2021 neigt sich langsam dem Ende zu und für viele herrscht eine ähnliche Unsicherheit wie in 2020. Hybride Arbeitsmodelle sind während der Pandemie zur Norm geworden und mit ihnen erhebliche Herausforderungen für die Cybersicherheit. Gleichzeitig entwickelt sich die Bedrohungslandschaft kontinuierlich weiter, denn Innovationen in Bereichen wie Cloud-Computing eröffnen auch böswilligen Akteuren neue, teils unerwartete Möglichkeiten.
Um uns die Lage etwas genauer vor Augen zu führen und zu ermitteln, was uns in Zukunft erwarten könnte, haben wir uns mit unseren Cybersicherheits-Experten ausgetauscht, unter anderem mit Jeremy Rowley, Avesta Hojjati, Mike Nelson, Jason Sabin, Dean Coclin, Stephen Davidson, Tim Hollebeek und Brian Trzupek. Unsere Kristallkugel ermöglichte uns einen Blick in das Jahr 2022.
Die Folgen schlagzeilenträchtiger Cyberattacken wie die auf SolarWinds und auf die Colonial Pipeline waren 2021 in aller Munde. Ihr Erfolg ermutigte womöglich weitere Hacker – und beleuchtete auch drei kritische Bereiche im Kampf gegen Cyberkriminelle. Hier einige der Trends, die im kommenden Jahr voraussichtlich florieren werden:
Seit Jahren treiben Unternehmen in jeder Branche die digitale Transformation voran, Tendenz steigend. Laut Forschungsergebnissen wird der globale Markt für digitale Transformationsinitiativen zwischen 2021 und 2028 voraussichtlich eine jährliche Wachstumsrate von 24 Prozent erreichen. Außerdem ist anzunehmen, dass digitale Signaturen und strengere Maßnahmen zur Authentifizierung von Vertrauen und Identität eingeführt werden, je komplexer die Technologie in geschäftskritischen Prozessen wird.
Europa ist seit Langem führend beim Einsatz digitaler Signaturen. Nun wird die eIDAS-Verordnung an das aus der Pandemie Gelernte angepasst, mit strengeren Authentifizierungsprüfungen für digitale Signaturen, die per Fernzugriff von Vertrauensdiensteanbietern durchgeführt werden. Außerdem sollen von Behörden ausgestellte eIDs zunehmend genutzt werden, um die sichere grenzübergreifende Interaktion zu fördern. Diese Änderungen zielen darauf ab, die Kontrolle über Identitäten wieder an die Bürger und Bürgerinnen zurückzugeben, statt sie privaten Unternehmen zu überlassen.
Letztes Jahr prognostizierten wir für 2021 verschiedene, direkt mit der COVID-19-Pandemie verbundene Sicherheitsbedrohungen. In die Zukunft blickend werden wir voraussichtlich weiterhin mit ihnen konfrontiert sein, denn in öffentlichen Bereichen wie Flughäfen, dem Einzelhandel und Restaurants kommen kontaktlose Technologien – die für Cyberangriffe anfällig sind – immer öfter zum Einsatz. Außerdem werden Identitätsnachweise wie Führerscheine oder Gesundheitsdaten zunehmend digitalisiert und stellen ein attraktives Ziel für Hacker dar.
Nach Angaben einer von DigiCert durchgeführten Umfrage glauben 71 Prozent der befragten IT-Entscheidungsträger, dass Quantencomputer aktuelle kryptografische Algorithmen bis 2025 werden knacken können. Das bedeutet, dass Unternehmen ihre Sicherheitsmaßnahmen überdenken müssen. Mit der Post-Quanten-Kryptografie (PQC) lassen sich unsere derzeitigen Algorithmen zwar stärken und somit Sicherheitsverletzungen vermeiden, doch vielen Organisationen fehlt der Überblick über ihre kryptografisch geschützte Infrastruktur. Um sich auf das Quantenzeitalter vorzubereiten, sollten sie also proaktiv sämtliche anfällige Server und Geräte identifizieren und Schwachstellen zeitnah beheben.
Im Jahr 2022 sind einige wichtige Entwicklungen im PQC-Bereich zu erwarten, denn das NIST (National Institute of Standards and Technology) soll eine aktualisierte Version der RSA- und ECC-Verschlüsselungsalgorithmen bekanntgeben.
Angesichts der Tatsache, dass viele Unternehmen Existenzsicherung betreiben und dabei das Geschäftsergebnis genau im Auge behalten, wird der Ruf nach Effizienz bei Sicherheitstechnologien lauter werden. Das heißt, Sicherheitsteams werden aufgefordert, mit noch weniger noch mehr zu leisten. Im Jahr 2022 wird der Fokus weiterhin auf Technologien liegen, die Unternehmen genau diese Arbeitsweise ermöglichen. Automatisierung wird im nächsten Jahr bei sicherheitsrelevanten Innovationen eine wichtige Rolle spielen. In einer kürzlich von DigiCert durchgeführten Umfrage gaben 91 Prozent der befragten Unternehmen an, Diskussionen zur Automatisierung der Verwaltung von PKI-Zertifikaten begonnen zu haben – und andere waren bereits weiter. Dabei werden KI und maschinelles Lernen auch künftig eine zentrale Rolle spielen.
In einer IT-Welt, in der Multi-Cloud-Infrastrukturen zunehmend zur Norm werden, sind traditionelle perimeterbasierte Sicherheitsansätze nicht mehr tragbar. Granulare Cloud-Services werden voraussichtlich zu immer komplexeren Herausforderungen für die Cybersicherheit führen. Unternehmen implementieren mittlerweile Cloud-Lösungen, die zunehmend regionalen Richtlinien und Gesetzen zur Datenhoheit unterliegen, die auf den Schutz sensibler, privater Informationen ausgerichtet sind und dafür sorgen, dass die Eigentümer stets die Kontrolle über ihre Daten haben.
Zum Beispiel haben T-Systems und Google Cloud vor Kurzem bekanntgegeben, dass sie hoheitliche Cloud-Services für Firmen sowie für Organisationen im öffentlichen Sektor und Gesundheitswesen in Deutschland entwickeln und bereitstellen wollen. Je mehr dieser Initiativen zur Datenhoheit in der Cloud eingeführt werden, desto eingehender werden sich Unternehmen mit regionalen Sicherheitsanforderungen beschäftigen müssen.
Selbst mit guten Marketinginitiativen ist es nicht einfach sich von Mitbewerbern abzuheben, doch einige der neuen Sicherheitstechnologien machen das möglich. Einer Studie der digitalen Marketingagentur Wpromote zufolge hatten 31 Prozent der befragten B2B-Marketingunternehmen 2020 den Markenruf zur Priorität gemacht. Wir erwarten eine zunehmende Einführung von VMC-Zertifikaten (Verified Mark Certificates) in Unternehmen, die ihren Markenwert und das Kundenvertrauen stärken wollen. Durch die Verwendung von DMARC-gesicherten VMCs verstärken Marketer nicht nur ihr Branding und verbessern die Öffnungsraten um bis zu 10 %, sondern zeigen ihren Kunden auch, dass ihnen der Datenschutz und die IT-Sicherheit wichtig sind und sie proaktive Schritte zur Risikominimierung unternehmen.
Dadurch können Unternehmen ihren Ruf als vertrauenswürdige Marke stärken, die Öffnungsrate ihrer E-Mails um bis zu 10 Prozent verbessern, ihren Kunden zeigen, wie wichtig ihnen Datenschutz und IT-Sicherheit sind, und beweisen, dass sie proaktive Maßnahmen zur Risikominimierung ergreifen.
Zum Schluss prognostizieren wir, dass sich Führungskräfte im Jahr 2022 auf die Stärkung des Cybersicherheits-Bewusstseins in ihren Organisationen konzentrieren werden. In vielen Unternehmen werden bereits Phishing-Tests, obligatorisches Online-Training und Cyberangriffssimulationen für Führungskräfte eingeführt, damit diese ihre Kommunikationsstrategien und Entscheidungsfindung auf den Ernstfall vorbereiten können. Denn eines ist sicher: Hacker werden immer ausgefeilter und es erwarten uns immer heimtückischere Bedrohungen und Angriffe, und um diesen Gefahren effektiv zu begegnen werden starke Unternehmensführung und -kommunikation von zentraler Bedeutung sein.