{"id":9656,"date":"2023-02-08T16:39:15","date_gmt":"2023-02-08T15:39:15","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=9656"},"modified":"2023-02-08T16:39:15","modified_gmt":"2023-02-08T15:39:15","slug":"das-sind-die-cyber-security-trends-2023","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/das-sind-die-cyber-security-trends-2023\/","title":{"rendered":"Das sind die Cyber Security Trends 2023"},"content":{"rendered":"

Der Kampf gegen Cyberkriminalit\u00e4t geht 2023 in eine neue Runde. Vor dem Hintergrund geopolitischer Spannungen geraten vor allem Betreiber kritischer Infrastrukturen zunehmend ins Visier von (politisch motivierten) Cyberkriminellen. (Inter-) nationale Krisen \u2013 allen voran die Energiekrise und Wirtschaftskrise \u2013 erh\u00f6hen weiter den Druck auf Unternehmen und ihre IT-Sicherheit, unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe und Branche: Schon im letzten Jahr wurden immer mehr mittelst\u00e4ndische und kleine Unternehmen (KMU) Opfer von Cyberangriffen \u2013 ein Trend, der auch 2023 anhalten wird. Gleichzeitig steigen die regulatorischen Anforderungen an Unternehmen und neue Sicherheitskonzepte bringen Bewegung in den Markt. Wir haben die Cyber Security Trends f\u00fcr dieses Jahr ausgemacht und m\u00f6chten sie Ihnen in unserem heutigen Beitrag vorstellen.<\/p>\n

Cyber Security Trends: Neues KRITIS-Dachgesetz und Novellierung von IT-Sicherheitsgesetz<\/h2>\n

Der Krieg in der Ukraine wird nicht mehr nur mit physischen Waffen, sondern zunehmend auch im Cyberspace ausgetragen. So warnt das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) bereits vor verst\u00e4rkten Cyberangriffen auf die Kritische Infrastruktur (KRITIS)<\/a> in Deutschland, darunter Wasser- und Energieversorger, die Verkehrs- und Transportbranche, das Finanz- und Versicherungswesen, Verwaltungen und Gesundheitseinrichtungen. Bereits im letzten Jahr wurden in diesem Zusammenhang vermehrt Krankenh\u00e4user, Universit\u00e4ten und Stadtverwaltungen mit Ransomware angegriffen.<\/p>\n

Um diese Kritischen Infrastrukturen noch besser zu sch\u00fctzen, will der Gesetzgeber die Sicherheits-Anforderungen an KRITIS-Betreiber weiter versch\u00e4rfen Derzeit arbeitet das Innenministerium unter Hochdruck an einem KRITIS-Dachgesetz, welches noch in diesem Jahr die Anforderungen zu Resilienz und physischer Sicherheit an Kritische Infrastrukturen konkretisieren soll.<\/p>\n

Zudem wurde ebenfalls f\u00fcr 2023 eine Novellierung des 2021 in Kraft getretenen IT-Sicherheitsgesetzes 2.0 angek\u00fcndigt: Mit dem IT-Sicherheitsgesetz 3.0 werden Unternehmen weiterer Sektoren, darunter auch bestimmte KMU, unter die KRITIS-Verordnung fallen. Die betroffenen Unternehmen werden damit noch in diesem Jahr vor der Herausforderung stehen, das wachsende Regelwerk umsetzten.<\/p>\n

Absicherung gesch\u00e4ftskritischer SaaS-Plattformen wird wichtiger<\/h3>\n

Zunehmend nutzen Unternehmen SaaS-Plattformen f\u00fcr ihre Gesch\u00e4ftsprozesse, darunter beispielsweise SAP, Salesforce oder Oracle. Diese werden \u00fcber eine API mit anderer Software verbunden und bilden so ein gro\u00dfes \u00d6kosystem. Genau daraus entstehen Risiken, die es abzusichern gilt. Dazu geh\u00f6ren beispielsweise Konfigurationsfehler, wodurch es wiederum zu unsicheren API-Zugriffen und Datenabfluss kommen kann.<\/p>\n

Die gute Nachricht: Einige Security-Anbieter haben sich bereits auf die Absicherung von gro\u00dfen SaaS-Plattformen spezialisiert und wir erwarten, schon allein aufgrund der Relevanz dieses Themas, dass dieses Marktfeld weiter wachsen wird.<\/p>\n

Cyberangriffe: Immer mehr, immer schneller, immer ausgereifter<\/h3>\n

Kompromittierung gesch\u00e4ftlicher E-Mails, Active-Directory-Angriffe, Ransomware, Phishing oder MFA-Fatigue-Attacken (Attacken zum Knacken von Multifaktor-Authentifizierung): Die Bandbreite an Angriffsmethoden ist in 2023 gr\u00f6\u00dfer als jemals zuvor und wird f\u00fcr Cyber-Kriminelle die Basis f\u00fcr ein effektives und lukratives Gesch\u00e4ft bilden. Auch in diesem Jahr wird in diesem Zusammenhang voraussichtlich die gr\u00f6\u00dfte Bedrohung von Erpressungssoftware ausgehen: Bereits seit Jahren nehmen vor allem die Angriffe mit Ransomware zu und daran wird sich auch in diesem Jahr nichts \u00e4ndern. Im Gegenteil: Erpressungssoftware wird eine der gr\u00f6\u00dften Gefahren f\u00fcr Unternehmen, Beh\u00f6rden und Institutionen bleiben.<\/p>\n

Auch Social Engineering<\/a> bleibt in 2023 aktuell: Die Kriminellen streuen ihre Angriffe \u00fcber den massenhaften Versand von Phishing-Mails nicht mehr breit, wie noch vor einigen Jahren. Stattdessen sp\u00e4hen sie ihre Opfer gezielt aus, um erkannte Sicherheitsl\u00fccken auszunutzen. Dabei kommen Hacker immer schneller ans Ziel: Im Schnitt gen\u00fcgen ihnen elf Tage, um ihre Ziele auszuspionieren, lukrative Daten zu identifizieren, sie zu stehlen und\/oder zu verschl\u00fcsseln. Unternehmen ben\u00f6tigen deshalb zunehmend intelligente Systeme zur fr\u00fchzeitigen Angriffserkennung und Fachpersonal, das sich um deren Monitoring und eine schnelle Reaktion im Ernstfall k\u00fcmmert.<\/p>\n

Ein weiteres Problem, mit dem sich Unternehmen werden auseinandersetzen m\u00fcssen, sind zunehmende synthetische Identit\u00e4tsdiebst\u00e4hle. Dabei kombinieren Cyberkriminelle gestohlene Informationen mit falschen pers\u00f6nlichen Angaben und erschaffen daraus neue, betr\u00fcgerische Identit\u00e4ten. Mit diesen k\u00f6nnen sie dann Konten er\u00f6ffnen, im Internet einkaufen oder Kredite beantragen. Um diesem Problem Herr zu werden, werden vor allem Kredit- und Finanzinstitute, aber auch Gl\u00e4ubiger, verst\u00e4rkt Scans oder Fotos der P\u00e4sse oder Ausweise von Antragsstellern verlangen, um damit die Identit\u00e4ten zu verifizieren.<\/p>\n

Remote-Zugriffe: Zero Trust statt VPN<\/h3>\n

Hybrid Work bleibt auch in diesem Jahr ein aktuelles Thema: Arbeiten im Homeoffice, von unterwegs oder im B\u00fcro liegt im Trend. Damit haben sich aber auch die Grenzen der Unternehmensnetzwerke verschoben: Wer hybrid arbeitet, greift auf einen Gro\u00dfteil seiner Anwendungen via Software-as-a-Service (SAAS) zu. Klassische VPN-basierte Konzepte sto\u00dfen hier jedoch an ihre Grenzen und sind nicht mehr zeitgem\u00e4\u00df: Sie f\u00fchren zu Performance-Engp\u00e4ssen und Latenzen in der Cloud-Performance, da Daten immer erst \u00fcber einen sicheren Tunnel ins Unternehmensnetzwerk geleitet werden m\u00fcssen.<\/p>\n

Die Alternative bildet der Zero-Trust-Ansatz<\/a> mit SASE (Secure Access Service Edge) – ein Konzept f\u00fcr einen sicheren Remote-Zugriff, das sich hoffentlich weiter durchsetzen wird. Denn dabei werden die entsprechenden Security-Kontrollen von einer Cloud-basierten Plattform bereitgestellt, an der sich die Nutzenden per Single-Sign-On anmelden. SASE sichert alle Zugriffe ab und erm\u00f6glicht eine performante Remote-Arbeit. Allerdings gibt es bislang nur wenige, ausgereifte Angebote auf dem Markt \u2013 und die sind dann auch noch sehr teuer. Eine Weiterentwicklung darf es hier in diesem Jahr gern geben!<\/p>\n

Weniger Passw\u00f6rter: Alternativen auf dem Vormarsch<\/h3>\n

Die Sicherheitsl\u00fccke bei Uber (im September letzten Jahres gelang es einem 18-j\u00e4hrigen per Social Engineering an Login-Daten kommen und den Fahrdiensteanbieter zu hacken) konnte die Schw\u00e4chen der Multifaktor-Authentifizierung (MFA) aufzeigen.<\/p>\n

Wenngleich nicht davon auszugehen ist, dass Passw\u00f6rter 2023 komplett verschwinden, d\u00fcrfte sich die Zahl der insgesamt im Einsatz befindlichen Nutzername-Passwort-Verfahren in diesem Jahr erstmals reduzieren. Denn passwortlose Anmeldeverfahren sind auf dem Vormarsch und werden sich nach und nach durchsetzen. Solche passwortlosen Verfahren bestehen aus einem Besitzfaktor (beispielsweise ein mobiles Endger\u00e4t) und einem inh\u00e4renten Faktor (beispielsweise ein biometrisches Merkmal) und \u00fcberpr\u00fcfen die Identit\u00e4t von Nutzenden damit nicht nur sicherer, sondern auch anwenderfreundlicher, weil unkomplizierter.<\/p>\n

Dennoch werden Passwort-Manager im n\u00e4chsten Jahr allgegenw\u00e4rtig sein, was sie wiederum zu einem wertvollen Ziel f\u00fcr Hacker macht.<\/p>\n

KI und IoT<\/h3>\n

KI-gest\u00fctzte Tools sind l\u00e4ngst im Unternehmensalltag angekommen und auch der Einsatz von vernetzten Ger\u00e4ten, also das Internet of Things (IoT), wird in Unternehmen weiter zunehmen. Verst\u00e4ndlich, denn beide Technologien versprechen mehr Flexibilit\u00e4t, Effizienz und Schnelligkeit in den Betriebsabl\u00e4ufen.<\/p>\n

F\u00fcr die IT-Sicherheit bringen sie Nutzen und Herausforderung zugleich: Wo KI-Systeme gezielt die IT-Sicherheit unterst\u00fctzen und verbessern kann, k\u00f6nnen diese Systeme gleichzeitig zum Ziel von Angreifenden werden, um diese f\u00fcr ihre noch gezielteren und raffinierteren, automatisierten Attacken zu nutzen. Der Schutz von KI-Systemen vor Angriffen kommt in diesem Jahr noch h\u00f6here Priorit\u00e4t zu.<\/p>\n

Fazit zu Cyber Security Trends 2023<\/h2>\n

Es zeichnet sich f\u00fcr dieses Jahr eine vielschichtige Bedrohungslage ab. Die eine Sicherheits-Bedrohung f\u00fcr eine bestimmte Branche gibt es nicht. Vielmehr m\u00fcssen Unternehmen aller Branchen und Gr\u00f6\u00dfen, KMU eingeschlossen, damit rechnen, Ziel eines Cyberangriffs zu werden. Denn Daten, Informationen und die Aussicht auf L\u00f6segeld machen Unternehmen und Organisationen jeder Gr\u00f6\u00dfe zum lohnenswerten Opfer.<\/p>\n

Tatenlos zusehen und abwarten muss und darf jedoch niemand! Eine ganzheitliche IT-Security-Strategie, die neben Technik vor allem auch geschulte Verantwortliche und sensibilisierte Mitarbeitende einbezieht, kann effektiv zur Sicherheit eines Unternehmens beitragen.<\/p>\n