Illustration: Absmeier, Lumapoche
Kaum zu glauben, aber (auch) 2018 ist wieder wie im Flug vergangen. Das Jahr war geprägt von Sicherheitslücken und Datenschutzverletzungen. Betroffen nicht zuletzt die einflussreichsten Sozialen Medien der Welt. Die Mutter aller sozialen Medien, Facebook, hatte in dieser Hinsicht ein ziemlich desaströses Jahr.
Ende September gab das Unternehmen bekannt, dass bis zu 50 Millionen Benutzer von einer schwerwiegenden Sicherheitslücke betroffen waren. Das setzte, nach der wirklich erstaunlichen Enthüllung vom März dem Ganzen die Krone auf. Wir erinnern uns. Das Politikberatungsunternehmen Cambridge Analytica hatte sensible Daten von bis zu 87 Millionen Facebook-Nutzern ohne deren Erlaubnis und Wissen gesammelt. Als Folge dessen brach der Aktienkurs von Facebook dramatisch ein, und CEO Mark Zuckerberg selbst verlor fast 11 Milliarden Dollar. Im April musste er vor einem Kongressausschuss aussagen. Ist Zuckerberg also wirklich gerüstet für 2019? Es sieht nun so aus, als würde das Unternehmen den Kauf einer großen Cybersecurity-Firma erwägen, um Sicherheitslücken in Zukunft zu vermeiden …
Dann war da noch das Google+. Das Netzwerk teilte jüngst mit, dass private Daten einer halben Million Nutzer offengelegt worden seien. Die Sicherheitslücke war schließlich das endgültige Todesurteil für das soziale Netzwerk.
Natürlich beschränkten sich Sicherheitslücken 2018 nicht auf Social-Media-Magnaten. Handels- und Restaurantketten waren ebenfalls betroffen, wie Macy’s, Best Buy, Panera Bread und Whole Foods. Und natürlich gab es eine Reihe von Sicherheitslücken bei medizinischen Daten und solche, die sich gegen Behörden richteten.
Wenn Unternehmen mehr und bessere Vorkehrungen treffen, wird 2019 in Sachen Cybersicherheit vielleicht ein besseres Jahr. Die Sicherheitsexperten von GlobalSign haben wieder einmal in ihre sprichwörtlichen Kristallkugeln geschaut. Dies sind einige ihrer Prognosen für 2019.
Deutlich mehr digitale Signaturen
Die Einführung digitaler Signaturen wird zunehmen. Das gesetzliche eIDAS-Regelwerk fungiert dabei als Goldstandard für elektronische Signaturen und digitale Identitäten. Unternehmen und Behörden werden ihre Arbeitsabläufe rasch digitalisieren und solide rechtliche Grundlagen für digitale Signaturen schaffen. Und damit den Weg endgültig für papierlose Workflows frei machen.
Lila Kee, General Manager und Chief Product Officer
Verifizieren von Identitäten bei Bitcoin unabdingbar. PKI wird zum De-facto-IoT-Standard.
Bitcoin hat seine dominierende Rolle bei den Kryptowährungen zurück. Damit wird es unabdingbar, Identitäten zuverlässig zu verifizieren. Nicht zuletzt, weil die Layer-2-Lösung, das Lightning-Netzwerk, von etablierten Zahlungsdienstleistern schnell akzeptiert worden ist.
Indes wird PKI zum De-facto-Standard für IoT-Authentifizierung und IoT-Identität. Frühe IoT-Projekte gewinnen an Popularität und Akzeptanz, insbesondere was Anwendungen für die Industrie, die Energiewirtschaft, die Medizin und die Telekommunikation anbelangt. Blockchain ist nicht mehr wegzudenken, und es geht dabei um weit mehr als nur um Kryptowährungen. Wie bei allen neuen Technologien geht es darum, konkrete Anwendungsmöglichkeiten zu finden und besagte Technologien für die Massenvermarktung kompatibel zu machen. Unternehmen werden im nächsten Jahr in Forschung und Entwicklung investieren, um Wege zu finden, diese Technologie für andere Zwecke, wie etwa Smart Contracts und Authentifizierung, einzusetzen.
Lancen LaChance, Vice President Geschäftsbereich IoT
Die Welt wird der EU bei ihren Schritten zur Bekämpfung von Online-Betrug folgen
Unter Führung der EU werden Länder auf der ganzen Welt zunehmend Gesetze verabschieden, die hochsichere Signaturen für digitale Verträge und Transaktionen erfordern. Mit dem Ziel, Online-Betrug und -Kriminalität durch die Gewährleistung von Identität und Integrität zu bekämpfen.
Die Notwendigkeit von sicheren Identitäten bei Blockchain wird zunehmend relevanter, und verschiedene Interessengruppen werden Vorschläge zur Lösung des steigenden Bedarfs an Identitäten unterbreiten. Zur Lösung des Problems wird die PKI-Technologie verwendet werden, denn sie verknüpft Identitäten mit Blockchain-Adressen.
