Sicherheitstrends 2016: Ein sicherer Blick in die Glaskugel

2016 rückt näher, und mit dem Jahreswechsel kommen auch neue Herausforderungen in der IT-Security-Landschaft auf uns zu. Heute informieren wir Sie darüber, mit welchen Sicherheitstrends Sie im kommenden Jahr rechnen können.

Trend im Datenschutz: Die Themen des Jahres 2016

Datenschutz hat uns bereits in diesem Jahr sehr stark begleitet: noch immer leben wir im Schatten der Enthüllungen Edward Snowdens. Der Schutz unserer persönlichen Daten hat an Relevanz gewonnen – gleichzeitig aber auch der Hunger nach unseren Daten von Großkonzernen, Hackern und Datenhändlern. Einer Studie von der Nationalen Initiative für Informations- und Internet-Sicherheit e. V. (NIFIS e. V.) zufolge, werden „die Ausgaben für IT-Sicherung und Datenschutz im nächsten Jahr kräftig ansteigen. Mehr als die Hälfte der deutschen Firmen (53 Prozent) rechnet damit, dass die Investitionen in 2016 weiter zunehmen werden. 44 Prozent gehen von einer Steigerung mindestens um ein Drittel, neun Prozent sogar von einer Verdopplung der Ausgaben aus.“

2015 kippte das Safe Harbor-Abkommen (EuGH-Urteil, Az. C-162/14). Aktuell wird über einen möglichen Nachfolger diskutiert; eine Art Safe Harbor 2.0. Die Gespräche sollen noch bis Mitte Januar 2016 andauern um dann einen fertigen Gesetzesentwurf auszuhandeln. Jedoch müssen die dann stehenden Vereinbarungen den strengen Vorgaben vom EuGH Rechnung tragen. Ob dies bis Mitte Januar in aller Gänze gelingt, darf bezweifelt werden, denn viele Details müssen geklärt werden, damit das Abkommen nicht zu einem billigen Abklatsch seiner selbst wird.

Auch die EU-Datenschutz-Grundverordnung („General Data Protection Regulation“, GDPR) wird heiß diskutiert und in 2016 verabschiedet werden. Ziel ist es, personenbezogene Daten innerhalb der EU zu schützen, aber den freien Datenverkehr im Europäischen Binnenmarkt zu gewährleisten. Die Datenschutz-Grundverordnung regelt das Verarbeiten personenbezogener Daten durch öffentliche Institutionen sowie durch Privatunternehmen. Die am 15.12.2015 geschlossene Einigung zwischen Rat und Parlament wurde zwei Tage später durch den Innen- sowie Rechtsausschuss im Parlament mit großer Mehrheit angenommen; eine Abstimmung im Plenum des Parlaments soll im März/ April 2016 stattfinden. Umgesetzt werden sollen die neuen Regeln von den Mitgliedsstaaten binnen zwei Jahren.

Am 25. Juli 2015 trat das IT-Sicherheitsgesetz in Kraft, das gänzlich neue Anforderungen für all jene stellt, die kommerzielle Webprojekte betreiben, und deutlich erhöhte Anforderungen an jene, die sogenannte Kritische Infrastrukturen (KRITIS) betreiben. Bereits in 2015 informierten wir Sie darüber, unter anderem mit unserer speziell fürs IT-SiG eingerichtete Website itsg-faq.de. Auch in 2016 unterstützen wir Sie diesbezüglich: neben unserer kompetenten Beratung über die Anforderungen des IT-Sicherheitsgesetzes betreuen Sie unsere zertifizierten Experten und stehen Ihnen unterstützend zur Seite. Um den aktuellen Reifegrad Ihrer IT-Infrastruktur zu erfassen, führen wir gerne eine Informationssicherheitsanalyse bei Ihnen durch oder wir schulen Sie in verschiedenen Bereichen.

Es existieren zahlreiche Baustellen im Bereich Datenschutz. Die Anforderungen wachsen mit den kriminellen Aktivitäten. Der Schwarzmarkt für gestohlene Daten ist ein finanzstarker Sektor geworden. Viele Kriminelle möchten die gestohlenen Daten in Big-Data-Warehouses anknüpfen, um den Datenschatz noch interessanter zu machen. Deshalb werden wir in 2016 weiterhin mit Angriffen auf persönliche Daten rechnen können.

