität von IGA-Plattformen verringern. Durch die Aufstockung bestehender Investitionen in IGA-ähnliche Dienste wie Active Directory und ServiceNow erreichen Unternehmen eine umfassendere Abdeckung. Für Unternehmen ist das eine kostenbewusste und effektive Möglichkeit, Sicherheits- und Compliance-Risiken zu managen.

Meera Rao, Sr. Director of Product Management (DevOps Solutions) bei Synopsys:

Im vergangenen Jahr haben Unternehmen mittels Low-Code-/No-Code-Plattformen Anwendungen in hohem Tempo erstellt. Ein wachsender Trend. AST-Tools (Application Security Testing), insbesondere SAST-Tools (Static Application Security Testing), funktionieren dann am besten, wenn Code gescannt werden muss. Die Funktionsweise von SAST-Tools muss sich in nicht allzu ferner Zukunft ändern, um diesen Plattformen gerecht zu werden. Ich kann mir durchaus vorstellen, dass sich die Art und Weise ändert, wie wir Sicherheit integrieren. Immer mehr AST-Tools bieten Möglichkeiten, die denen von Low-Code-/No-Code-Plattformen vergleichbar sind. Durch Eingabe einiger weniger Daten ließen sich dann alle Integrationen generieren, die für die nahtlose Ausführung des Tools lokal oder in der Cloud erforderlich sind. Ganz genau wie bei Low-Code-/No-Code-Plattformen. Meine Prognose für 2021 lautet: Low-Code-/No-Code-Plattformen für die Anwendungssicherheit und die echte Integration von ›Sec‹ in DevOps mit Low-Code oder No-Code.

Jonathan Knudsen, Senior Security Strategist bei Synopsys:

2020 war ein Jahr voller Unwägbarkeiten. Angesichts dessen mag es verwegen erscheinen, Prognosen für das kommende Jahr zu treffen. In der App-Sec-Welt sind aber Trends klar erkennbar.

Einige Dinge werden 2021 bleiben wie sie sind. Unmengen wertvoller Daten werden weiterhin ungeschützt an öffentlich zugänglichen Orten online gestellt. Nutzer werden leicht zu erratende Passwörter auswählen, die sie dann für mehrere Konten verwenden, und sie werden weiterhin auf fragwürdige Links in E-Mails klicken. Unternehmen werden bei Software-Patches und Versions-Updates hinterherhinken, und sie werden das umfangreiche Wissen über Defense-in-Depth, das Prinzip der minimalen Rechtevergabe und all die anderen Lektionen innerhalb der Softwareentwicklung konsequent ignorieren. Daraus folgen unter Umständen Lektionen, die andere Unternehmen bereits »auf die harte Tour« gelernt haben.

2020 hat uns eine Reihe von Angriffen auf unwahrscheinlich anmutende Ziele beschert, von Jack Daniels bis hin zu Schleppkähnen. Auch in Zukunft werden Angreifer von den asymmetrischen Vorteilen durch Software-Exploits profitieren und strafbare Angriffe auf Unternehmen aller Art lancieren.

Aber es gibt auch Anlass zur Hoffnung. 2021 wird das Jahr sein, in dem wir das zentralisierte, isolierte Modell für die Software-Anwendungssicherheit offiziell begraben. Der Ansatz war zugegebenermaßen etwas naiv. Trotzdem haben sich zunächst viele Unternehmen dafür entschieden. Der Gedanke: ein Team ist allein verantwortlich für die Sicherheit aller vom jeweiligen Unternehmen entwickelten Anwendungen. Über die Zeit hat sich allerdings herausgestellt, dass dieser Ansatz in einen trägen und frustrierenden Prozess mündet. Sicherheitsabteilung und Entwickler liegen sich in den Haaren, und das Endergebnis sind Anwendungen, die kaum sicherer sind und die zudem verzögert auf den Markt kommen.

In einem neuen Modell – nennen wir es »Anwendungssicherheit 2.0« – ist Sicherheit untrennbar mit der Softwareentwicklung verbunden. Sicherheit ist in jede Phase eingebettet, vom Design über die Implementierung bis hin zur Wartung. Sicherheitsteams bieten Expertise und Unterstützung an, die Sicherheit selbst ist automatisiert und in den Softwareentwicklungsprozess integriert. Eine nahtlose Ergänzung, die zu sicheren, besser geschützten und optimierten Produkten führt.

