Das Jahr neigt sich dem Ende zu und es ist Zeit, Ausblicke auf aktuelle Security-Trends zu wagen. Welche Vorfälle haben die Welt 2018 besonders erschüttert, welche Entwicklungen kamen der IT-Sicherheit zu Gute und welche Bedrohungen sollten sich Unternehmen im Jahr 2019 vorbereiten?
Ruft man sich die Situation vor einem Jahr und die Voraussagen für 2018 ins Gedächtnis, wird eines klar: Das große Schreckgespenst des vergangenen Jahres – die Ransomware – ist fürs Erste wieder in der Versenkung verschwunden. In der ersten Jahreshälfte 2018 wurde der Krypto-Trojaner vom Thron der gefürchtetsten Angriffstools (Stichwort: WannaCry) gestoßen.
Vielmehr konzentrierten sich Cyberangreifer nun vermehrt auf Krypto-Mining, d.h. den Missbrauch gekaperter Rechenleistung, um Digitalwährungen wie Bitcoin und Monero zu schürfen. Die Schlagzeilen rund um Cyberattacken betrafen indes nicht das Phänomen des Krypto-Minings, sondern großangelegte Datendiebstähle und Datenschutzverletzungen.
Denn auch im Jahr 2018 haben es viele Unternehmen wieder einmal nicht geschafft, ihre sensiblen Daten und insbesondere die Daten ihrer Kunden vor Hackern zu schützen – und das trotz des Inkrafttretens der DSGVO im Mai.
So auch die Fluglinie British Airways, von der Hacker ganze 380.000 Bank- und Kreditkartenzahlungen erbeuten konnten. Noch schlimmer traf es jedoch freilich Facebook: Nachdem im Frühjahr der Skandal rund um Cambridge Analytica und die zweckwidrige Weitergabe von Daten von rund 87 Millionen Facebook-Nutzern publik wurde, musste der Internetgigant im Herbst erneut grobe Sicherheitsfehler eingestehen.
Die Kompromittierung von 50 Millionen Accounts beschädigte nicht nur das Vertrauen der Nutzer weiter, sondern rief auch die Datenschutzbehörden der EU auf den Plan. Die Datenverstöße bei Facebook und das vermutliche Interesse der Behörden an diesen Fällen bietet nun auch eine gute Überleitung zu den Trends für das Jahr 2019, denn die DSGVO, ihre Auswirkungen und Datenschutz im Allgemeinen werden auch im kommenden Jahr nicht aus den Schlagzeilen kommen.
Der 25. Mai 2018 ist für Datenschützer ein historisches Datum, denn an diesem Tag trat nach einer Schonfrist von zwei Jahren die Datenschutz-Grundverordnung der EU endgültig in Kraft. Fortan gelten für Unternehmen auf der ganzen Welt strenge Vorschriften was die Speicherung, Weitergabe und den Schutz personenbezogener Daten von EU-Bürgern betrifft.
Bei Verstößen gegen die neuen Verordnungen und Gesetze, etwa was Datenmissbrauch aufgrund unzureichender Sicherheitstechnologien angeht, drohen Bußgelder von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes.
Waren die Bußgelder bei fahrlässigen Datenschutzverstößen schon in „ante DSGVO“-Zeiten beachtlich müssen sich die Unternehmen bei Fehlverhalten ab sofort auf noch empfindlichere Geldbußen einstellen.
Sowohl mit Inkrafttreten der DSGVO als auch der Verabschiedung des California Consumer Privacy Acts hat das Jahr 2018 einen Meilenstein für das Recht der Bürger auf Privatsphäre und den Schutz personenbezogener Daten erreicht.
Dieser Trend wird sich im kommenden Jahr gewiss weiter fortsetzen, denn immer mehr Regierungen haben die Notwendigkeit erkannt, ihre Bürger aktiver vor Datenmissbrauch zu schützen und die Unternehmen, die mit der Verarbeitung dieser Daten immerhin enorme Gewinne erzielen, stärker in die Verantwortung zu nehmen.
In Zeiten in denen Daten das „neue Öl“ sind, wird es Zeit, dass auch der Rest der Welt seine Gesetze in Bezug auf personenbezogene Daten weiter verschärft. Es gilt sicherzustellen, dass die Standards der Cybersicherheit zum Schutz der Daten auf einem Niveau liegen, das dem tatsächlichen Wert der Daten auch entspricht.
Kompromittierte privilegierte Unternehmenskonten sind seit vielen Jahren eine der beliebtesten Angriffsmethoden, über die sich Cyberkriminelle Zugang zu Systemen und sensiblen Daten verschaffen. Das wird sich auch im nächsten Jahr nicht ändern.
Umso wichtiger ist es, dass Unternehmen ihre sensiblen Accounts und Konten mit weitrechenden Berechtigungen mit Hilfe einer Least Privilege-Policy so gut es geht einschränken und Sitzungen privilegierter Konten stets im Blick haben.
Die Analysten von Gartner haben Privileged Account Management (PAM) als Top-Priorität für CIOs im Jahr 2018 gelistet – und das zu Recht, denn nur rund 25 Prozent der Unternehmen haben bis jetzt eine effektive PAM-Lösung im Einsatz, die diese wichtigen Funktionalitäten auch erfüllt. Im Jahr 2019 ist es nun an der Zeit, die Kontrolle über die privilegierten Konten zurückzugewinnen. Auch in Hinblick auf die Vorschriften der DSGVO.
Die Entwicklung des Internets der Dinge ist in den letzten Jahren so rasant vorangeschritten, dass die IT-Sicherheit kaum hinterhergekommen ist. Neue Plattformen wie vernetzte Fahrzeuge, industrielle Steuerungsanlagen und Embedded Systeme werden das Scherheitsumfeld deshalb im kommenden Jahr ganz besonders herausfordern.
Dass das Internet der Dinge aus Security-Sicht mit vielen Risiken verbunden ist, wurde auch in diesem Jahr reichlich diskutiert.
Das wahre Ausmaß von Manipulationen über IoT-Geräte wird uns aber vermutlich erst demnächst vor Augen geführt werden. IoT-Attacken werden dann wahrscheinlich nicht nur Störungen und finanzielle Verluste nach sich ziehen, sondern eventuell auch Verletzungen von Leib und Leben verursachen, wenn etwa vernetze Fahrzeuge oder Medizingeräte betroffen sind.
Bleibt zu hoffen, dass wir im Jahr 2019 von größeren IoT-Angriffen verschont bleiben, denn gerade für den Cyberterrorismus dürfte das IoT besonders attraktiv sein.