Datensicherung & -archivierung

Aufgrund rasant zunehmender Datenmengen (Stichwort „Big Data“) werden auch Datensicherung und -archivierung Themen sein, mit denen wir uns 2016 auseinandersetzen müssen. Ein Großteil der Daten liegt unstrukturiert in Clouds und auf Festplatten – die Datenexplosion der vergangenen Jahre verändert die Struktur in Rechenzentren und unstrukturierte Daten sind nicht verwertbar. Es müssen Strategien gefunden werden, die Zeitfenster für die unbedingt notwendigen Backup-Prozesse zu verkürzen, die Sicherheit der Backups jedoch zu steigern. Idealerweise setzt man sich Recovery-Ziele und findet anschließend einen Prozess, der es erlaubt, eben diese möglichst effizient einzuhalten. Damit kommen wir gleich zu einem weiteren Sicherheitstrend für 2016:

Sicherheit beim Cloud Computing

Als das Safe Harbor-Abkommen im Oktober 2015 kippte, stiegen die Sicherheitsbedenken gegenüber Speicherlösungen außerhalb der EU. Lokale europäische Schutzbestimmungen dürfen nicht ausgehebelt werden, urteilte der EuGH. Noch mehr jedoch wirken Snowdens Enthüllungen nach: dem Verbraucher sowie den Unternehmen ist bewusst geworden, wie unsicher es ist, US-Unternehmen Daten anzuvertrauen. Die US-Regierung kann sich jederzeit Zugriff auf eben diese Daten verschaffen.

Deshalb die Cloud als Speichermedium zu verteufeln, wäre der falsche Weg. Sie ist und bleibt ein nützlicher Baustein innerhalb der IT-Infrastruktur, wenn die Rahmenbedingungen stimmen. Diese Rahmenbedingungen sind dann gegeben, wenn weder Regierungen noch andere Unternehmen oder Hacker Zugriff auf die gespeicherten Daten erhalten. Deshalb entscheiden sich Unternehmen vermehrt, auf lokalen Servern in europäischen Rechenzentren zu speichern. Ein hehrer Gedanke, der jedoch seine Tücken hat: steht dahinter ein US-Unternehmen, können US-Behörden dennoch auf die Herausgabe der Daten pochen. Die Klärung dieser Gegebenheiten wird eine der Herausforderungen, denen wir 2016 gegenüberstehen. Aktuell bleibt Ihnen nur eines: ergreifen Sie selbstständig effiziente Maßnahmen, um Sicherheit bei Ihnen vor Ort zu gewährleisten.

Vernetzung: Sicherheit bei Collaborationen

In Clouds, in sozialen Netzwerken, in Intra- und Extranets: heute treffen Unternehmen ihre Partner, Kunden, Lieferanten und Dienstleister virtuell. Arbeit vernetzt sich; Home-Office-Kollegen arbeiten mit dem Vertrieb zusammen, der wiederum mit externen Lieferanten agiert, die wiederum mit der Rechnungsabteilung im Unternehmen vernetzt sein müssen. Ohne Vernetzung geht in 2016 gar nichts. Deshalb ist das eine der großen Herausforderungen des kommenden Jahres: wie gelingt die sichere Vernetzung?

Hier geht es nicht nur um das Medium, über das die Vernetzung stattfinden soll. Es gilt, Benutzern ausschließlich jene Berechtigungen zu geben, die tatsächlich notwendig sind, Zugriffe und Aktivitäten zu kontrollieren, Sicherheitsmechanismen zu schaffen (etwa den unverzüglichen Verlust eines Zugriffs im Bedarfsfall oder der Sicherung durch eine Zwei-Faktor-Authentifizierung) – kurzum: es gilt, den gesamten Workflow auf Sicherheit auszurichten. Keine leichte Aufgabe! Allerdings zwingend notwendig, um den steigenden Bedrohungen etwas entgegensetzen zu können und gleichzeitig das Image eines sicheren Unternehmens aufrecht zu erhalten – damit Kunden, Partner und Dienstleister sich ebenfalls sicher fühlen können, wenn diese mit Ihnen zusammenarbeiten.