Ich gehe davon aus, dass im Laufe des Jahres 2021 immer mehr App-Entwickler die volle Verantwortung für ihre eigenen Sicherheitsbelange übernehmen werden – mit geeigneter Unterstützung durch das Sicherheitsteam. Durch diese sich verlagernde Verantwortung und veränderte Budgetzuweisungen werden Anwendungsentwickler zunehmend DevSecOps-Prozesse anwenden. Damit schöpfen sie die Vorteile der Automatisierung voll aus, maximieren die Geschwindigkeit und ermöglichen eine Kultur der kontinuierlichen Verbesserung. Diese erlaubt es jedem Team, die eigenen Prozesse zu tunen und zu optimieren.

Dennis Kengo Oka, Principal Automotive Security Strategist bei Synopsys:

2020 wurde ein Norm-Entwurf für die ISO/SAE 21434 Cybersecurity Engineering veröffentlicht und die UN-Regelungen WP.29 zu Cybersecurity und Software-Updates verabschiedet. Diese Normen und Regelungen rücken Cybersicherheit für die Automobilindustrie stärker in den Vordergrund und werden vor allem in den nächsten Jahren Automobilhersteller und Zulieferer drastisch treffen. Cybersicherheit muss dabei nicht nur auf technischer, sondern auch auf organisatorischer Ebene berücksichtigt werden. Dazu gehört es, eine Kultur von und ein Bewusstsein für Cybersicherheit zu schaffen sowie Cybersicherheitsmanagement und -schulungen zu etablieren. Darüber hinaus müssen Automobilunternehmen im kommenden Jahr einen Cybersecurity-Engineering-Prozess einschließlich eines sicheren Softwareentwicklungsprozesses einführen. In Kfz-Systemen wird mehr und mehr Software eingesetzt. Für die Automobilindustrie wird es deshalb immer wichtiger, automatisierte Lösungen zu verwenden, um Schwachstellen und Schwächen einer Software deutlich früher innerhalb der Softwareentwicklung zu finden und zu beheben.

Gunnar Braun, Technical Account Manager bei Synopsys

Im Jahr 2020 hat der Begriff »Developer-first« weiter an Bedeutung gewonnen. Auch zukünftig werden wir eine Verlagerung von Standalone-Application-Security-Plattformen hin zu Plugins in die wichtigsten Entwickler-Ökosysteme wie etwa GitHub sehen. Die Grenzen zwischen den klassischen SAST-, DAST-, SCA-Tools werden sich zunehmend auflösen, während die zugrunde liegende Orchestrierung mehr und mehr an Bedeutung gewinnt. Damit wird Applikationssicherheit einem breiteren Kundenkreis zugänglich, insbesondere auch mittelständischen Softwareunternehmen in Deutschland. Es wird allerdings einige Zeit dauern, bis deren Kunden aus dem privatwirtschaftlichen und öffentlichen Sektor wie beispielsweise Krankenhäuser, Anwaltskanzleien, Gastronomie, Einzelhandel und Schulen direkt von dieser Entwicklung profitieren. Noch immer haben Angreifer es an vielen Stellen zu leicht. Beispielsweise durch Fehlkonfigurationen in populären Anwendungen wie Citrix und Teamviewer oder anderen Remote-Access-Lösungen, wie sie von externen IT-Abteilungen implementiert und benutzt werden.

Trotzdem bin ich optimistisch, weil wir Sicherheit jetzt dort verorten, wo sie hingehört, nämlich auf der Entwickler- und Entwicklungsebene. Das ist der richtige Ansatz. Jedenfalls dann, wenn man einen langfristig wirksamen und nachhaltigen Effekt erzielen will.

Boris Cipot, Senior Sales Engineer bei Synopsys

Die konsequente Arbeit von zu Hause, die Hürden der Digitalisierung, Phishing, Ransomware-Angriffe und Datenschutzverletzungen – das waren Themen, die uns im Jahr 2020 begleitet haben.

