Sicherheit in der Cloud
Die Finanzbranche wiederum hatte es in den letzten Jahren nicht besonders eilig, wenn es um die Migration in die Cloud ging. Die Fortschritte in Sachen Regularien, Compliance und nicht zuletzt Cloud Security werden nun dafür sorgen, dass mehr und mehr Finanz-Player die Vorteile der Wolke nicht mehr ignorieren können. Sie werden damit beginnen, Workloads und einige Services aus dem unternehmenseigenen Data Center testweise in die Cloud auszulagern. Durch diese Öffnung dürften schließlich auch Wearables, VR-Headsets und andere IoT-Devices im Unternehmensnetzwerk Einzug halten.
Um sich dabei jedoch gegen Ransomware und andere Hackerangriffe abzusichern, müssen Unternehmen ihren Security-Fokus vom Endpoint auf die User sowie alle Applikationen und Services verlagern. Cloud Security-as-a-service wird dabei an die Stelle der Kosten für den Erwerb und die Wartung einer Firewall treten. Für einige Unternehmen wird es jedoch wohl auch 2017 die beste Entscheidung sein, die Daten "auf dem Boden" vorzuhalten.
Auch bei Veracode geht man davon aus, dass sich im nächsten Jahr in Sachen Cloud Security einiges tun wird: Bis 2018 sollen sich statische Sicherheitstests zu einem Cloud-Service wandeln. In der Auslagerung der Sicherheitstests sehen die Sicherheitsexperten einen Gewinn - schließlich böten solche unabhängigen Tests in der Regel einen "hohen und verlässlichen Grad an Präzision".
Cyberspionage 2.0
Bereits 2016 war ein großes Jahr für Cyberspione - insbesondere aus China und Russland. Hackern aus dem Reich der Mitte wurde in der Vergangenheit unter anderem der Angriff auf das United States Office of Personnel Management (OPM) zugeschrieben. Cyberkriminelle aus Russland sollen hingegen ganz gezielt den US-Wahlkampf zwischen Hillary Clinton und Donald Trump beeinflusst haben. In genau diesem Stil dürfte das Ganze weitergehen. Findet auch FireEye: "Wir haben 2016 einen Anstieg offenkundiger Aggression aus Russland erlebt und erwarten, dass das 2017 so weitergeht."
Sean Sullivan, Sicherheitsberater bei F-Secure, sieht die kommende US-Regierung im Übrigen als besonders gefährdet an, Opfer von Hackern zu werden: "Zum Beispiel hatte der neu gewählte nationale Sicherheitsberater Michael Flynn anscheinend einmal eine unautorisierte Internetverbindung im Pentagon installiert, die im Grunde den ‚Luftspalt‘ beseitigte, der verwendet wurde, um eines der bedeutendsten nationalen Sicherheitszentren der USA zu schützen. Sachen wie diese machen ihn zu einem potentiellen Opfer, das geradezu auf einen Cyberangriff zu warten scheint."
Bei Proofpoint Security rechnet man damit, dass staatlich unterstützte Hackerangriffe künftig über Cyberspionage hinausgehen. Der US-Anbieter geht davon aus, dass in Zukunft "mehr Regierungen" per Hackerangriff versuchen werden, "Informationen zu stehlen und Neuigkeiten in Social-Media- und anderen Nachrichtendiensten zu veröffentlichen."
Für die kommenden Wahlkämpfe dieser Welt dürfen also wir mit noch mehr medialen Schlammschlachten und Enthüllungen in bestem Wikileaks-Stil rechnen. Insbesondere die weiter steigende Bedrohung für mobile Geräte spielt hierbei eine Rolle, denn Angreifer könnten so nicht nur Gespräche abhören und Daten ausspähen, sondern auch die Lokalisierungsfunktion dazu nutzen, um gezielte physische Angriffe planen und ausführen zu können.
Hacking könnte künftig vielleicht sogar ein probates Mittel zur Ausspähung des politischen Gegners werden - egal ob es dabei nun um die US-Präsidentschaftswahl, die Bundestagswahl oder eine Kommunalwahl in Ost-Sachsen geht. Die möglichen Folgen für die politischen Akteure reichen von öffentlicher Bloßstellung bis hin zu Gefahr für Leib und Leben. Staatlich beauftragte Hacks könnten im schlimmsten Fall einen Cyberkrieg in Gang setzen. Aber noch nicht 2017. Hoffentlich.
EU-Datenschutz begünstigt Cyber-Versicherungen
Im Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Entsprechend "busy" dürften 2017 die Vorbereitungen auf die General Data Protection Regulation (GDPR) angegangen werden. Hoffentlich.
