{"id":2809,"date":"2015-12-29T11:12:36","date_gmt":"2015-12-29T10:12:36","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2809"},"modified":"2023-10-24T13:05:48","modified_gmt":"2023-10-24T11:05:48","slug":"sicherheitstrends-2016-ein-sicherer-blick-in-die-glaskugel","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/sicherheitstrends-2016-ein-sicherer-blick-in-die-glaskugel\/","title":{"rendered":"Sicherheitstrends 2016: Ein sicherer Blick in die Glaskugel"},"content":{"rendered":"

2016 r\u00fcckt n\u00e4her, und mit dem Jahreswechsel kommen auch neue Herausforderungen in der IT-Security-Landschaft auf uns zu. Heute informieren wir Sie dar\u00fcber, mit welchen Sicherheitstrends Sie im kommenden Jahr rechnen k\u00f6nnen.<\/p>\n

Trend im Datenschutz: Die Themen des Jahres 2016<\/h2>\n

Datenschutz hat uns bereits in diesem Jahr sehr stark begleitet: noch immer leben wir im Schatten der Enth\u00fcllungen Edward Snowdens. Der Schutz unserer pers\u00f6nlichen Daten hat an Relevanz gewonnen \u2013 gleichzeitig aber auch der Hunger nach unseren Daten von Gro\u00dfkonzernen, Hackern und Datenh\u00e4ndlern. Einer Studie von der Nationalen Initiative f\u00fcr Informations- und Internet-Sicherheit e. V. (NIFIS e. V.) zufolge<\/a>, werden „die Ausgaben f\u00fcr IT-Sicherung und Datenschutz im n\u00e4chsten Jahr kr\u00e4ftig ansteigen. Mehr als die H\u00e4lfte der deutschen Firmen (53 Prozent) rechnet damit, dass die Investitionen in 2016 weiter zunehmen werden. 44 Prozent gehen von einer Steigerung mindestens um ein Drittel, neun Prozent sogar von einer Verdopplung der Ausgaben aus.“<\/p>\n

2015 kippte das Safe Harbor-Abkommen (EuGH-Urteil, Az. C-162\/14<\/a>). Aktuell wird \u00fcber einen m\u00f6glichen Nachfolger diskutiert; eine Art Safe Harbor 2.0. Die Gespr\u00e4che sollen noch bis Mitte Januar 2016 andauern um dann einen fertigen Gesetzesentwurf auszuhandeln. Jedoch m\u00fcssen die dann stehenden Vereinbarungen den strengen Vorgaben vom EuGH Rechnung tragen. Ob dies bis Mitte Januar in aller G\u00e4nze gelingt, darf bezweifelt werden, denn viele Details m\u00fcssen gekl\u00e4rt werden, damit das Abkommen nicht zu einem billigen Abklatsch seiner selbst wird.<\/p>\n

Auch die EU-Datenschutz-Grundverordnung („General Data Protection Regulation“, GDPR) wird hei\u00df diskutiert und in 2016 verabschiedet werden. Ziel ist es, personenbezogene Daten innerhalb der EU zu sch\u00fctzen, aber den freien Datenverkehr im Europ\u00e4ischen Binnenmarkt zu gew\u00e4hrleisten. Die Datenschutz-Grundverordnung regelt das Verarbeiten personenbezogener Daten durch \u00f6ffentliche Institutionen sowie durch Privatunternehmen. Die am 15.12.2015 geschlossene Einigung<\/a> zwischen Rat und Parlament wurde zwei Tage sp\u00e4ter durch den Innen- sowie Rechtsausschuss im Parlament mit gro\u00dfer Mehrheit angenommen<\/a>; eine Abstimmung im Plenum des Parlaments soll im M\u00e4rz\/ April 2016 stattfinden. Umgesetzt werden sollen die neuen Regeln von den Mitgliedsstaaten binnen zwei Jahren.<\/p>\n

