Das Jahr 2022 neigt sich allmählich dem Ende zu und die Weihnachtstage rücken näher. Deshalb ist jetzt ein guter Zeitpunkt, um Bilanz zu ziehen und unsere Prognosen hinsichtlich IT-Sicherheit, Technologien und digitalen Vertrauenslösungen vorzustellen.
2022 ist die Zahl der Angriffe stark gestiegen und Softwarelieferketten gerieten zunehmend ins Visier der Cyberkriminellen. In einer neuen Umfrage unter 1.000 CIOs gaben 82 Prozent an, dass ihre Organisation anfällig für Cyberangriffe auf Softwarelieferketten sei. Im Klartext bedeutet das: Es kommt noch viel Arbeit auf die Sicherheitsteams zu. Was erwartet uns also 2023? Unsere Cybersicherheitsexperten, darunter Avesta Hojjati, Dean Coclin, Mike Nelson, Srinivas Kumar, Stephen Davidson, Steve Job und Tim Hollebeek, haben ihre Prognosen für das nächste Jahr zusammengestellt.
Einen 2048-Bit-Schlüssel mit aktueller Technologie zu knacken würde unendlich lange dauern, aber ein leistungsstarker Quantencomputer könnte das vermutlich innerhalb einiger Monate schaffen. Letztes Jahr haben wir grundlegende Veränderungen in Bezug auf die Post-Quanten-Kryptografie prognostiziert, da das National Institute of Standards and Technology (NIST) des US-Handelsministeriums begonnen hatte, potenzielle Verschlüsselungsalgorithmen zu überprüfen, die sowohl herkömmlichen Angriffen als auch Quantentechnologien standhalten könnten.
Inzwischen hat NIST eine erste Gruppe aus Verschlüsselungstools zusammengestellt, denen auch zukünftige Quantencomputer nichts anhaben können. Die vier ausgewählten Verschlüsselungsalgorithmen sollen in den Post-Quanten-Kryptografiestandard von NIST aufgenommen werden. Dieser Standard befindet sich noch in der Entwicklungsphase, aber unsere Prognose lautet, dass Krypto-Flexibilität immer wichtiger werden wird, da Quantencomputer eine zunehmende Gefahr für Onlineaktivitäten darstellen.Es kann noch mehrere Jahre dauern, bis NIST die ausgewählten Algorithmen in seine unterschiedlichen Standards aufgenommen hat, doch Unternehmen sollten bereits jetzt mit der Vorbereitung beginnen. Ist das Post-Quanten-Zeitalter erst einmal angebrochen, ist es zu spät.
Zur Vorbereitung auf die Post-Quanten-Kryptografie muss die Branche ihre Krypto-Flexibilität verbessern. Dieser Begriff beschreibt die Fähigkeit eines Sicherheitssystems, schnell zwischen Verschlüsselungsmechanismen zu wechseln, und setzt voraus, dass Unternehmen einen umfassenden Überblick über ihre kryptografischen Ressourcen haben und diese flexibel einsetzen können. Quantencomputer mögen noch wie eine Utopie erscheinen, doch auch schon heute besteht ein Risiko für die Kommunikation. Unternehmen mit Krypto-Flexibilität wissen, wie Kryptografie eingesetzt wird, verfügen über die notwendigen Tools, um Probleme zu erkennen und zu beheben, und legen eindeutige Richtlinien und Best Practices für den Umgang damit fest. Außerdem können sie neue kryptografische Algorithmen testen. Wir gehen davon aus, dass Krypto-Flexibilität schon in der nahen Zukunft zu einem entscheidenden Wettbewerbsvorteil zählen wird.
Matter ist ein SmartHome-Standard, der die Kommunikation zwischen SmartHome-Geräten ermöglicht. Es ist ein globaler Standard und sorgt für einheitliche Vorgaben in der Branche für vernetzte Geräte. Matter soll den Markt vereinheitlichen, damit SmartHome-Geräte plattformübergreifend kompatibel sind. Einige der bekanntesten Marken im Bereich der SmartHome-Technologie, wie Google, Apple, Amazon und Samsung, haben Matter eingeführt. Das wird sowohl für die Kunden als auch für die Hersteller von Vorteil sein.
Unsere Prognose: Das Matter-Logo wird zu einem Symbol, auf das Kunden beim Kauf von SmartHome-Technologie achten werden. Sie werden auf der Suche nach SmartHome-Geräten gezielt danach fragen. Schon 2023 werden die ersten Matter-konformen Geräte in den Smart Homes ankommen. Es wird ein Standard mit Wiedererkennungswert, wie Bluetooth. Ein Beispiel für die rasche Verbreitung ist die Tatsache, dass Apple iOS 16 jetzt Matter unterstützt.
Doch diese schnelle Verbreitung bedeutet auch, dass Hersteller mit der Matter-Compliance ihrer Produkte nicht zu lange warten sollten. Kunden können an dem Matter-Logo auf kompatiblen Geräten erkennen, dass diese sich nahtlos und sicher mit ihren Lieblingsprodukten verbinden lassen. Es wird zweifellos ein Standard, auf den Kunden beim Kauf vernetzter Geräte achten werden, daher müssen Unternehmen sicherstellen, dass ihre Produkte diese Anforderungen so schnell wie möglich erfüllen.
Code-Signing-Zertifikate werden von Softwareentwicklern genutzt, um Anwendungen, Treiber, ausführbare Dateien und Softwareprogramme mit einer digitalen Signatur zu versehen und Endnutzern somit zu versichern, dass der bei ihnen eingehende Code unterwegs nicht manipuliert wurde. Ein solches Zertifikat enthält die Signatur, den Unternehmensnamen und einen Zeitstempel. Code-Signing-Zertifikate zur Unternehmensvalidierung (Organization Validation, OV) dienen als Nachweis der Legitimität.
Doch die Anforderungen für OV-Code-Signing-Zertifikate ändern sich. Sie werden schon bald auf physischer Sicherheitshardware ausgestellt, ähnlich wie EV-Code-Signing-Zertifikate. Laut CA/B Forum, der Regulierungsbehörde für die SSL-Branche, müssen ab Juni 2023 private Schlüssel für OV-Code-Signing-Zertifikate auf Geräten gespeichert werden, die gemäß FIPS 140 Level 2, Common Criteria EAL 4+ oder entsprechenden Sicherheitsstandards zertifiziert sind. Dazu werden die Zertifikate per USB-Token an das Hardware-Sicherheitsmodul des Kunden übermittelt.
Unsere Prognose: Als Folge dieser Änderungen werden Kunden nicht mehr ihre Hardware-Tokens ersetzen, sondern zunehmend zu Cloud-Signing wechseln. Wir gehen außerdem davon aus, dass Code Signing in Zukunft vollständig in die Cloud verlagert wird, da Kunden diese Methode der aufwendigen Verwaltung von Hardware-Schlüsseln vorziehen.
Angriffe auf Softwarelieferketten, wie die spektakulären Vorfälle bei SolarWinds und Kaseya, haben deutlich gemacht, dass Unternehmen ihre Abhängigkeiten unbedingt kennen müssen. 2021 veröffentlichte der US-amerikanische Präsident Joe Biden eine „Executive Order“ (Durchführungsverordnung) zur Verbesserung der Cybersicherheit in den Vereinigten Staaten. Laut dieser Verordnung müssen Softwareanbieter staatlichen Beschaffungsstellen für jede Softwareanwendung eine Software-Stückliste (Software Bill of Materials, SBOM) bereitstellen. Eine solche Stückliste umfasst alle Softwarekomponenten einer Anwendung und alle Bibliotheken im Anwendungscode sowie Services, Abhängigkeiten, die Zusammensetzung und Erweiterungen.
Auch Unternehmen im privaten Sektor müssen zunehmend Software-Stücklisten erstellen, da viele Konzerne sie im Rahmen des MSA (Master Service Agreement) mit Softwareanbietern verlangen. Analysten der Sicherheitsbranche gehen davon aus, dass diese Listen im Beschaffungsprozess schon bald zur Norm werden.
Die US-amerikanische Behörde Office of Management and Budget (OMB) geht sogar noch einen Schritt weiter und führt in einem Memorandum neue Sicherheitsanforderungen auf, die Behörden zum Schutz der Softwarelieferkette erfüllen müssen. Dazu gehört unter anderem, dass Softwarehersteller die Einhaltung der NIST-Vorgaben nachweisen müssen. Das heißt, Unternehmen, die ihre Software an staatliche Stellen verkaufen möchten, müssen ihre NIST-Compliance prüfen und nachweisen.
Aus diesem Grund müssen Softwarehersteller stärker aktiv in die Sicherheitsprozesse für ihre Produkte eingebunden werden. Transparenz spielt dabei eine entscheidende Rolle. Unsere Prognose: Da die Software-Stückliste detaillierte Informationen bereitstellt und einen besseren Überblick über die Softwarelieferketten bietet, wird sie 2023 von zahlreichen Unternehmen eingeführt werden. Die meisten Anforderungen betreffen derzeit nur US-amerikanische Behörden, aber die Stückliste für Software wird sich auch auf dem kommerziellen Markt schnell durchsetzen.
SIM-Karten (Subscriber Identity Module) kennt eigentlich fast jeder – die kleine Karte in Mobiltelefonen, die Benutzer austauschen müssen, wenn sie zu einem anderen Mobilfunkanbieter wechseln. Noch nicht ganz so verbreitet ist eSIM (Embedded eSIM), das als Alternative zur traditionellen SIM-Technologie eingeführt wurde. Bei eSIM handelt es sich zwar auch um eine physische Karte, aber sie ist fest in das Gerät eingebaut. Die Daten einer eSIM-Karte können mithilfe einer RSP-Lösung (Remote SIM Provisioning) aktualisiert werden.
