Security-Trends 2015

IT-Sicherheit im neuen Jahr

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Welche IT-Security-Trends erwarten die Anwender 2015? Ziemlich sicher ist, dass das Thema IT-Sicherheit zunehmend eines fürs Business wird, dass die globale Vernetzung im Internet der Dinge viele neue Risiken mitbringt und dass Cloud sowie Mobile Treiber fürs Geschäft bleiben werden.

Die Ausgaben für IT-Sicherheit in deutschen Unternehmen wachsen unaufhörlich - seien es klassische On-Premise-Lösungen oder Security-Services als Software as a Service aus der Cloud. Für erstere erwarten die Marktforscher von Techconsult laut ihrer "Security-Bilanz Deutschland 2014" im neuen Jahr rund vier Prozent höhere Investitionen im Vergleich zu 2014 - die für Cloud-Dienste sollen sogar um rund 30 Prozent steigen. Somit erreicht der Markt für On-Premise-Security 2015 ein Gesamtvolumen von 2,546 Milliarden Euro - der für Cloud-Security eines von 282,4 Millionen Euro.

Die Schwerpunkte der von Techconsult befragten, in großen Teilen mittelständischen Anwender liegen klar im Mobile-Bereich, im Feld des Unified Threat Managements und bei den VPN-Lösungen.

Vorausschauende Überwachung führt zu Business-Aufmerksamkeit

Auf der globalen Ebene sind die Fokusthemen für 2015 ähnlich gelagert - die Marktforscher von IDC gehen davon aus, dass sich insbesondere die vorausschauende Erkennung von Bedrohungen (Threat Intelligence) zu einer zentralen Kategorie der IT-Sicherheit entwickeln wird. Anwender beziehen demnach immer häufiger und maßgeschneiderter Informationen über die Bedrohungslandschaft und versuchen, Risiken von Vornherein zu minimieren. Das Ganze ist eine Form von Data Analytics. Es geht nicht mehr nur darum, auf Angriffe oder Datenverluste zu reagieren oder sie in dem Moment abzuwehren, in dem sie geschehen würden. Es soll erst gar nicht zu einer Situation kommen, in der unmittelbar Gefahr droht, wenn die Sicherheitslösung oder die Sicherheitsstrategie nicht richtig greifen könnte - Netzwerküberwachung lautet das Stichwort.

Datenzugriff mobil - aber bitte geschützt - Foto: ArtFamily - shutterstock.com

Datenzugriff mobil - aber bitte geschützt

Das amerikanische Security-Unternehmen Blue Coat, das eben solche Sicherheitslösungen vertreibt, blickt voraus: "Um sich gegen diese neuen Angriffsmethoden zu verteidigen und die Lücke zu den schon bestehenden Tools zu schließen, sind Lösungen vonnöten, die einen Kontext herstellen, Visibility und Advanced Threat Protection bieten. Angriffe auf IT-Infrastrukturen werden innerhalb weniger Sekunden, Minuten oder Stunden erfolgreich durchgeführt." Und weiter: "Viele der Angriffe bleiben eine lange Zeit danach unentdeckt; es vergehen teilweise Wochen, Monate oder gar Jahre, bis der Schaden bemerkt wird. Es ist jedoch von größter Wichtigkeit Angriffe so früh wie möglich zu erkennen und es gibt heute keinen Grund mehr, wieso Unternehmen nicht einen vollen Ein- und Überblick über den Angriff erhalten können sollten. Der Kontext oder die Integration ermöglichen einen effektiven Weg, aus eingehenden Advanced Threats operative Erkenntnisse zu ziehen."

Anwender müssen ihre gesamte IT-Landschaft inklusive aller Netzwerkbestandteile im Blick behalten und zunehmend "agieren statt nur zu reagieren".
Anwender müssen ihre gesamte IT-Landschaft inklusive aller Netzwerkbestandteile im Blick behalten und zunehmend "agieren statt nur zu reagieren".
Foto: Thinkstock/getty images

Diese "operativen Erkenntnisse" schlagen nun auch eine Brücke zwischen den oft noch in der IT-Abteilung angesiedelten IT-Security-Experten und den Vorständen, die sich um das Risiko-Management des Unternehmens kümmern müssen. Sind Risiken frühzeitig erkenn- und messbar, fließen die früher eher abstrakten und selten realisierten Bedrohungen zunehmend in die Budgetplanungen des Vorstands ein. Zumindest in den großen Unternehmen und Konzernen lässt sich diese Entwicklung schon seit einiger Zeit beobachten - IT-Sicherheit kommt quasi aus ihrer Nische heraus auf den Radar der strategischen Business-Entscheider. Ob diese Entwicklung bereits 2015 auf alle Unternehmensgrößen durchschlägt, lässt sich indes noch nicht abschätzen. Zumindest die zunehmende Zahl an bekannt gewordenen Sicherheitsvorfällen, die diversen Spionage-Enthüllungen über staatliche Geheimdienste und auch die geplante Meldepflicht im Rahmen des IT-Sicherheitsgesetzes sprechen aber für eine weitere Entwicklung in diese Richtung.

"CISOs bekommen allmählich endlich einen Platz auf Vorstandsebene", sagt auch Brendan Hannigan, General Manager bei IBM Security. Er empfiehlt: "Security-Verantwortliche müssen ihren wachsenden Einfluss jetzt darauf verwenden, bessere Ergebnisse zu erreichen: die Absicherung wichtiger Unternehmenswerte priorisieren, Investitionen auf Security Intelligence fokussieren und Toptalente rekrutieren, um die betriebsinternen Anstrengungen zu verbessern."

Das Internet der Dinge treibt digitale Geschäftsmodelle

Das Internet der Dinge haben wir bereits für 2014 als einen Top-Security-Trend ausgerufen. An dieser Einschätzung hat sich nichts geändert - die Vernetzung von Maschinen und Geräten via IPv6 schreitet voran, gerade die Automobilbranche ist hier zu nennen. Auch wenn das "Connected Car" laut der Capgemini-Studie "Cars online 2014" noch nicht ganz so beliebt ist, wie es sich Hersteller, Händler und Marktforscher wünschen würden, sind die einhergehenden Sicherheitsfragen ein großes Thema für 2015. Auch mobile medizinische Geräte, Wearables wie Google Glass oder Drohnen bringen einige Security-Aspekte mit, über die sich alle Seiten bewusst sein müssen.

IDC blickt voraus: "In der Ära der dritten Plattform ist das Internet der Dinge einer der wichtigsten Innovationstreiber für Wachstum und Expansion des Wertbeitrags der IT. Die Erfindung immer intelligenterer und vernetzter ‚Dinge‘ beflügelt die Entwicklung tausender neuer Lösungen auf Basis der dritten Plattform. Ein Drittel der Ausgaben für das Internet der Dinge wird sich 2015 auf intelligente Embedded-Geräte außerhalb der IT- und TK-Branche konzentrieren." Einbezogen in diese Menge an Geräten sind Produktionsanlagen, die zunehmend miteinander vernetzt werden. Das Thema "Industrie 4.0" als Teilbereich des Internets der Dinge, gerade in Zusammenhang mit Security-Fragen, steht noch ganz am Anfang und ist sicher noch kein Megatrend für 2015, sollte von Anwendern, Herstellern und Betreibern aber im Auge behalten werden.

Mobil und sicher?!

In der bereits erwähnten Techconsult-Studie "Security-Bilanz Deutschland" wird dem Thema Mobile Security als der Bereich der IT-Sicherheit beschrieben, in den deutsche Anwender 2015 besonders viel investieren wollen.

Die Notwendigkeit, mobile Geräte abzusichern, werde weiterhin schneller wachsen, als Unternehmen dies kontrollieren könnten, prognostiziert unter anderem der israelische Security-Spezialist Check Point. Er untermauert dies mit den Ergebnissen einer eigenen Befragung von 700 Unternehmen weltweit: Demnach hatten 42 Prozent der Befragten im Jahr 2014 mobile Sicherheitsvorfälle zu beklagen, deren Korrektur mehr als 250.000 Dollar gekostet hat - 82 Prozent der befragten Anwender erwarteten eine Zunahme der Vorfälle im neuen Jahr.

Ähnlich sehen das Björn Haan und Olaf Siemens vom TÜV Rheinland i-sec. In ihrer Vorschau auf 2015 schreiben sie: "Mobile Plattformen wie Telefone und Tablets werden künftig häufiger Sicherheits- und Privacy-Probleme aufwerfen und das teilweise bedingt durch ihr Design." Mobilgeräte sind letztlich nicht aus Sicherheitsgründen heraus entstanden, sondern vielmehr aus Gründen der Bequemlichkeit und Bedienbarkeit.

Gefahr droht auch vermehrt von anderer Seite: der der mobilen Bezahlsysteme. Spätestens mit Apple Pay beim iPhone 6 könnte Mobile Payment von der "kritischen Masse" akzeptiert werden und zusammen mit konkurrierenden mobilen Zahlsystemen klassischen Bezahlwegen zunehmend den Rang ablaufen. Aber nicht alle der Systeme sind bereits ausreichend auf mögliche Gefahren geprüft und somit für Cyber-Kriminelle attraktiv. Lässt sich hier doch noch mit relativ geringem Aufwand relativ viel Kasse machen. Wir sollten also gewarnt sein.

Über den Wolken…

Bleibt zum Schluss noch die Cloud, die sich zu einem Dauerbrenner in Sicherheitsfragen entwickelt hat. TK-Dienstleister Verizon sagt voraus, dass die Unternehmens-IT 2015 von Cloud-Deployments kontrolliert werde. Die IT-Abteilung werde zu einer Art "Broker für Cloud-Lösungen", helfe bei der Offenlegung von Bedarf, beschreibe technische Anforderungen und verwalte die verschiedenen Technologie- und Service-Provider im Einsatz. Verizon prognostiziert, dass Cloud-Lösungen immer zielgerichteter wichtige geschäftliche Initiativen unterstützen würden - beispielsweise die Verbesserung der Kundeneinbindung, den operativen Wandel und Technologie-Compliance.

Sollten diese Vorhersagen eintreten, werden die sichere Speicherung und Verarbeitung von Daten innerhalb von Cloud-Infrastrukturen zum elementaren Bestandteil einer jeden IT-Strategie entwickeln.

Dass das Thema Cloud-Sicherheit im neuen Jahr höchste Priorität besitzt, zeigen auch die Ergebnisse der aktuellen IBM-Umfrage "What’s Top of Mind for Today’s CISO" unter 138 Sicherheitsverantwortlichen und CISOs (Chief Information Security Officers) weltweit: 90 Prozent der befragten Anwender haben mittlerweile Cloud-Lösungen eingeführt oder befassen sich zumindest konkret mit deren Planung. Aus dieser Gruppe wiederum gehen 75 Prozent davon aus, dass ihr Cloud-Sicherheits-Budget in den nächsten drei bis fünf Jahren steigen oder sogar erheblich steigen wird.

Geld ist also wohl weiter da für IT-Security, sogar mehr als vorher. Und das sind durchaus gute Nachrichten.