Illustration: Absmeier – Congerdesign
Boris Cipot, Senior Security Engineer, Synopsys SIG
»In diesem Jahr wurden wir mit einer Vielzahl an Technologie-Hypes konfrontiert. Einige repräsentieren sicherlich die nächste Stufe der Technologie-Evolution, und die anderen sind für die Unternehmen gedacht, die noch versuchen, auf den Digitalisierungszug aufzuspringen. Ein Trend, der sich im kommenden Jahr mit den folgenden Themen fortsetzen wird:
Digitalisierung:
Die Digitalisierung ist natürlich schon seit Jahren ein zentrales Thema. Wie abhängig so gut wie jedes Unternehmen von Software ist, wird jedes Jahr deutlicher. Selbst traditionelle Hardwarefirmen verlagern sich in den Softwarebereich. Dies gilt etwa für die Industrie und die Automatisierungstechnik, wo mittlerweile physische Hardwareteile wie SPS zu virtualisierter Software werden, die auf Computersystemen läuft, bis hin zur Automobilindustrie, wo es nicht mehr nur um die Autoteile geht, sondern um die Software, die sie verwaltet. Es gibt zahllose weitere Beispiele aus anderen Märkten. Klar ist, dass sich niemand vor der Tatsache verstecken kann, dass Software der Hauptmotor der modernen Gesellschaft ist. Digitalisierung ist zu einem Muss geworden, und Firmen werden sich noch lange über 2023 hinaus damit beschäftigen. Das gilt auch für die nötigen Anpassungen, für Schulungen und das Thema Sicherheit ganz grundsätzlich. Es ist wichtig, einen Plan zu haben, aber bewahren Sie sich Ihre Flexibilität. Ein Plan, der heute greift, kann schon in einem halben Jahr unbrauchbar sein. Lernen Sie also bei der Umsetzung. Schulen Sie Mitarbeitende, damit Ihre Belegschaft wirklich versteht, warum diese Veränderungen notwendig sind und damit alle mit Sicherheitsfragen vertrauter werden. Nicht jeder ist ein Sicherheitsexperte oder kennt sich in der Tiefe mit einer Technik aus.
Virtuelle Realität/Erweiterte Realität /Metaverse:
Eine höhere Stufe der Digitalisierung ist sicherlich die virtuelle Welt, wie viele sie etwas aus dem Virtual Gaming kennen. Das Konzept des Metaverse, dem Zusammenschluss in einer virtuellen Umgebung mit Avataren etc. ist allerdings völlig neu und sorgt damit für einen Hype, der sich im Jahr 2023 weiter entwickeln wird. Die ist Idee an sich ist nicht neu. Es gibt bereits seit Jahren Simulationsspiele wie Sims oder Second Life, aber deren Verbindung mit virtueller und erweiterter Realität hebt sie auf eine ganz neue Ebene. Die entsprechenden Bedrohungen werden sich nicht nur, aber vor allem im Bereich der Cybersicherheit entwickeln. Man liest bereits von virtuellen Immobilienmaklern, die digitale Häuser und Büros verkaufen. Und in diesem Bereich können wir noch viele andere Dienstleistungen erwarten. Wo etwas zu holen ist, ist naturgemäß auch bei Cyberkriminellen das Interesse schnell geweckt. Phishing, Ransomware, Identitätsdiebstahl – all diese Bedrohungen können und werden vermutlich Teil dieser neuen Realität sein. Im Jahr 2023, wenn der Hype um das Metaverse weiter zunimmt und sich seine Möglichkeiten entwickeln, werden wir vermutlich auch Services sehen, die um entsprechende Sicherheitsmaßnahmen kümmern.
KI:
Ein großer Teil des digitalen Lebens besteht mittlerweile aus KI, intelligenten Helfern, Bots und allem, was unser Leben schneller und einfacher macht. Die Entwicklung dieser Technologien wird auch im nächsten Jahr weitergehen. KI-Technologien bergen mit Sicherheit gewisse Gefahren, wenn auch weniger, dass die die Weltherrschaft übernehmen. Ich mache mir vielmehr mehr Sorgen um die Daten, die genutzt werden, um eine KI zu trainieren und intelligenter zu machen. Solange Unternehmen, die KI entwickeln, die Informationen, die sie für ihre Datensätzen verwenden – also in der Regel unsere privaten Daten –, ordnungsgemäß handhaben und schützen, ist das OK. Aber diese Handhabung ist oft wenig transparent und kaum verständlich. Kurz gesagt: Wir werden auch im Jahr 2023 mit Sicherheit etwas über Datenschutzverletzungen in diesem Bereich zu hören bekommen. Ob erfolgreich oder nicht, ist dabei nicht das Entscheidende. Was bleibt, ist der fade Nachgeschmack bei dem Gedanken, dass es überhaupt passieren konnte.