Das iSIM (Integrated SIM) ist ein neues Modul und deutlich sicherer als physische SIM-Karten. Für iSIM ist kein separater Prozessor erforderlich und da es wesentlich kleiner ist, beansprucht es kaum Platz in der Hardware. Das iSIM befindet sich in einem sicheren und vertrauenswürdigen Bereich der SoC-Architektur (System-on-a-Chip) des jeweiligen Geräts. Dadurch werden die SIM-Funktionen in den Hauptprozessor des Geräts eingebunden.
Einige der Branchenführer, wie Qualcomm und Vodafone, haben bereits als Proof-of-Concept ein Smartphone mit iSIM vorgestellt, das ganz ohne SIM-Kartensteckplatz auskommt. Unsere Prognose: In den Smartphones der nächsten Generation werden statt der traditionellen SIM-Hardware die neuen eSIM- und iSIM-Technologien als Vertrauensanker dienen.
Die EUid-Brieftasche (EUid-Wallet) ist eine Initiative der Europäischen Kommission im Rahmen der eIDAS-Verordnung und soll ein einheitliches digitales System für den Identitätsnachweis in Europa schaffen. Damit können EU-Bürger eine eID-Version ihrer offiziellen Ausweisdokumente in einer sicheren mobilen App aufbewahren und für die Online-Authentifizierung oder elektronische Signaturen nutzen. In den Brieftaschen können auch weitere Informationen gespeichert werden, die die übrigen Daten ergänzen, zum Beispiel Berufsabschlüsse. Diese können entweder gemeinsam mit den personenbezogenen Daten oder separat freigegeben werden. Die EU hat wichtige grenzüberschreitende Projekte in den Bereichen Finanzdienstleistungen, Bildung und Gesundheitswesen geplant.
Unsere Prognose: Ebenso wie sich Apple Pay und Google Pay schon als digitale Zahlungsmethoden durchgesetzt haben, wird auch die EUid-Brieftasche dem Rest der Welt als Vorlage für den digitalen Identitätsnachweis dienen. Da die rechtlichen Rahmenbedingungen und Richtlinien für die Einführung auf dem europäischen Festland gegeben sind, werden sich Benutzer zunehmend sicher genug fühlen, ihre Daten in einer digitalen Brieftasche zu speichern und in verschiedenen Anwendungsfällen zu nutzen. Wenn sich die digitalen Identitätsnachweise immer stärker durchsetzen, müssen wir natürlich auch das Angebot an digitalen Vertrauenslösungen ausbauen.
DNS wird weiter an Bedeutung gewinnen aufgrund des anhaltenden Wachstums von DevOps-Automatisierung und Infrastructure-as-Code.
Heutzutage arbeiten immer mehr Entwicklerteams an externen Standorten weltweit und die CI-/CD-Maßnahmen (Continuous Integration/Continuous Development) sind zur Erreichung der Produktivitätsziele entscheidend. Aufgrund des weltweiten Zugriffs der Entwickler wird allerdings auch die Möglichkeit, DNS-Änderungen zu automatisieren, immer wichtiger.
Unternehmen aller Größen werden verstärkt auf Infrastructure-as-Code setzen. Große Serverumgebungen werden implementiert und automatisiert, um die Anforderungen bezüglich Automatisierung und Planbarkeit zu erfüllen.
Unsere Prognose: Unternehmen werden daher DNS-Services mit einer hohen Verfügbarkeit, Geschwindigkeit und DNS-Propagation benötigen. Sorgfältig definierte APIs, SDKs und Integrationen werden die angestrebte Produktivität und Zuverlässigkeit eines Unternehmens maßgeblich beeinflussen.
Zero Trust ist auf dem besten Weg, ein Sicherheitsstandard für IT-Systeme zu werden. Unsere Prognose lautet daher, dass Angreifer ihre Techniken ändern werden, um auch Zero-Trust-Frameworks überwinden zu können.
Cyberkriminelle werden neue Technologien entwickeln, um bei zukünftigen Angriffen noch erfolgreicher zu sein. Technisch versierte Angreifer könnten Technologien wie künstliche Intelligenz und Adversarial Machine Learning nutzen, um Schwachstellen in einem fehlerhaften Zero-Trust-Framework zu finden. Das zeigt, dass die Implementierung eines solchen Frameworks allein nicht ausreicht. Sicherheitsmaßnahmen müssen kontinuierlich weiterentwickelt werden, da auch die Angreifer immer neue Methoden entwickeln, um unsere Abwehrmaßnahmen zu überwinden.