Erhöhte Risiken durch eigene Mitarbeiter

55 % aller sicherheitsbedenklichen Vorfälle in Unternehmen gehen auf Mitarbeiter bzw. Insider zurück – zum Teil unwissentlich, zum Teil jedoch auch in vollem Bewusstsein und in voller Absicht. Zu diesem Schluss kam der „Cyber Security Intelligence Index“, den IBM jährlich erstellt. 55 %: eine erschreckende Zahl! Dass diese geringer wird, ist mehr als unwahrscheinlich: Trends wie BYOD und Wearables, die ein Einfallstor für Cyberkriminelle auf Smartphones sein können, bringen solche Entwicklungen mit sich. Warum? Weil das Bewusstsein dafür fehlt, dass Zugriffe innerhalb von Unternehmen Risiken bergen. Laxe Sicherheitsvorgaben, etwa gemeinschaftlich genutzte Accounts sowie schwache Passwortvorgaben, aber auch fehlende Compliance-Regeln sowie veraltete Soft-/Hardware erfreuen die Herzen von Cyberkriminellen.

Es lohnt sich, über Maßnahmen nachzudenken, die Sicherheitsverletzungen, seien sie nun unbeabsichtigt oder in voller Absicht durchgeführt worden, automatisch erkennen und dem entgegensteuern. Versenden beispielsweise Mitarbeiter sensible Informationen, lässt sich automatisch eine Verschlüsselung dieser sensiblen Daten einrichten. Weiter verringert ein abgestuftes Berechtigungsmanagement die Risiken: Anwender erhalten nur so viel Zugriff, wie sie gemäß ihrer Rolle im Unternehmen tatsächlich benötigen. Spezifische Zugriffsrechte erhöhen die Sicherheit enorm.

Zusätzliche Maßnahmen können sein: E-Mails und andere Inhalte werden konsequent verschlüsselt, Logging sorgt für unlöschbare und manipulationssichere Aufzeichnungen, Compliance-Regeln werden gemeinsam mit Mitarbeitern aufgestellt und auf deren Einhaltung wird gepocht. Auch für Social Networks und eigene Devices werden Verhaltensregeln aufgestellt. Denn: eigene Geräte, aber auch Apps und Programme bilden in etlichen Unternehmen bereits eine Schatten-IT-Infrastruktur.

Um diesem Wildwuchs entgegenzuwirken, wird eine der Herausforderungen in 2016 sein, die Bedürfnisse zu beachten, die die eigenen Mitarbeiter haben – insbesondere bei sicherheitsrelevanten Anwendungen wie der Verschlüsselung. Sieht sich die IT-Abteilung eines Unternehmens als eine Art „interner Dienstleister“, ist bereits viel gewonnen. So kann ein IT-Service-Katalog erstellt werden, der nutzerfreundliche Lösungen enthält, aus denen die Mitarbeiter wählen können. Apropos IT-Abteilung; ein weiterer Trend in 2016 ergibt sich daraus:

Fehlende Sicherheitsexperten

Insbesondere in kleinen und mittelständischen Unternehmen fehlt es oftmals an Experten für das Thema Sicherheit. Sicherheit setzt Fachkompetenz voraus, und existiert diese nicht in einem Unternehmen, kann keine Sicherheit hergestellt werden. Datenklau und andere cyberkriminelle Handlungen treffen längst nicht mehr nur Großunternehmen. Dies ist nicht nur ein Sicherheitstrend von 2016, dem sich Unternehmen widmen sollten, sogar müssen, sondern auch für uns ein persönliches Anliegen. Aus diesem Grund werden wir Ende des ersten/ Anfang des zweiten Quartals 2016 die PSW-Academy eröffnen und Ihnen Informationssicherheitsschulungen anbieten.

Dem Internet of Things fehlt es an Sicherheit

Ein Trend, der in diesem Jahr so richtig begann und im kommenden Jahr mit heftigen Herausforderungen zu kämpfen haben wird, ist das Internet of Things – das Internet der Dinge (kurz: IoT). Das Vernetzen von Geräten wird immer umfassender; in der Industrie stehen Automatisierungen bevor, die über die Maschinen- und Anlagengrenzen hinweg funktionieren sollen. Das verspricht Flexibilität sowie Kostenvorteile. Um diese nutzen zu können, muss gewährleistet sein, dass Unternehmen so wenig Risiken wie möglich eingehen. Wenngleich im Internet der Dinge grundsätzlich verschlüsselte Übertragungsprotokolle Einsatz finden sollen, existiert noch keine Gewähr für Sicherheit. Dass sich Hersteller oftmals nicht genügend Gedanken um Sicherheit machen, beweist die Vergangenheit eindrucksvoll. Identisches Schlüsselmaterial auf verschiedenen Geräten hat es bereits gegeben, sodass es ein Leichtes war, mit dem privaten Schlüssel eines Devices an die Daten von anderen vernetzten Geräten zu kommen.