Das Schlimme ist, sie werden uns 2021 erhalten bleiben. Cyberangriffe werden weitergehen und Teil unseres privaten oder beruflichen Lebens sein. Jeder einzelne sollte deshalb mehr über Cyberbedrohungen wissen und sein Bestes tun, sie zu verhindern. Auch 2021 werden wir nicht

umhinkommen, uns gegen diese Bedrohungen zu wappnen und uns um die Umgebung zu kümmern, in der wir leben und arbeiten. Dazu gehört das Patchen von Software und Betriebssystemen, die Wartung und Pflege der angeschlossenen Geräte und der sie unterstützenden Software, geeignete Passwörter auszuwählen und zu verwalten und E-Mail-Anhänge nicht unbedacht zu öffnen. Das sind nicht nur gute Empfehlungen für zuhause, sondern auch für Unternehmen und Remote-Working-Szenarien. Gerade vergleichsweise simple Sicherheitsregeln zu vernachlässigen, leistet schwerwiegenden Bedrohungen Vorschub.

Der Bereich IoT-Technologie wächst seit Jahren kontinuierlich. Das gilt für die Nutzerzahlen, die Gerätetypen, aber auch für die guten und schlechten Nachrichten in Zusammenhang mit dem IoT. 2020 haben Regierungen und Behörden einige Anstrengungen unternommen, die Entwicklung des IoT sicherer und standardisierter zu machen. Meines Erachtens nach werden sich diese Bestrebungen 2021 intensivieren. Das gilt auch für die Diskussionen darüber, was genau ein sicheres Gerät ist, und wie man es wo einsetzt. Der Grund ist nicht das Thema Sicherheit als solches, sondern eher der bessere Schutz der Benutzer und ihrer Umgebung. Kameras und Babyphones haben nicht den besten Ruf, gerade weil sie besonders leicht zu hacken sind und man die Angreifer quasi durch die Vordertür in seine Privatsphäre einlädt. Wie auch immer man die Entwicklung der Geräte betrachtet und bewertet, inzwischen sind sie selbstverständlicher Teil des Gesundheitswesens und der Medizintechnik, jedes Autos, sie sind Teil größerer zusammenhängender Netze, kommen in »Smart Homes« und »Smart Cities« zum Einsatz und sind Teil der Schwarmintelligenz.

Diese Entwicklung setzt besonders diejenigen unter Druck, die dort für mehr Sicherheit sorgen müssen, ohne die Entwicklung zu behindern. Technologien, die diese Bemühungen unterstützen, werden 2021 erste Früchte zeigen. Dazu zählen die binäre Analyse der Firmware oder RTOS (Real-Time Operating Systems), die auf diesen Geräten laufen, SAST- und SCA-Software, welche die Zahl der Schwachstellen senken, DAST und IAST, die Gerätesoftware überprüfen und Fuzzing-Technologien, die Kommunikationskanäle, Protokolle und die Technologie der Devices testen. Zu dieser technologischen Entwicklung gehört zwingend eine Ausbildung in sicherer Programmierung, in Methoden wie Security by Design, Shift left oder, wie wir es nennen, »Shift everywhere«. Diese Technologien und Methoden werden 2021 zweifelsohne zu den heißen Themen gehören.

Jason Schmitt, General Manager of the Synopsys Software Integrity Group

So tiefgreifend sich DevOps in den letzten Jahren bereits auf App-Sec-Programme und -praktiken ausgewirkt hat, die beschleunigte Einführung der Cloud in diesem Pandemiejahr hat für eine weitaus dramatischere Verschiebung der Software-Sicherheitslandschaft gesorgt. DevOps hat eine klare Entwicklungsstruktur was die Art und Weise anbelangt, wie Software entwickelt, ausgeliefert und betrieben wird. Demgegenüber ändern sich Architektur, Zusammensetzung und Definition von Anwendungen sehr schnell, und das hat dazu geführt, dass Software-Sicherheitsansätze vielerorts überdacht werden. Dieser doppelte Druck durch die geforderte Liefergeschwindigkeit einerseits und die Cloud-Transformation andererseits, wird in den nächsten 1 bis 2 Jahren großen Einfluss auf den Markt für Sicherheitssoftware haben.