Co-sourced SOC: Immer mehr Unternehmen werden auf ein co-sourced Security-Operations-Center-Modell umstellen. Dabei beschäftigt sich ein externer Experte mit der erweiterten Analyse von sicherheitsrelevanten Vorkommnissen, während man sich intern um das eigentliche Sichten und Bearbeiten derselben kümmert.
Mehr und mehr IoT-Geräte und -Technologien erreichen die Märkte für Endverbraucher und Unternehmen. Wir werden also auch deutlich mehr Datenschutzverletzungen aufgrund von Sicherheitslücken bei diesen Geräten erwarten können. Als Folge davon wird sich der Fokus verlagern, und die Schwierigkeiten beim Schützen von IoT-Geräten und IoT-Netzwerken werden stärker in den Vordergrund treten.
Arvid Vermote, Chief Information Security Officer
E-Mail bleibt weiterhin ein leichtes Ziel für Phisher
Über E-Mail kommunizieren wir mit Diensten, die wir tagtäglich nutzen und denen wir vertrauen. Diese Mails lassen sich täuschend echt imitieren oder kopieren, und selbst erfahrene Nutzer sind dagegen nicht gefeit. 2019 werden »socially engineered« Mails und zielgerichtete Phishing-E-Mails der nächsten Generation weiter zunehmen. Sie suggerieren erfolgreich, von vertrauenswürdigen Absendern zu stammen. Das wiederum führt zu Beeinträchtigungen der Produktivität und zu finanziellen Verlusten.
John Murray, Vice President Sales – West
IAAS-Anbieter werden Best Practices für Sicherheit vorantreiben
Anbieter von Infrastruktur-as-a-Service (IAAS) wie Google, Microsoft (Azure) und Amazon Cloud werden 2019 Best Practices für Sicherheit für das IoT vorantreiben. Dieses Jahr fehlten Standards und Vorschriften noch weitgehend, und das wird sich vermutlich auch nächstes Jahr noch nicht ändern. Aber IAAS-Anbieter werden ähnlich vorgehen wie Google Best Practices im Bereich SSL vorangetrieben hat. Letztendlich werden diese Sicherheitspraktiken zu De-facto-Regeln werden. Angesichts der Fortschritte bei Verwaltungsplattformen und den Fähigkeiten von IoT-Geräten sollte das für niemanden überraschen. Und es ist eine Entwicklung, die sich insgesamt positiv auf das Sicherheitsbewusstsein von Unternehmen und damit auf Cybersicherheit im Allgemeinen auswirkt.
Nisarg Desai, Direktor Produktmanagement, IoT-Lösungen
Die Auswirkungen der DSGVO über 2018 hinaus
2018 war das Jahr, auf das wir alle gewartet haben. Sechs Jahre lang hat die Datenschutzwelt mit Spannung auf die nächste Generation von Vorschriften gewartet, die bestehende DS-Gesetze auf ein völlig neues Niveau gehoben haben. Vermarkter waren darauf nicht ganz so erpicht. Seit Inkrafttreten der DSGVO am 25. Mai 2018 sind einige interessante Dinge passiert. Allen voran hat die ICANN den Kopf in den Sand gesteckt, und erst ein deutsches Gericht lieferte uns Orientierungshilfe und einen Präzedenzfall zur Datenminimierung (Hinweis: Wenn man sie nicht braucht, sollte man sie nicht erheben). Wir werden also 2019 zweifellos einen deutlichen Anstieg bei der Zahl der Unternehmen erleben, die sich konkret mit der DSGVO auseinandersetzen. Bereits jetzt, im November 2018, deuten Untersuchungen darauf hin, dass weit weniger als 50 % der Geschäftswelt vollständig konform sind. Die britische Datenschutzbehörde (Information Commissioner‘s Office (ICO)) erörterte die Straffung des Antrags- und Akkreditierungsprozesses für verbindliche interne Datenschutzvorschriften (Binding Corporate Rules (BCR)), die hoffentlich nächstes Jahr umgesetzt wird. Ich habe mit vielen Unternehmen gesprochen, die sich um eine Rechtsgrundlage bemühen, um ihre Daten auf globaler Ebene zu verarbeiten. Aber Standardvertragsklauseln und BCRs sind für sie einfach zu schwierig. Datenschutzbeauftragte (DSB) und Leiter von Rechtsabteilungen (Chief Legal Officers (CLO)) würden deshalb ein wenig Unterstützung seitens der Aufsichtsbehörde durchaus begrüßen.
Bei den anstehenden Änderungen der Regelungen zum Schutz der Privatsphäre in der elektronischen Kommunikation (PECR) zur engeren Angleichung an die DSGVO werden Vermarkter interessante Strategien entfalten, und die politischen Klimaveränderungen zum Ende des ersten Quartals, werden die Datenverarbeitung enorm beeinflussen.
2019 wird auch das Präzedenzfallgesetz erwähnenswert sein. Momentan richten sich alle Augen auf die Vorlieben von Google und Facebook. Aber in den folgenden 12 Monaten werden, wie ich hoffe, einige momentan noch uneindeutige Bereiche klarer werden. Man hofft, dass bis Ende des Jahres die meisten Interpretationen und Vermutungen, die ich derzeit im Gespräch mit führenden Datenschützern erlebe allmählich klaren und prägnanten Aktionsplänen Platz machen. 2019 sollte es keine Daten in Klartext geben. Zum Schutz von Datenbanken, Dateien und E-Mails ist die Verschlüsselungstechnologie leicht zugänglich. Wenn diese kombiniert mit Lösungen zur Schlüsselverwaltung und IAM eingesetzt wird, ist das eine sehr effektive Form der Abwehr und für einen verifizierten Zugang zu Ihren sensiblen Datenbeständen.
Ein weiterer großer Bereich für Änderungen in 2019 sind die vertraglichen Beziehungen zwischen vertrauenden Parteien. Nach Artikel 28 und 30 der Verordnung unterliegt die Haftung für Datenverlust sowohl dem Verantwortlichem als auch dem Auftragsverarbeiter. Ich sehe bereits jetzt Vertragsklauseln, die deutlich sorgfältiger ausgearbeitet wurden und die diese zusätzlichen Pflichten, Verpflichtungen und Verantwortlichkeiten in Bezug auf Informationssicherheit und Daten-Governance enthalten.
Richard Hancock, Manager für Datenschutz und Privatsphäre der GMO Group – West
Papierloses Arbeiten wird die Einführung digitaler Signaturen beschleunigen
Um die Digitalisierung zu erleichtern, ist papierloses Arbeiten ein Muss. Damit beschleunigt sich 2019 die Einführung digitaler Signaturen mit den entsprechenden Standards, die ihnen die nötige Vertrauenswürdigkeit gewähren. Das ist mit hohen Kosten verbunden. Die Branche wird also versuchen Wege zu finden, das Sicherheitsniveau aufrechtzuerhalten und die für Prozesse und Hardware erforderlichen Ressourcen zu reduzieren. Cloud-Lösungen werden folglich weiterhin florieren.
Jose Sue Smith, Senior Sales Engineer
Die wachsende Zahl »neuer« Nutzer von Mobilbanking wird für Kriminelle ein neues Hauptziel sein – auch wenn die Angriffe der Infrastruktur und nicht unbedingt den Kunden selbst gelten
Geschwindigkeit und Wettbewerb bedeuten radikalen Wandel für traditionelle Banking-Modelle. 2018 dominierte Digital Banking. Open Banking breitete sich aus und traditionelle Banking-Modelle werden seltener. Handys fungieren zunehmend auch als Brieftaschen. 2019 werden Cyberangriffe zunehmen – eine wachsende Zahl neuer Mobilbanking-Nutzer wird für Kriminelle ein Hauptziel sein – auch wenn sich die Angriffe gegen die Infrastruktur und nicht unbedingt gegen die Kunden direkt richten.
Konnektivität ist nun zwingend erforderlich. Das wiederum bedeutet, dass unterschiedliche Branchen das 2019 schnell erkennen und sich anpassen müssen, um eine sichere Methode zur Verifizierung digitaler Identitäten bereitzustellen. Wir sollten bedenken, dass, wenn in einem wettbewerbsintensiven Markt ein Dienst versagt, die Folgen immens sind. Insbesondere für den Ruf eines Unternehmens und einer Marke.
2017-2018 war eIDAS (Electronic Identification, Authentication und Trust Services) im Finanzsektor noch kein weithin bekannter Begriff. Das wird sich ab 2019 ändern. Denn Finanzinstitute sind daran gebunden die erforderlichen rechtlichen Verpflichtungen einzuhalten. Und sie müssen gewährleisten, dass sie mit Sicherheit wissen, wer ihre Kunden sind. Das gilt auch für den Versicherungssektor, da die Regelungen für grenzüberschreitende Dienste und Zahlungen in anderen EU-Staaten im kommenden Jahr in Kraft treten und die Sorgfaltspflicht gegenüber Kunden oberste Priorität hat. Infolgedessen werden sich die Sicherheitsausgaben 2019 um geschätzte 10 % erhöhen, was sowohl auf die DSGVO als auch auf die Anforderungen an die Datensicherheit und die Anwendungssicherheit sowie das Identity Access Management zurückzuführen ist.
Dawn Illing, EMEA, Regional Product Manager
Es bleibt zu hoffen, dass die schmerzhaften Lehren, die 2018 gezogen wurden, im nächsten Jahr zu mehr und besseren Sicherheitspraktiken führen werden. Und somit hoffentlich zu weniger Sicherheitsverletzungen und Cyberangriffen weltweit.
Amy Krigman
Trendbarometer wirft Schlaglicht auf Status der IT-Sicherheit
IT-Sicherheitsvorhersagen 2018 – Von Ransomware bis Business E-Mail Compromise
Cybersicherheit 2018 – Unternehmen müssen Datenintegrität besser verstehen