Bei LogRhythm rechnet man damit, dass die neue gesetzliche Grundlage dafür sorgt, dass IT-Sicherheit endlich zum Vorstandthema wird. Diesmal wirklich: "Die Anordnung saftiger Strafen und der Zwang, auch kleinere Verletzungen des Datenschutzes bekannt zu geben, dürften sich als größte Beweggründe für Organisationen erweisen, Cybersecurity weit ernster zu nehmen als bisher".
Das wiederum bringt das Thema Cyberversicherungen auf den Plan. Laut Gartner werden im laufenden Jahr weltweit fast 82 Milliarden Dollar in IT-Sicherheits-Technologien investiert. Und trotzdem ist das Jahr geprägt von zahlreichen Sicherheitsvorfällen. Unternehmen dürften also zunehmend auf Cyberversicherungen setzen, um sich gegen eventuelle Schäden abzusichern. Die Versicherer werden sich über die neuen Einnahmequellen freuen, aber eines werden sie mit Sicherheit nicht tun: leichtfertig Prämien ausbezahlen. Stattdessen werden die Versicherungsinstitute damit beginnen, Programme und Maßnahmen für eine bessere "Cyberhygiene" zu entwickeln. Besssere Detection- und Incident-Response-Fähigkeiten könnten beispielsweise zu Vergünstigungen führen. Durch die immer weiter steigende Zahl von Hackerangriffen dürften die Versicherer zudem zunehmend dazu übergehen, ihre Deckungssummen konstant zu verringern.
- Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten. - 1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern. - 2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet. - 03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist. - 4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt. - 5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.
Bedeutung von Security-Awareness steigt
Es ist längst überliefert: Der Mitarbeiter ist das schwächste Glied in der IT-Security-Kette. So gut wie alle Unternehmens-Hacks beginnen mit einer Phishing-Kampagne. Wenn die Mitarbeiter eines Unternehmens nicht vertraut sind mit Security Best Practices, sind Angreifern Tür und Tor geöffnet. Entsprechend werden die Unternehmen ihre Herangehensweise an die Vermittlung von Security Awareness anpassen müssen. Bei LogRhythm rechnet man ebenfalls damit, dass Unternehmen in Sachen Mitarbeiterschulung zulegen müssen: "2017 dürfte sich dieses Thema zu einer noch größeren Herausforderung für die Geschäftswelt auswachsen als bisher, denn die Gegenwehr erfordert noch intensivere Awareness-Maßnahmen und auch weiterentwickelte Erkennungswerkzeuge."
Die sind auch dringend nötig, denn Cyberkriminelle zielen zunehmend auf mobile Endgeräte - insbesondere die weit verbreiteten Android Phones - und nutzen Automatisierungs-Tools für ihre "Arbeit". Wie Proofpoint berichtet, wissen professionelle Angreifer dabei immer was sie tun: "Die Angreifer haben bereits gezeigt, dass sie genau wissen, wann neue Produkte auf den Markt kommen, so dass ihre Kampagnen zu einem Zeitpunkt starten, an dem viel Kommunikation auf Kundendienstkanälen absehbar ist."
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Sie sollten Ihre Mitarbeiter aber nicht nur über die klassischen Einfallstore wie die E-Mail informiert halten. Auch Social-Media-Kanäle stehen zunehmend im Fokus von Angreifern, wie auch Proofpoint prognostiziert: Aufgrund der höheren Renditen, die Hackerangriffe über Social-Media-Plattformen bieten, erwarten die US-Amerikaner entsprechend großzügige Wachstumsraten in diesem Bereich. Fälle von Betrug und Phishing sollen sich im Jahresvergleich um 100 Prozent steigern, die Spam-Rate 2017 sogar um satte 500 Prozent zulegen. Dabei spielten auch der Betrug mit gefälschten Konten und "integrierte Betrugstechniken" wie Fake-Apps, -Websites und -E-Mails eine bedeutende Rolle, wie das Unternehmen berichtet.
Armin Simon, Regional Sales Director Identity & Data Protection bei Gemalto, sieht hingegen auch an dieser Stelle die Verschmelzung von privater und geschäftlicher Welt als wesentliche Herausforderung für Unternehmen an: "Von gemeinsam genutzten Anmeldeinformationen bis hin zu Authentifizierungspraktiken: Consumer-Trends haben erheblichen Einfluss auf die Unternehmenssicherheit. Unternehmen müssen sicherstellen, dass ihre Daten nicht durch schlechte Angewohnheiten einzelner Nutzer kompromittiert werden".