Die Softwaresicherheit hat sich in den letzten 5 bis 10 Jahren von einer Scan-and-Report-Audit-Mentalität zu einer eher auf die Verbesserung der Sicherheit ausgerichteten Assurance-Praxis entwickelt, ohne die Entwicklungsgeschwindigkeit und Innovationskraft zu behindern. Die Software Composition Analysis ist mit dem zunehmenden Einsatz von Open Source zu einem wesentlichen Bestandteil von Assurance-Programmen geworden. Denn durch Sicherheitslücken in Open Source und Komponenten von Drittanbietern war das Risiko unter anderem für Lizenzmissbrauch erheblich gestiegen. Mit der Einführung von Cloud-Infrastrukturen, Mikro-Services und APIs erleben wir eine ähnliche, wenn nicht sogar größere Verschiebung in der eigentlichen Definition für eine Anwendung. Sie setzen sich in den meisten Fällen aus einer Sammlung von Drittanbieterdiensten, APIs, Mikro-Services und Cloud-nativen Komponenten und Diensten zusammen, die über Cloud-Provider oder verwaltete Plattformen wie Kubernetes orchestriert werden.

Um vorausschauend auf diese Form der Cloud-Transformation zu reagieren, wird sich die Softwaresicherheit erneut zu einem risikobasierten Schwachstellenmanagement-Service entwickeln. Allerdings mit dem Ziel, Sicherheitsdienste als Teil der Software-Building- und Bereitstellungs-Pipeline zu automatisieren und zu orchestrieren. Sicherheitsteams werden Entwicklungsteams »Point-of-Capture«-Tools und Sicherheits-Coachings zur Verfügung stellen, um Schwachstellen schon während der Entwicklung zu eliminieren. Und natürlich, um Entwicklern Leitlinien für eine schnellere Bereitstellung an die Hand zu geben. Innerhalb der gesamten Pipeline werden orchestrierte Sicherheitsdienste automatisch diese Leitlinien stärken. Gleichzeitig erlaubt dieser Ansatz ein risikobasiertes Schwachstellenmanagement für überlastete und chronisch unterbesetzte Sicherheitsteams, die vor der Einführung der Cloud stehen. Infolgedessen wird die Nachfrage nach API-Sicherheit, Cloud-Anwendungssicherheit, Orchestrierungsdiensten für die Anwendungssicherheit und ein konsolidiertes risikobasiertes Schwachstellenmanagement steigen, um die mit der Software-Bereitstellung verbundenen Risiken zu senken.

Arvid Vermote, CISO, GlobalSign:

Deepfakes rütteln an Online-Identitäten

2021 werden Deepfakes und anderen Formen fortgeschrittener Angriffe mittels Imitation und Identitätsbetrug weiter zunehmen. Mit diesen neuen Techniken zum Identitätsbetrug ist es fast unmöglich, echte von gefälschten Videos und Sprachaufnahmen zu unterscheiden. Man kommt nicht umhin, Mitarbeiter umfassend zu schulen, wie man diese erkennt. Fakt ist, dass wir innovative Präventions- und Erkennungskontrollen einziehen müssen, um mit neuen Angriffstechniken wie diesen Schritt zu halten. Starke Identitätsüberprüfungs- und Authentifizierungstechniken wie PKI und zentrale Identitätsinstanzen (d.h. CAs) werden an vorderster Front dafür sorgen, dass starke digitale Identitäten nur für die legitimen Inhaber dieser Identität ausgestellt werden.

Zero Trust

Die Zero-Trust-Architektur ist seit 10 Jahren ein Konzept der Sicherheits-Community. Jetzt gewinnt es jedoch endlich an Bedeutung, was zu einem Gutteil durch die Veröffentlichung der NIST SP-800-207 im August beschleunigt wurde. Diese Dynamik wird nächsten Jahr weiter zunehmen. Zero Trust ist in der Cybersicherheit das Prinzip, jeden und alles als grundsätzlich nicht vertrauenswürdig zu behandeln. Dabei wird effektiv nicht zwischen Mitarbeitern, Internetnutzern, Nutzern im Home Office oder solchen in traditionellen Büroumgebungen unterschieden. Der Schwerpunkt liegt auf der Identifizierung legitimer Benutzer auf der Grundlage einer starken Multi-Faktor-Authentifizierung und nicht darauf, ob es sich um einen Internet-Kunden oder einen Mitarbeiter handelt, der ein Firmen- oder BYOD-Gerät benutzt und wo er sich befindet.