Am 25. Juli 2015 trat das IT-Sicherheitsgesetz in Kraft, das g\u00e4nzlich neue Anforderungen f\u00fcr all jene stellt, die kommerzielle Webprojekte betreiben, und deutlich erh\u00f6hte Anforderungen an jene, die sogenannte Kritische Infrastrukturen (KRITIS) betreiben. Bereits in 2015 informierten wir Sie dar\u00fcber, unter anderem mit unserer speziell f\u00fcrs IT-SiG eingerichtete Website itsg-faq.de<\/a>. Auch in 2016 unterst\u00fctzen wir Sie diesbez\u00fcglich: neben unserer kompetenten Beratung \u00fcber die Anforderungen des IT-Sicherheitsgesetzes betreuen Sie unsere zertifizierten Experten und stehen Ihnen unterst\u00fctzend zur Seite. Um den aktuellen Reifegrad Ihrer IT-Infrastruktur zu erfassen, f\u00fchren wir gerne eine Informationssicherheitsanalyse bei Ihnen durch oder wir schulen Sie in verschiedenen Bereichen.<\/p>\n

Es existieren zahlreiche Baustellen im Bereich Datenschutz. Die Anforderungen wachsen mit den kriminellen Aktivit\u00e4ten. Der Schwarzmarkt f\u00fcr gestohlene Daten ist ein finanzstarker Sektor geworden. Viele Kriminelle m\u00f6chten die gestohlenen Daten in Big-Data-Warehouses ankn\u00fcpfen, um den Datenschatz noch interessanter zu machen. Deshalb werden wir in 2016 weiterhin mit Angriffen auf pers\u00f6nliche Daten rechnen k\u00f6nnen.<\/p>\n

Datensicherung & -archivierung<\/h3>\n

Aufgrund rasant zunehmender Datenmengen (Stichwort „Big Data“) werden auch Datensicherung und -archivierung Themen sein, mit denen wir uns 2016 auseinandersetzen m\u00fcssen. Ein Gro\u00dfteil der Daten liegt unstrukturiert in Clouds und auf Festplatten \u2013 die Datenexplosion der vergangenen Jahre ver\u00e4ndert die Struktur in Rechenzentren und unstrukturierte Daten sind nicht verwertbar. Es m\u00fcssen Strategien gefunden werden, die Zeitfenster f\u00fcr die unbedingt notwendigen Backup-Prozesse zu verk\u00fcrzen, die Sicherheit der Backups jedoch zu steigern. Idealerweise setzt man sich Recovery-Ziele und findet anschlie\u00dfend einen Prozess, der es erlaubt, eben diese m\u00f6glichst effizient einzuhalten. Damit kommen wir gleich zu einem weiteren Sicherheitstrend f\u00fcr 2016:<\/p>\n

Sicherheit beim Cloud Computing<\/h3>\n

Als das Safe Harbor-Abkommen im Oktober 2015 kippte, stiegen die Sicherheitsbedenken gegen\u00fcber Speicherl\u00f6sungen au\u00dferhalb der EU. Lokale europ\u00e4ische Schutzbestimmungen d\u00fcrfen nicht ausgehebelt werden, urteilte der EuGH. Noch mehr jedoch wirken Snowdens Enth\u00fcllungen nach: dem Verbraucher sowie den Unternehmen ist bewusst geworden, wie unsicher es ist, US-Unternehmen Daten anzuvertrauen. Die US-Regierung kann sich jederzeit Zugriff auf eben diese Daten verschaffen.<\/p>\n

Deshalb die Cloud als Speichermedium zu verteufeln, w\u00e4re der falsche Weg. Sie ist und bleibt ein n\u00fctzlicher Baustein innerhalb der IT-Infrastruktur, wenn die Rahmenbedingungen stimmen. Diese Rahmenbedingungen sind dann gegeben, wenn weder Regierungen noch andere Unternehmen oder Hacker Zugriff auf die gespeicherten Daten erhalten. Deshalb entscheiden sich Unternehmen vermehrt, auf lokalen Servern in europ\u00e4ischen Rechenzentren zu speichern. Ein hehrer Gedanke, der jedoch seine T\u00fccken hat: steht dahinter ein US-Unternehmen, k\u00f6nnen US-Beh\u00f6rden dennoch auf die Herausgabe der Daten pochen. Die Kl\u00e4rung dieser Gegebenheiten wird eine der Herausforderungen, denen wir 2016 gegen\u00fcberstehen. Aktuell bleibt Ihnen nur eines: ergreifen Sie selbstst\u00e4ndig effiziente Ma\u00dfnahmen, um Sicherheit bei Ihnen vor Ort zu gew\u00e4hrleisten.<\/p>\n