Das Hacken dieser Produkte ist ebenfalls nicht sonderlich schwer. Probleme dieser Art dürften sich in 2016 verstärken, da sich die Vernetzung verstärkt. Dies geht Hand in Hand mit dem Thema „Sicherheitsproblem Mitarbeiter“: stellen Sie sich vor, Herr Schmidt aus dem Vertrieb hat sich als Vorsatz vorgenommen, seine Fitness zu steigern. Nun trägt er ein Fitnessarmband, das mit seinem Smartphone vernetzt ist. Darauf befinden sich nicht nur persönliche Daten seiner Kunden, sondern auch der Zugang zum Firmennetz – ohne ausreichend beschränkte Zugriffsrechte. Hacker finden im Handumdrehen Zugang zum Firmennetzwerk – nur weil Herr Schmidt seine Fitness optimieren wollte.

Unser „Always-on“-Status führt dazu, dass wir nicht mehr „ins Internet gehen“, sondern dauerhaft übers World Wide Web kommunizieren. Wir schicken keine SMS, wir WhatsAppen. Wir telefonieren nicht mehr, sondern wir skypen. Wir speichern nicht mehr lokal, wir nutzen die Cloud. Always on bedeutet: immer Sicherheitsrisiken ausgesetzt. Mit einem Mehr an Vernetzung, das zweifelsfrei stattfinden wird, gibt es auch ein Mehr an Bedrohungen, denen wir uns genauso zweifelsfrei anzunehmen haben, um die Sicherheitsrisiken so gering wie möglich werden zu lassen.

Sicherheitstrends 2016: es geht um das Zusammenwachsen der Trends vergangener Jahre

Alle genannten Sicherheitstrends, die wir 2016 erwarten, laufen auf eines hinaus: die Digitalisierung. Sie ist die Herausforderung, mit der wir es im kommenden Jahr zu tun bekommen werden. Es wird also gar nicht um neue Themen gehen, sondern wir werden uns damit beschäftigen müssen, wie die Trends der vergangenen Jahre sicher zusammenwachsen können. Die Technologien vergangener Jahre sind nun gereift. Themen wie Big Data bzw. Analytics, Mobility und Connectivity, Social Media sowie Cloud Computing werden nicht mehr kritisch beäugt, sondern wie selbstverständlich angewendet. Sie führen zu neuartigen Produkten und Dienstleistungen, aber auch zu der Bedingung, neue Prozesse und Wertschöpfungsketten in Gang zu setzen.

Die Anforderungen an die IT-Sicherheit werden sich in 2016 verändern. Nicht nur, weil der Gesetzgeber mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung neue Anforderungen schafft. Sondern auch, weil ob der Vernetzung ganzheitliche Ansätze notwendig geworden sind. Es geht nicht mehr um die Sicherheit einer IT-Infrastruktur. IT-Strategien in 2016 müssen agil, anpassungsfähig, flexibel, reaktiv, skalierbar, schnell, einfach – aber eben auch sicher und effizient sein. Die Anforderungen sind immens, muss die Security-Strategie doch möglichst kurzfristig dabei unterstützen, einen Freiraum für Innovationen zu lassen, gleichzeitig jedoch vorhandene Infrastrukturen sowie neue Plattformen und Prozesse zukunftssicher zusammenzuführen.

Diese Aufgabenstellung ist hochkomplex. Nur Sicherheitsstrategien, die für alle Beteiligten anwendbar sind, werden die neuen Risiken, denen wir 2016 gegenüberstehen, mindern können. Datenschutzfragen, die wir noch nie vorher stellen mussten, brauchen nun eine Antwort. Und wir, das gesamte Team der PSW GROUP, haben uns für 2016 vorgenommen, Ihnen auf den Weg zu diesen Antworten zu helfen. Wir gehen in unser 16. Geschäftsjahr, um Sie tatkräftig dabei zu unterstützen, dass 2016 zum sicheren Jahr wird. Ob auf Verbraucher- oder Unternehmensseite: Ihre Herausforderungen sind uns bekannt und wir unterstützen Sie auch im kommenden Jahr partnerschaftlich auf sicheren Wegen!