Papierlose Revolution

In den letzten Jahrzehnten haben Unternehmen ihre Prozesse kontinuierlich digitalisiert, um vollständig papierlos zu arbeiten. Mit den Folgen von Covid-19 und dem globalen Trend, von zu Hause aus zu arbeiten, hat der Bedarf an Digitalisierung dramatisch zugenommen. Plötzlich mussten komplette Prozesse und Abläufe neugestaltet werden, denn »Business as Usual« wie zum Beispiel physische Vertragsabschlüsse waren schlicht nicht möglich. Diese Bemühungen werden sich 2021 fortsetzen. Der schnelle Aufbau von Prozessen führt allerdings zu einer Reihe ganz eigener Herausforderungen: Wie erzielt man einen möglichst hohen Grad an Gewissheit über die Identität der unterzeichnenden Parteien und die Unleugbarkeit der Unterschriften? Diese Konzepte anzupassen ist ein komplexes Unterfangen und erfordert Nischenexpertise: Macht man hier Fehler, kann sich die Beweislast oder sogar die Gültigkeit digitaler Signaturen umkehren.

Laurence Pauling – Vice President of Global Operations, GlobalSign:

Das globale Remote Working Paradigma erfordert neue Tools seitens der IT- und Cybersicherheitsteams

Unternehmen werden sich, unabhängig von ihrer Größe, standardmäßig auf Remote Working einstellen müssen. Um Sicherheit zu gewährleisten und zu überwachen, sind IT- und Cybersicherheits-Teams gezwungen, neuartige Tools zu entwickeln. Die aktuelle Situation weist durchaus Parallelen zur erdbebenartigen Verlagerung auf »BYOD« vor rund einem Jahrzehnt auf. Nur, jetzt umgekehrt – von Unternehmen kontrollierte Geräte in einer physisch und logisch unsicheren Umgebung. Dies erfordert ein völlig anderes Sicherheitsparadigma. Es wird einige Unternehmen weniger betreffen als andere. Insbesondere größere Unternehmen, die bisher von einem bestehenden Perimeter ausgegangen sind, werden Kontrollen und Prozesse überdenken müssen. Cyberkriminelle nehmen zügig diejenigen ins Visier, die bei diesen Veränderungen Fehler machen. Digitale Signaturen aller Art werden eine große Rolle spielen. Sie werden nicht nur handschriftliche Signaturen ersetzen, sondern auch Zertifikate für E-Mails und Geräte und eine Identität nachweisen, wenn der physische Standort keine Gewähr für die Herkunft mehr ist.

Die dezentralisierte Arbeitsweise wird sich auf die interne und SaaS-Unternehmensinfrastruktur auswirken. Die Verlagerung der Rechenleistung wird sich in dem Maße beschleunigen, in dem sich zentralisierte Server als weniger effizient erweisen. Im selben Maß wird das hoffentlich neue Standards und Garantien für die SaaS-Sicherheit vorantreiben und es mehr Anwendern ermöglichen, Unternehmensspeicher sicher in verteilte Umgebungen zu verlagern.

Aber es gibt weitere Trends. Notebooks werden immer leistungsstärker, während Mitarbeiter in Remote-Working-Szenarien gegebenenfalls auf weniger schnelle Internetverbindungen angewiesen sind. Das erzeugt zusätzlichen Druck auf IT-Abteilungen, wenn eine (wahrscheinlich flexible) Rückkehr zu »traditionelleren« Anwendungsmodellen gefordert ist!