IOT / IOE:
Wenn es etwas gibt, das KI wirklich gut bewältigen kann, dann ist es das Netzwerk der Geräte im Internet der Dinge (IoT). Das IoT oder besser noch das IoE, also das Internet of Everything wird sich weiterentwickeln und in unserem Leben neue Bedeutung erlangen. Mit der aktuellen Energiekrise wird die Energiewende immer wichtiger. Deshalb werden wir mit Sicherheit neue Möglichkeiten sehen, wie IoT-Sensoren und -Geräte den Energieverbrauch für uns senken und die Kosten erschwinglicher machen. Allerdings müssen all diese Geräte eines richtig vermitteln, das Gefühl von Sicherheit. Es existieren immer noch etliche Geräte, die lächerlich leicht zu hacken und zu missbrauchen sind. Im nächsten Jahr und in den darauffolgenden wird das IoE aufblühen, gepaart mit Sicherheitskonzepten, die der Technologie entsprechen.
5G, die Aussicht auf 6G und Blockchain:
Wir haben kaum den technologischen Nutzen von 5G verarbeitet, und schon sprechen wir über die Vorteile von 6G. Es mag verrückt klingen, aber die Kommunikationsbranche arbeitet schon seit Jahren daran. Nächstes Jahr werden wir also noch weit mehr von 6G hören. Die Nutzung von 5G ist damit aber nicht vom Tisch. Im Gegenteil, die Entwicklung geht weiter und gerade bei der Benutzerfreundlichkeit können wir Fortschritte erwarten, aber auch bei der Problembehebung. Eine der Technologien, die sicherlich von den höheren Kommunikationsgeschwindigkeiten wie 6G profitieren wird, ist die IoT-Technologie. Zusammen mit den 6G-Netzen wird die Blockchain-Technologie in der Lage sein, eine sichere Kommunikation zwischen ihnen zu gewährleisten. Denn 6G bietet die nötige Geschwindigkeit für ein »Echtzeitnetz«, das vieles möglich macht. Auch Kryptowährungen werden von 6G profitieren. Gerade weil hier etliches an Geldwerten steckt, wird sich bei diesen Technologien im kommenden Jahr wohl einiges tun.
Gunnar Braun, Technical AppSec Account Manager, Synopsys Software Integrity Group
Von Sicherheitsplattformen zu Entwicklungsplattformen
Im letzten Jahr gab es viel Wirbel um Plattformen für die Anwendungssicherheit, die Scans orchestrieren und die Ergebnisse für immer mehr AppSec-Tools im SDLC konsolidieren. Ich gehe davon aus, dass sich dies 2023 weiter fortsetzen wird. Aber ich prognostiziere auch, dass wir eine größere Nachfrage nach AppSec-Tools zur Integration in Entwicklungsplattformen wie GitHub erleben werden. Ich sehe das ausgesprochen positiv, denn es zeigt, dass sich die Ansicht der Entwickler von »mach‘ es unsichtbar«« zu »mach‘ es zu einem (gut integrierten) Teil meines Hauses« gewandelt hat. Dies leistet einen großen Beitrag zu einer sichereren Software.
Veränderte Wahrnehmung von OSS
Der Wert von OSS liegt nicht mehr darin, dass Open Source Software kostenlos ist. Es ist vielmehr die enorme Menge an Softwarekomponenten, die für die Lösung von fast jedem Problem zur Verfügung stehen, mit dem Sie jemals konfrontiert werden. Unternehmen werden sich ihrer Abhängigkeit von OSS als Motor für ihr eigenes Geschäft immer bewusster. Viele OSS-Projekte werden von Firmen unterstützt (finanziert) – nicht nur von großen Unternehmen, die viel OSS in Eigenregie produzieren, sondern inzwischen auch von kleineren Unternehmen. Sie investieren in die Qualität und Sicherheit von OSS, damit sie diese weiterhin nutzen und sich darauf verlassen können. Meine Vorhersage für 2023 umfasst zwei Aspekte: (1) kleinere Unternehmen werden mehr in die von ihnen genutzte OSS investieren, und (2) größere Akteure werden Programme entwickeln, um Ordnung in das Chaos zu bringen, wie z. B. den Assured Open Source Software Service von Google. Wie hoch die Akzeptanz sein wird, ist noch offen.