Vernetzung: Sicherheit bei Collaborationen<\/h3>\n

In Clouds, in sozialen Netzwerken, in Intra- und Extranets: heute treffen Unternehmen ihre Partner, Kunden, Lieferanten und Dienstleister virtuell. Arbeit vernetzt sich; Home-Office-Kollegen arbeiten mit dem Vertrieb zusammen, der wiederum mit externen Lieferanten agiert, die wiederum mit der Rechnungsabteilung im Unternehmen vernetzt sein m\u00fcssen. Ohne Vernetzung geht in 2016 gar nichts. Deshalb ist das eine der gro\u00dfen Herausforderungen des kommenden Jahres: wie gelingt die sichere Vernetzung?<\/p>\n

Hier geht es nicht nur um das Medium, \u00fcber das die Vernetzung stattfinden soll. Es gilt, Benutzern ausschlie\u00dflich jene Berechtigungen zu geben, die tats\u00e4chlich notwendig sind, Zugriffe und Aktivit\u00e4ten zu kontrollieren, Sicherheitsmechanismen zu schaffen (etwa den unverz\u00fcglichen Verlust eines Zugriffs im Bedarfsfall oder der Sicherung durch eine Zwei-Faktor-Authentifizierung) \u2013 kurzum: es gilt, den gesamten Workflow auf Sicherheit auszurichten. Keine leichte Aufgabe! Allerdings zwingend notwendig, um den steigenden Bedrohungen etwas entgegensetzen zu k\u00f6nnen und gleichzeitig das Image eines sicheren Unternehmens aufrecht zu erhalten \u2013 damit Kunden, Partner und Dienstleister sich ebenfalls sicher f\u00fchlen k\u00f6nnen, wenn diese mit Ihnen zusammenarbeiten.<\/p>\n

Erh\u00f6hte Risiken durch eigene Mitarbeiter<\/h3>\n

55 % aller sicherheitsbedenklichen Vorf\u00e4lle in Unternehmen gehen auf Mitarbeiter bzw. Insider zur\u00fcck \u2013 zum Teil unwissentlich, zum Teil jedoch auch in vollem Bewusstsein und in voller Absicht. Zu diesem Schluss kam der „Cyber Security Intelligence Index“<\/a>, den IBM j\u00e4hrlich erstellt. 55 %: eine erschreckende Zahl! Dass diese geringer wird, ist mehr als unwahrscheinlich: Trends wie BYOD und Wearables, die ein Einfallstor f\u00fcr Cyberkriminelle auf Smartphones sein k\u00f6nnen, bringen solche Entwicklungen mit sich. Warum? Weil das Bewusstsein daf\u00fcr fehlt, dass Zugriffe innerhalb von Unternehmen Risiken bergen. Laxe Sicherheitsvorgaben, etwa gemeinschaftlich genutzte Accounts sowie schwache Passwortvorgaben, aber auch fehlende Compliance-Regeln sowie veraltete Soft-\/Hardware erfreuen die Herzen von Cyberkriminellen.<\/p>\n

Es lohnt sich, \u00fcber Ma\u00dfnahmen nachzudenken, die Sicherheitsverletzungen, seien sie nun unbeabsichtigt oder in voller Absicht durchgef\u00fchrt worden, automatisch erkennen und dem entgegensteuern. Versenden beispielsweise Mitarbeiter sensible Informationen, l\u00e4sst sich automatisch eine Verschl\u00fcsselung dieser sensiblen Daten einrichten. Weiter verringert ein abgestuftes Berechtigungsmanagement die Risiken: Anwender erhalten nur so viel Zugriff, wie sie gem\u00e4\u00df ihrer Rolle im Unternehmen tats\u00e4chlich ben\u00f6tigen. Spezifische Zugriffsrechte erh\u00f6hen die Sicherheit enorm.<\/p>\n

Zus\u00e4tzliche Ma\u00dfnahmen k\u00f6nnen sein: E-Mails und andere Inhalte werden konsequent verschl\u00fcsselt, Logging sorgt f\u00fcr unl\u00f6schbare und manipulationssichere Aufzeichnungen, Compliance-Regeln werden gemeinsam mit Mitarbeitern aufgestellt und auf deren Einhaltung wird gepocht. Auch f\u00fcr Social Networks und eigene Devices werden Verhaltensregeln aufgestellt. Denn: eigene Ger\u00e4te, aber auch Apps und Programme bilden in etlichen Unternehmen bereits eine Schatten-IT-Infrastruktur.<\/p>\n

Um diesem Wildwuchs entgegenzuwirken, wird eine der Herausforderungen in 2016 sein, die Bed\u00fcrfnisse zu beachten, die die eigenen Mitarbeiter haben \u2013 insbesondere bei sicherheitsrelevanten Anwendungen wie der Verschl\u00fcsselung. Sieht sich die IT-Abteilung eines Unternehmens als eine Art „interner Dienstleister“, ist bereits viel gewonnen. So kann ein IT-Service-Katalog erstellt werden, der nutzerfreundliche L\u00f6sungen enth\u00e4lt, aus denen die Mitarbeiter w\u00e4hlen k\u00f6nnen. Apropos IT-Abteilung; ein weiterer Trend in 2016 ergibt sich daraus:<\/p>\n

Fehlende Sicherheitsexperten<\/h3>\n

Insbesondere in kleinen und mittelst\u00e4ndischen Unternehmen fehlt es oftmals an Experten f\u00fcr das Thema Sicherheit. Sicherheit setzt Fachkompetenz voraus, und existiert diese nicht in einem Unternehmen, kann keine Sicherheit hergestellt werden. Datenklau und andere cyberkriminelle Handlungen treffen l\u00e4ngst nicht mehr nur Gro\u00dfunternehmen. Dies ist nicht nur ein Sicherheitstrend von 2016, dem sich Unternehmen widmen sollten, sogar m\u00fcssen, sondern auch f\u00fcr uns ein pers\u00f6nliches Anliegen. Aus diesem Grund werden wir Ende des ersten\/ Anfang des zweiten Quartals 2016 die PSW-Academy er\u00f6ffnen und Ihnen Informationssicherheitsschulungen anbieten.<\/p>\n

Dem Internet of Things fehlt es an Sicherheit<\/h3>\n

Ein Trend, der in diesem Jahr so richtig begann und im kommenden Jahr mit heftigen Herausforderungen zu k\u00e4mpfen haben wird, ist das Internet of Things \u2013 das Internet der Dinge (kurz: IoT). Das Vernetzen von Ger\u00e4ten wird immer umfassender; in der Industrie stehen Automatisierungen bevor, die \u00fcber die Maschinen- und Anlagengrenzen hinweg funktionieren sollen. Das verspricht Flexibilit\u00e4t sowie Kostenvorteile. Um diese nutzen zu k\u00f6nnen, muss gew\u00e4hrleistet sein, dass Unternehmen so wenig Risiken wie m\u00f6glich eingehen. Wenngleich im Internet der Dinge grunds\u00e4tzlich verschl\u00fcsselte \u00dcbertragungsprotokolle Einsatz finden sollen, existiert noch keine Gew\u00e4hr f\u00fcr Sicherheit. Dass sich Hersteller oftmals nicht gen\u00fcgend Gedanken um Sicherheit machen, beweist die Vergangenheit eindrucksvoll. Identisches Schl\u00fcsselmaterial auf verschiedenen Ger\u00e4ten hat es bereits gegeben, sodass es ein Leichtes war, mit dem privaten Schl\u00fcssel eines Devices an die Daten von anderen vernetzten Ger\u00e4ten zu kommen.<\/p>\n

Das Hacken dieser Produkte ist ebenfalls nicht sonderlich schwer. Probleme dieser Art d\u00fcrften sich in 2016 verst\u00e4rken, da sich die Vernetzung verst\u00e4rkt. Dies geht Hand in Hand mit dem Thema „Sicherheitsproblem Mitarbeiter“: stellen Sie sich vor, Herr Schmidt aus dem Vertrieb hat sich als Vorsatz vorgenommen, seine Fitness zu steigern. Nun tr\u00e4gt er ein Fitnessarmband, das mit seinem Smartphone vernetzt ist. Darauf befinden sich nicht nur pers\u00f6nliche Daten seiner Kunden, sondern auch der Zugang zum Firmennetz \u2013 ohne ausreichend beschr\u00e4nkte Zugriffsrechte. Hacker finden im Handumdrehen Zugang zum Firmennetzwerk \u2013 nur weil Herr Schmidt seine Fitness optimieren wollte.<\/p>\n

Unser „Always-on“-Status f\u00fchrt dazu, dass wir nicht mehr „ins Internet gehen“, sondern dauerhaft \u00fcbers World Wide Web kommunizieren. Wir schicken keine SMS, wir WhatsAppen. Wir telefonieren nicht mehr, sondern wir skypen. Wir speichern nicht mehr lokal, wir nutzen die Cloud. Always on bedeutet: immer Sicherheitsrisiken ausgesetzt. Mit einem Mehr an Vernetzung, das zweifelsfrei stattfinden wird, gibt es auch ein Mehr an Bedrohungen, denen wir uns genauso zweifelsfrei anzunehmen haben, um die Sicherheitsrisiken so gering wie m\u00f6glich werden zu lassen.<\/p>\n

Sicherheitstrends 2016: es geht um das Zusammenwachsen der Trends vergangener Jahre<\/h3>\n

Alle genannten Sicherheitstrends, die wir 2016 erwarten, laufen auf eines hinaus: die Digitalisierung. Sie ist die Herausforderung, mit der wir es im kommenden Jahr zu tun bekommen werden. Es wird also gar nicht um neue Themen gehen, sondern wir werden uns damit besch\u00e4ftigen m\u00fcssen, wie die Trends der vergangenen Jahre sicher zusammenwachsen k\u00f6nnen. Die Technologien vergangener Jahre sind nun gereift. Themen wie Big Data bzw. Analytics, Mobility und Connectivity, Social Media sowie Cloud Computing werden nicht mehr kritisch be\u00e4ugt, sondern wie selbstverst\u00e4ndlich angewendet. Sie f\u00fchren zu neuartigen Produkten und Dienstleistungen, aber auch zu der Bedingung, neue Prozesse und Wertsch\u00f6pfungsketten in Gang zu setzen.<\/p>\n

Die Anforderungen an die IT-Sicherheit werden sich in 2016 ver\u00e4ndern. Nicht nur, weil der Gesetzgeber mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung neue Anforderungen schafft. Sondern auch, weil ob der Vernetzung ganzheitliche Ans\u00e4tze notwendig geworden sind. Es geht nicht mehr um die Sicherheit einer IT-Infrastruktur. IT-Strategien in 2016 m\u00fcssen agil, anpassungsf\u00e4hig, flexibel, reaktiv, skalierbar, schnell, einfach \u2013 aber eben auch sicher und effizient sein. Die Anforderungen sind immens, muss die Security-Strategie doch m\u00f6glichst kurzfristig dabei unterst\u00fctzen, einen Freiraum f\u00fcr Innovationen zu lassen, gleichzeitig jedoch vorhandene Infrastrukturen sowie neue Plattformen und Prozesse zukunftssicher zusammenzuf\u00fchren.<\/p>\n

Diese Aufgabenstellung ist hochkomplex. Nur Sicherheitsstrategien, die f\u00fcr alle Beteiligten anwendbar sind, werden die neuen Risiken, denen wir 2016 gegen\u00fcberstehen, mindern k\u00f6nnen. Datenschutzfragen, die wir noch nie vorher stellen mussten, brauchen nun eine Antwort. Und wir, das gesamte Team der PSW GROUP, haben uns f\u00fcr 2016 vorgenommen, Ihnen auf den Weg zu diesen Antworten zu helfen. Wir gehen in unser 16. Gesch\u00e4ftsjahr, um Sie tatkr\u00e4ftig dabei zu unterst\u00fctzen, dass 2016 zum sicheren Jahr wird. Ob auf Verbraucher- oder Unternehmensseite: Ihre Herausforderungen sind uns bekannt und wir unterst\u00fctzen Sie auch im kommenden Jahr partnerschaftlich auf sicheren Wegen!<\/p>\n