Lancen LaChance, Vice President, IoT Solutions, GlobalSign:

Vier IoT-Prognosen

Mit einer sich erholenden Wirtschaft im Jahr 2021 werden IoT-OEMs und -Betreiber zunehmend die Stadien von Proof of Concept (POCs) und Beta hinter sich lassen und den vollen Betrieb planen. Mit dieser Verschiebung bei der Einführung des IoT wird die Größenordnung entscheidend. IoT-OEMs und -Betreiber werden die nötige Skalierbarkeit und Kosteneffizienz bei Cloud-basierten IoT-Plattform- und Sicherheitsanbietern suchen und finden.
Darüber hinaus werden die unterschiedlich gelagerten Sicherheitsbedenken bei IoT-Anwendern, Entwicklern und IT-Security-Experten in den Unternehmen zu Konflikten führen. Die Folge ist eine vergleichsweise stürmische Phase mit scheinbar unzusammenhängenden, aber dennoch miteinander verbundenen Anforderungen. Ein Unternehmen, das alle diese Bereiche umfasst, wird Kosteneinsparungen und eine Vereinheitlichung seiner Sicherheitslage anstreben. Konkurrierende Interessen auf der Inhaber- und Führungsebene, voneinander isolierte Technologien und Planungen werden es zunehmend erschweren, die gewünschte Vereinheitlichung zu erzielen.
Die robotergestützte Prozessautomatisierung (Robotics Process Automation, RPA) wird unternehmensübergreifend expandieren, um die Effizienz von Wissensarbeitern zu verbessern. Aber sie wird mit Sicherheitshindernissen konfrontiert sein. Insbesondere dann, wenn es darum geht, wie Bot-Identitäten und der Zugriff in Verbindung mit den Wetware-Gegenparts der Bots in großem Maßstab gemanagt werden können.
Schließlich wird es nach dem Wahlchaos in Zusammenhang mit dem Briefwahlsystem in den USA, ein Interesse an der Aktualisierung älterer Technologien durch sichere elektronische Remote-Wahlsysteme geben.

Patrick Nohe Senior Product Marketing Manager – West, GlobalSign:

Mehr Vertrauen in E-Commerce – Ein Grund für Cyberkriminelle, ihre Anstrengungen zu verdoppeln

Covid-19 hat viele unmittelbare Auswirkungen darauf, wie wir arbeiten und interagieren. Eine der langfristigen Auswirkungen wird die anhaltende Nutzung von E-Commerce-Angeboten sein, verbunden mit einem wachsenden Vertrauen in diese Anwendungen. Es gibt für die Nutzer gleich welchen Alters kaum noch technologische Zugangsbarrieren, seit große Bevölkerungsteile während der Pandemie gezwungen waren in Isolation und Lockdown zu gehen. Auf einmal war es nicht mehr absurd, Toilettenpapier bei Amazon zu bestellen.

Das Pendel wird bis zu einem gewissen Grad in Richtung stationärer Ladengeschäfte zurückschwingen. Aber die Dinge werden sich nicht bei denselben Werten wie vor Covid-19 einpegeln. Ein Nebenprodukt: Cyberkriminelle werden 2021 ihre Anstrengungen in diesem Bereich wahrscheinlich verdoppeln.

Jetzt nutzen viele Konsumenten E-Commerce-Angebote, die das vorher nicht getan haben. Und nicht wenige von ihnen bringen ein gewisses Maß an Naivität mit. Dazu muss man sich nur einige der jüngsten Änderungen an der Browser-Benutzeroberfläche ansehen. Dazu zählt beispielsweise die Minimierung von Vertrauensindikatoren. Gleichzeitig sind Cyberkriminelle inzwischen in der Lage, sehr überzeugende, legitim erscheinende Websites zu erstellen. Dazu nutzen Angreifer beispielsweise leicht zu beschaffende kostenlose SSL-Zertifikate, die dann als (falscher) Vertrauensindikator fungieren. Dazu kommt die Tatsache, dass dies alles auf mobilen Geräten noch überzeugender aussieht und schwerer zu überprüfen ist. Alles Voraussetzungen für ein boomendes Geschäftsmodell auf Seiten der Cyberkriminellen.

Deshalb war es noch nie so wichtig wie gerade jetzt, die Öffentlichkeit zu schulen, wie man Betrugs- und Täuschungsversuche von legitimen E-Commerce-Websites unterscheiden kann.

Es wäre zwar wünschenswert, diese Art von Betrug auszumerzen, aber das Spiel mit dem Vertrauen ist so alt wie die Menschheit selbst. Wir müssen stärker noch als bisher die Öffentlichkeit über die Risiken aufklären, die mit den Annehmlichkeiten der E-Commerce-Welt einhergehen. Ein guter Ausgangspunkt für Firmen im Bereich E-Commerce, wäre es, die eigenen Kunden aufklären, wie sie gewährleisten können, tatsächlich auf der richtigen Website zu sein. Das sollte aber eine gemeinsame Anstrengung diverser Branchen und Interessengruppen sein.