Stanislav Sivak, Associate Managing Security Consultant, Synopsys Software Integrity Group
In diesem Jahr konnten wir eine verstärkte Nachfrage nach solchen Softwareanbietern beobachten, die ihren Kunden ihre Open-Source-SBOM zur Verfügung stellen, ebenso wie die damit verbundene Risiko-Exposition. Im kommenden Jahr werden sich die Bemühungen zumindest in größeren Unternehmen darauf richten, einen ganzheitlichen, kontinuierlichen Überblick über die Softwarezusammensetzung und die Herkunft (COTF, Open-Source, Partner) zu bekommen, anstatt lediglich punktuell vorzugehen.
Organisationen und Unternehmen sollten einen Prozess für eine zentralisierte Plattform einrichten. Diese Plattform kann mit zusätzlichen Feeds gefüttert werden, Inputs verarbeiten, den Kontext verstehen und Output (wie SBOMs) in einem geeigneten Format generieren sowie Intelligenz rund um die entsprechenden Daten bereitstellen.
Michael White, Technical Director and Principal Architect, Synopsys Software Integrity Group
Ich gebe drei zentrale Prognosen für das Jahr 2023, die alle eng miteinander verknüpft sind.
Verantwortlichkeit für Produktsicherheit wird Realität
In Anbetracht von Vorschriften wie EO 14028, EU CRA, UK PSTI und weiterer mehr müssen führende Unternehmen nun Erklärungen unterschreiben, in denen sie bestätigen, dass sie alles Erforderliche getan haben, um sicherzustellen, dass ihre Produkte sicher entwickelt werden. Und mehr noch, dass sie für die in diesen Erklärungen angegebene Lebensdauer fortlaufend Unterstützung leisten, z. B. durch Überwachung und fortlaufende Reaktion auf Schwachstellen (z. B. Bereitschaft zur Bereitstellung von Patches). In einigen Fällen bedeutet das eine Kennzeichnung von Daten im Internet, entweder aufgrund von Vorschriften oder durch freiwillige Initiativen. Das bedeutet, dass Rechts- und Compliance-Teams sowie diejenigen, die im übertragenen und wörtlichen Sinne die Produktleistungsmerkmale absegnen müssen – sehr viel stärker darauf achten werden, dass sie dies mit Überzeugung tun.
Bewusstsein für die Softwarelieferkette steigt
In dem Maße, in dem sich Unternehmen Gedanken darüber machen, was in ihrer Software enthalten sein könnte und woher es kommt, werden wir beginnen, die einzelnen Schichten zu untersuchen, um alle möglichen Randfälle zu verstehen, die angemessene Kontrollen benötigen. Da jeder Teil einer Lieferkette ist, und die meisten sich mittendrin befinden, gilt all das nicht nur intern im Unternehmen, sondern auch außerhalb. Zudem gilt es, vertrauenswürdige Bescheinigungen über die Einhaltung von Produktsicherheitsvorgaben bereitzustellen. Dazu wird viel mehr Transparenz erforderlich sein – nicht nur für die Software Bills of Materials (SBOMs), sondern innerhalb der gesamten Verantwortungskette. Etwa Informationen dazu, wer womit zu tun hatte, welche Tools verwendet wurden, welche Tests durchgeführt wurden usw. Unternehmen werden verstärkt darauf achten, ihre interne Lieferkette und die Infrastruktur für die Softwarebereitstellung zu verbessern. Und sie müssen die Anforderungen an mehr Transparenz an ihre Anbieter und Lieferanten weitergeben. Ein weiterer Nebeneffekt ist die Notwendigkeit, Open Source (und Inner Source) ernst zu nehmen – viele Unternehmen haben Open Source Program Offices (OSPOs) erstmalig eingerichtet.
Die Entwicklerplattform als Produkt
In Anbetracht der obigen Ausführungen ist es für einzelne Entwicklungsteams schlichtweg unmöglich, ihre eigenen Lebenszyklen, Entwicklungs-Toolketten und Plattformen selbst zu verwalten. Die Entwicklungsumgebungen werden daher als eigenständige Produkte behandelt und verfügen über eingebaute Sicherheitsprüfungen und -kontrollen. Das geschieht nicht nur aus Sicherheitsgründen, sondern aufgrund einer Reihe anderer Faktoren: Kosteneffizienz, Skalierung der Organisation sowie die Vorteile von Agilität, Vorhersagbarkeit und Flexibilität. Dies sollte kein restriktiver Rahmen sein, sondern vielmehr Entwicklern das Leben leichter machen. Man bietet ihnen einen praktikablen Weg an, der den späteren Verwaltungsaufwand senkt. Das Schlüsselwort ist hier »Platform Engineering«, eine Weiterentwicklung der Teams, die man derzeit als »DevOps Support« bezeichnet. Gartner prognostiziert, dass 80 % aller Unternehmen diese Denkweise bis 2026 übernehmen werden, und ich denke, das ist eine gute Sache. Es vereinfacht die Einhaltung von Vorschriften, die Sicherheit als solche und die situative Erkennung, und führt viele der bislang losen Enden zusammen.
