Wie werden neue Technologien und die sich verschärfende Cyber-Bedrohung Wirtschaft und Öffentliche Hand 2016 beeinflussen? Welche Konsequenzen resultieren daraus für IT- Security-Entscheider? Damit haben sich führende Security Analysten und Consultants von TÜV Rheinland in Deutschland sowie in Großbritannien und den USA befasst. Sie kommen zu dem Ergebnis, dass die Bedrohungslandschaft auch 2016 weiter wachsen wird. Nach einem Schwerpunkt auf Compliance in den vergangenen Jahren stehen für Organisationen in 2016 indes zunehmend Informationssicherheit und Risikomanagement im Fokus, insbesondere auf der Ebene des Top-Managements. Im kommenden Jahr ist es nach Meinung des TÜV Rheinland für IT-Security-Entscheider wichtig, folgende Trends in Betracht zu ziehen:
Security-Trends 2016
Cyber-Kriminalität wird einfacher und lukrativer.
Die zunehmende Digitalisierung von Wirtschaft und Öffentlicher Hand macht Cyber Crime immer lukrativer und den Einsatz der neuesten APT-Methoden (Advanced Persistent Threats) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Hidden Champions im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziel von Cyber-Angriffen zu werden.
Die Vernetzung der Dinge bringt weitere Angriffsvektoren hervor.
Die Entwicklung neuer vernetzter Produkte und das Internet der Dinge erweisen sich in Bezug auf mögliche Schwachstellen als regelrechte Fundgrube für Angreifer, insbesondere mit Blick auf nicht abgesicherte Endgeräte, die eine „Brückenfunktion“ zwischen dem Internet der Dinge und Backend-Systemen übernehmen.
Die Cloud sorgt für neue Betriebsmodelle.
Unternehmen und Öffentliche Hand setzen ihre Migration in die Cloud fort, die Managed Private Cloud ist dabei weiterhin stark auf dem Vormarsch. Vorteile in Bezug auf Agilität und Kosten überwiegen zunehmend die angenommenen Risiken. Der Weg in die Cloud entbindet Organisationen nicht von ihrer Verantwortung, die Geschäfts- und Kundendaten entsprechend abzusichern. Gerade, weil sich Betriebsmodelle ändern, wird es darum gehen müssen, zu definieren, welche Aufgaben und Verantwortlichkeiten die Organisation und welche der Cloud Service Provider übernimmt und wie Risiken zu managen sind.
Informationssicherheit geht weit über klassische Compliance hinaus.
Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, verlassen Organisationen verstärkt ihre auf Compliance fokussierte Perspektive und nehmen einen stärker risikobasierten Standpunkt ein. Ein risikobasierter Ansatz schärft die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen. Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden. Dies gilt auch und vor allem in den Bereichen Medizin und Gesundheitsvorsorge.
Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion.
In Deutschland werden die Anforderungen an Datenschutz und Datensicherheit für Betreiber Kritischer Infrastrukturen weiter konkretisiert. Für das Frühjahr 2016 sind detaillierte Rechtsverordnungen in den Bereichen Ernährung, Wasser, Energie und ICT angekündigt, Ende 2016 sind Branchenbeobachtern zufolge Verordnungen für die Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen sowie Staat und Verwaltung zu erwarten. Die konkreten Auflagen in Bezug auf Meldepflicht und den Nachweis zur Implementierung angemessener Standards der Informationssicherheit führen zu einem verstärkten Beratungsbedarf kleiner und mittelständischer Unternehmen.
Incident Response wird zum Daily Business.
In Zukunft wird es wichtiger sein, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen. Das frühzeitige Aufspüren gezielter komplexer Angriffe erfordert das Erfassen und die Analyse großer Datenmengen, - z.B. in Form von Logs oder Pcap‘s (packet captures - API zum Mitschneiden von Netzwerkverkehr). Das bedarf Experten-Know-hows, professioneller neuer Tools und einer beständigen Anpassung an Technologie-Trends im Bereich Mobile, Cloud und Internet der Dinge, denn der Datenstrom wird so noch exponentiell wachsen. Unternehmen benötigen mehr denn je leistungsfähige Incident-Response-Strukturen.
Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch.
Der komplexen Bedrohungslage steht die Mehrheit von IT-Security-Teams heute vielfach überfordert gegenüber. Was fehlt, sind qualifiziertes Personal und Technologien, um die risikobasierten Maßnahmen, die für den Schutz ihrer Organisation erforderlich wären, zu managen. Eine wirtschaftlich attraktive Alternative, um Engpässe in punkto Personal und Technologie zu umgehen, sind Managed Security Services (MSS), die es mittlerweile in allen relevanten Bereichen der Informationssicherheit gibt. MSS erlauben einen bedarfsorientierten und skalierbaren Abruf topaktuellen Know-hows, von Experten-Support für eine zeitnahe Problemlösung und den Einsatz innovativer Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt.
Industrial Control System (ICS) Security wird wichtiger denn je.
Im Rahmen von M2M-Kommunikation, wachsender Vernetzung und einer zunehmenden Aufweichung der Perimeter-Sicherheit von Organisationen wird es immer wichtiger, dass Unternehmen verstehen lernen, wie Office-IT und Produktions-IT sowie die IT im Kontext von Industrie 4.0 und der konventioneller Produktion bei der Abwehr von Angriffen zusammenarbeiten sollten. Hier geht es um ein tieferes Verständnis erforderlicher Prozesse und Technologien zu Prävention, Detektion und Abwehr von Angriffen und wie "Incident Response" auch und gerade im Bereich der Produktions-IT funktionieren sollte.
Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt.