Mohit Kumar, Digital Signing Service Product Manager, GlobalSign:

Die Pandemie erzwingt die digitale Transformation. Wir werden weltweit mehr Regulierung sehen.

Die Pandemie hat Unternehmen gezwungen, die digitale Transformation zu beschleunigen. Und weil es darum geht, Prozesse schnell zu digitalisieren, werden Firmen zu besseren, sicheren und vertrauenswürdigen Formen von Standards tendieren. Document Signing, ein wesentlicher Bestandteil jeder digitalen Transformation, wird dazu führen, dass PKI-basierte digitale Signaturen weltweit akzeptiert werden. Denn mit ihrer Einführung senken Firmen den Compliance-Druck in allen Regionen.

2021 werden mehr Aufsichtsbehörden weltweit Richtlinien nach dem Vorbild von eIDAS, einer EU-spezifischen Verordnung, ausarbeiten. Dadurch erhalten digitale Signaturen in Bezug auf Sicherheit und Rechtswert einen höheren Stellenwert. Wir haben das bereits dieses Jahr (2020) in einigen Ländern beispielsweise in Südamerika beobachten können.

Die Notwendigkeit einer schnellen und möglich einfach verlaufenden digitalen Transformation, wird auch Unternehmen in konservativen Volkswirtschaften dazu zwingen, den Weg für Cloud-basierte Signaturlösungen zu öffnen.

James Whitton, Program Manager, EMEA, GlobalSign:

Das Gesundheitswesen wird zunehmend digitalisiert

Angesichts der Covid-Situation werden weltweit immer häufiger Arztbesuche remote durchgeführt. Elektronische Rezepte, die durch fortgeschrittene oder qualifizierte elektronische Signaturen unterstützt werden, sorgen für weniger Kontaktpunkte bei potenziell erkrankten Patienten. Dieser Schritt ermöglicht es Patienten, ihre Medikamente zu bekommen, ohne einen Arzt oder sogar eine Apotheke persönlich aufsuchen zu müssen. Dies wiederum kann bedeuten, dass nicht getestete, asymptomatische Covid-Träger keine Arztpraxis aufsuchen und keine weitere Verbreitung riskieren. Umgekehrt können nicht infizierte, aber gefährdete Patienten vermeiden, potenziell risikoreichere Umgebungen aufzusuchen. Diese Art der Veränderung ist von Gesundheitsdienstleistern leicht umzusetzen und kann von Apotheken und Drogerien problemlos allgemein akzeptiert werden. Es ist also wahrscheinlich, dass diese Änderungen im Laufe des Jahres 2021 kommen und in großem Umfang eingeführt werden. Die Gesundheitslandschaft muss sich schnell und drastisch auf die neue Normalität umstellen.

Denn elektronische Rezepte und Fernkonsultationen sind einer der Schlüssel, nicht Covid-bedingte Krankheits- und Todesfälle zu senken. Derzeit nehmen die eher noch zu, weil weniger Menschen Hilfe suchen, aus Angst vor Infektionen.

Siddharth Prasad, Technical Product Owner, India, GlobalSign:

Mehr Sicherheitsbedenken bei DevOps

Anwendungen schneller zu entwickeln, bereitzustellen und zu aktualisieren, um im Wettbewerb die Nase vorn zu haben und gleichzeitig die Sicherheit innerhalb des Entwicklungsprozesses zu verbessern, das werden 2021 die beiden Hauptanliegen von Unternehmen sein. Um die konkurrierenden Prioritäten zu überwinden, wird DevSecOps ein wesentlicher Bestandteil des Software Development Life Cycle (SDLC).