Larry Chinski, VP Global IAM Strategy & Customer Advocacy, One Identity
Die Konvergenz des Identitätsmarktes steht unmittelbar bevor
Die Tatsache, dass auch große Unternehmen bereits zum Ziel identitätsbasierter Angriffe geworden sind (siehe Cisco und Twilio), macht deutlich, dass ein fragmentierter Ansatz für das Identity- und Access Management (IAM) nicht mehr ausreicht. Die Zukunft des IAM liegt in der Zusammenführung der vier Kernelemente der Identität (Privileged Access Management, Access Management, User Activity Monitoring und Access Governance) in einem gemeinsamen Ökosystem. Der Markt hat bereits begonnen, sich in diese Richtung zu entwickeln, und dieser Trend wird sich 2023 verfestigen. Diese Konvergenz wird das Rüstzeug von Unternehmen in Sachen Identitätssicherheit zukunftssicher machen und die Art und Weise verändern, sich vor ausgeklügelten Angriffen schützen.
Identitätssicherheit wird umso wichtiger, je mehr sich das »Metaverse« durchsetzt
In dem Maße, in dem das Metaverse an Bedeutung gewinnt und sich neue Nutzungs- und Zugangspunkte entwickeln, wird die Identitätslandschaft exponentiell wachsen – und damit neue Einfallstore und Bedrohungsvektoren für potenziell bösartige Akteure eröffnen. Schon jetzt berichten 95 % der Unternehmen über Probleme bei der Verwaltung der zahlreichen bei ihnen anfallenden Identitäten. Dazu zählen Menschen, Geräte, digitale Identitäten usw., ebenso wie die verschiedenen Orte, an denen sich diese Identitäten befinden. Die Akzeptanz des Metaverse wird wachsen und Anwender ermutigt, sich auf neuartige Weise damit zu beschäftigen und es zu nutzen – sei es über digitale oder physische Kanäle. Die Führungsetagen sollten sich vor Augen halten, wie sie Identitätssicherheit präventiv und Identitätsmanagement proaktiv einsetzen können, um Cybersicherheitsrisiken langfristig zu senken.
Dan Conrad, AD Security and Management Team Lead, One Identity
Die Cyberversicherung wird zukünftig fester Bestandteil der Cyberhygiene sein
Angesichts der Tatsache, dass kompromittierte Zugangsdaten eine der Hauptursachen für Angriffe sind, verwundert es nicht, dass wir eine breite Akzeptanz von Cyberversicherungen beobachten. Noch vor einem Jahr haben wir zu diesem Thema kaum etwas gehört. 2023 werden Cyberversicherungen jedoch zu einem festen Bestandteil der Investitionen in die Cyberhygiene werden. Quer durch alle Branchen beginnen Unternehmen zu realisieren, dass kein Geschäftsbereich vor Cyberattacken sicher ist. Und je mehr die Verantwortlichen sich bewusst sind, dass und wie Unternehmen jeglicher Größe von Cyberangriffen betroffen sind, desto mehr werden wir bei KMU wie bei Großunternehmen Investitionen in Cyberversicherungen zum Schutz gegen Datendiebstahl und Cyberkriminalität beobachten können.
»Observability« – die am meisten unterschätzte Technologie, um Cybersicherheitslösungen zu verbessern
Wir beginnen inzwischen zu erkennen, dass ein Verständnis der Daten eines Unternehmens entscheidend dafür ist, Cyberattacken vereiteln und Sicherheitsverstöße verhindern zu können. Deshalb bietet Observability die größte Chance, Probleme im Bereich der Cybersicherheit zu erkennen und zu beheben.
Lösungen, die diese Voraussetzung schaffen, erlauben es, Maßnahmen zu ergreifen und die technologische Performance mit konkreten Geschäftsergebnissen zu verknüpfen. Durch die Verbindung von Beobachtbarkeit und Identitätsmanagement haben Sicherheitsteams Zugriff auf ungleich mehr Datenmaterial zu identitätsbasierten Bedrohungen. So lässt sich auf Vorfälle in Echtzeit reagieren und Sicherheitsmaßnahmen verbessern.