Angesichts der dynamischen Bedrohungslage wird es für Organisationen immer wichtiger, aufkommende methodische und technologische Trends so früh wie möglich zu identifizieren und auf ihre Kritikalität zu analysieren. Wesentlich ist auch, die eigenen Abwehrfähigkeiten regelmäßig auf neue Bedrohungen zu überprüfen. Weil Organisationen intern häufig nicht über das Know-how verfügen, werden zunehmend externe Spezialisten für Cyber Threat Intelligence (CTI) zu Rate gezogen. Diese verfügen über fundierte Kenntnisse in den Bereichen Open Source Intelligence, Social Media Intelligence, Human Intelligence, kennen sich mit gängigen Mitteln und Motiven aus und konzentrieren sich vor allem auf die Bereiche Cyber-Crime, Cyber-Aktivismus und Cyber-Spionage.
Malware, Gadgets, Transportmittel
Besonders im Bereich des Internets der Dinge, der Vernetzung von kleinsten Devices, gibt es auch nach Meinung von Security-Anbieter CheckPoint Software im Jahr 2016 Anlass zur Sorge. Tragbare Geräte wie smarte Uhren und Fitness Tracker könnten zunehmend von Hackern dazu genutzt werden, über Trojaner mit mobilem Fernzugriff Video- und Audioaufnahmen zu tätigen. Welche Risiken dies birgt, hatte die COMPUTERWOCHE bereits vor einigen Monaten in einem Video-Interview mit Symantec-Experte Thomas Hemker aufgezeigt:
Zum Video: Antivirus ist tot - die Security-Trends 2016
Doch nicht nur die kleinsten tragbaren Devices sind gefährlich, auch große Transportmittel wie Züge, Flugzeuge und Autos sind betroffen. Im Juli rief beispielsweise Fiat Chrysler 1,4 Millionen Fahrzeuge des Typs Jeep Cherokee wegen einer Sicherheitslücke in den USA zurück. Moderne Autos sind mit mehr Spielereien und verbundenen Systemen ausgestattet als je zuvor. Diese eingebauten Systeme müssen geschützt werden – das gilt auch für die komplexen Systeme in Passagierflugzeugen, Zügen und anderen öffentlichen Transportmitteln.
Zum Video: Antivirus ist tot - die Security-Trends 2016
Was die Art der Schädlinge angeht, hat CheckPoint Software für 2016 besonders die sogenannte "Sniper"- und "Shotgun"-Malware im Blick. Dabei handelt es sich um Malware, die so konzipiert ist, dass sie Abwehrmaßnahmen bestimmter Organisationen umgeht. Ein Beispiel für solche Attacken ist der Angriff auf den US-amerikanischen Händler Target aus dem Jahr 2013. Cyber-Kriminelle werden mit ihren Angriffen – komplexe Phishing- sowie andere Social-Engineering-Tricks – vermehrt auf größere Unternehmen mit höherem Sicherheitsniveau abzielen, sagt Check Point voraus.
War sonst noch was?
Diverse weitere IT-Security-Anbieter haben ebenfalls ihre Security-Prognosen für das Jahr 2016 veröffentlicht. Im Folgenden deshalb noch ein kurzer Top-5-Abriss aus deren Prognosen:
IT-Security-Trends 2016 /2
Risiko Programmierschnittstelle
Programmierschnittstellen werden ein neues beliebtes Ziel von Hackern. Ein erfolgreicher Angriff kann den Angreifern Zugriff zu riesigen Mengen an sensiblen Daten verschaffen. Wird eine unternehmenskritische Anwendung kompromittiert, sind Daten von allen Nutzern betroffen. Eine erfolgreich angegriffene Programmierschnittstelle, auch wenn sie verschlüsselt ist, öffnet Hackern die Türen zu sensiblen Informationen – ihnen steht dann der gesamte Anwendungsverkehr zur Verfügung.
Angriffe auf Datenintegrität
Manipulierte Daten werden die neue Cash Cow für Hacker. Mit der zunehmend vernetzten Welt entstehen große Datenmengen. Unternehmen nutzen diese, um Entscheidungen und Vorhersagen zu treffen. Um diese Entscheidungen zu beeinflussen, verändern Hacker über einen längeren Zeitraum hinweg die Daten – ohne sich bemerkbar zu machen. Sind Daten erst einmal verändert, handeln Unternehmen basierend auf falschen Informationen. Möglicherweise manipulieren Cyberkriminelle die Daten gar so, dass der Effekt ihrer Attacke erst nach mehreren Jahren zu spüren ist.
Krieg mit anderen Mitteln
Der Cyberkrieg wird weitergehen. Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungs-infrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht ein Mal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. Diese Taktik der „boots at home” wird erwartungsgemäß einer der ersten Schritte innerhalb der Kriegsführung sein. Sei es um zusätzliche Erkenntnisse zu gewinnen oder sei es um vorab Infrastrukturen und Kommunikationssysteme außer Gefecht zu setzen.
Angriffe auf Mitarbeitersysteme
Organisationen müssen ihre Sicherheitsstrategien deutlich verbessern. Daher werden Angreifer voraussichtlich ihren Schwerpunkt verlagern und Unternehmen über Mitarbeiter angreifen, indem sie sich über deren relativ unsichere Heimnetzwerke Zugang zum Unternehmen verschaffen.
Lagerung von gestohlenen Daten
Gestohlene persönliche Daten-Sets werden zusammen in großen „Data Warehouses“ verbunden, so dass diese Datensätze für Angreifer noch wertvoller werden. Im kommenden Jahr wird der Schwarzmarkt für gestohlene Daten wie Benutzernamen und Passwörter weiter wachsen.