Unternehmen müssen sich auf die Einführung geeigneter Toolchains, Best Practices und Änderungsmanagement konzentrieren, um Sicherheit in allen Entwicklungsphasen vom Aufbau, Test, Einsatz bis zum Betrieb zu gewährleisten. Um Schwachstellen im Container- und Orchestrierungsframework zu überwinden, sind bei den Standardeinstellungen zusätzliche Anpassungen und Lösungen von Drittanbietern erforderlich, um die Sicherheit zu erhöhen. Die Sicherheit in bereitgestelltem Code und den betreffenden Umgebungen muss bereits in frühen Phasen des Entwicklungsprozesses gewährleistet sein.

Diane Vautier, IoT Product Marketing Manager, North America, GlobalSign:

Betreiber von IoT-Netzwerken erwarten von IoT-Geräteherstellern die Bereitstellung sicherer, eindeutiger Identitäten

Schwerwiegende Angriffe auf IoT-Systeme nehmen zu, und die Attacken werden zunehmend raffinierter. Hacker verfügen fraglos über die Fähigkeiten, komplexe Angriffe auszuführen, die ihre Ziele erreichen und ihnen Zugang zu lukrativen Daten und sogar die Kontrolle über Geräte ermöglichen. 2021 werden Betreiber von IoT-Netzwerken und -Systemen, insbesondere solche von hochwertigen oder kritischen Infrastrukturen, nach Möglichkeiten suchen, ihre Ökosysteme gegen diese Angriffe zu schützen. Sie werden sich darauf konzentrieren, ihre Geräte – den häufigsten Angriffspunkt – mit Geräte-Identitäten zu schützen, die mit zertifikatsbasierter PKI-Authentifizierung gesichert werden können. Und sie werden von den Herstellern erwarten, dass sie sichere, eindeutige Identitäten als Teil des Produktdesigns bereitstellen. Oder sogar von Chipherstellern, dass sie attestierbare Chip-/TPM-Identitäten einbauen, die sich in die PKI integrieren lassen, um die betreffende Komponente oder das komplette Gerät während seines gesamten Lebenszyklus zu schützen.

Sebastian Schulz, Regional Product Manager EMEA, GlobalSign:

Regierungen werden versuchen, online noch mehr Kontrolle auszuüben

China betreibt bereits seit vielen Jahren ein nationales Intranet, und andere Länder haben versucht, ein solches Konzept nachzuahmen. Russland hat bereits Ende letzten Jahres einige Tests durchgeführt (https://www.bbc.com/news/technology-50902496). Zur gleichen Zeit schränkte der Iran den Zugang zum Internet ein, um Protestierende daran zu hindern, Informationen auszutauschen (https://www.bbc.com/news/world-middle-east-50911457).

Aber auch westliche Demokratien versuchen, politischen Einfluss auf das Internet zu nehmen. Zum Zeitpunkt der Abfassung dieses Artikels wurde das EARN-IT-Gesetz gerade im Repräsentantenhaus eingebracht. Kurz gesagt, das EARN-IT-Gesetz würde es sowohl den staatlichen als auch den föderalen Gesetzgebern ermöglichen, weitere Regelungen für das, was online geschieht, zu erlassen.

In der Europäischen Union tauchen Stimmen auf, die eine sichere Ende-zu-Ende-Verschlüsselung regulieren wollen, aus dem fehlgeleiteten Bemühen, so den sexuellen Missbrauch von Kindern besser zu bekämpfen.

Es ist offensichtlich, dass viele dieser politischen Initiativen ohne Konsultation unabhängiger Technologieexperten durchgeführt werden. Im Jahr 2021 wird es wichtiger als je zuvor, dass Experten für Technologie, Privatsphäre und Datenschutz zusammenkommen und die Gesetzgebung unterstützen, ihre Ziele zu erreichen und gleichzeitig die Grundwerte der Demokratie und Freiheit der Bürger zu schützen.

751 Artikel zu „Sicherheit Prognosen“

NEWS | TRENDS 2020 | TRENDS SECURITY | IT-SECURITY

Drei Prognosen zur Anwendungssicherheit für 2020

2. Januar 2020

Das sind die drei wichtigsten Trends im Bereich Anwendungssicherheit für 2020: Steigende Komplexität, Open Source und DevSecOps. Veracode veröffentlichte vor Kurzem die zehnte Ausgabe ihres jährlich erscheinenden State of the Software Security (SoSS) Reports [1]. In diesem beschreibt der Anwendungssicherheitsspezialist, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat…