Während die Digitalisierung weiter voranschreitet, verschärfen sich auch die Security-Herausforderungen. Vor allem im Bereich Cloud, IoT und 5G gibt es einiges zu tun. Aber auch alte Bekannte wie die Gefahr durch Krypto-Trojaner und Probleme bei der Umsetzung der DSGVO werden Unternehmen weiterhin beschäftigen. Wolfgang Kurz, CEO & Founder von indevis, nennt im Folgenden die Top-7 Security Trends für 2021.
1. Cloud Security nimmt langsam Fahrt auf
Unternehmen nutzen immer mehr SaaS-Angebote, wissen aber nicht, wie sie sie richtig absichern sollen. Alles dem Cloud Provider zu überlassen, ist keine Lösung. Denn dieser bietet meist lediglich Basis-Security-Funktionen. Um bei einem Public Cloud Service dasselbe Sicherheitsniveau zu erreichen wie On-Premises, sind in der Regel zusätzliche Maßnahmen nötig.
Features wie Zwei-Faktor-Authentisierung oder Verschlüsselung lassen sich zum Beispiel per API integrieren. Vielleicht müssen auch eine PKI (Public Key Infrastructure) und ein HSM (Hardware Security Module) eingebunden werden. Viele Unternehmen erkennen, dass sie in puncto Cloud Security noch Nachholbedarf haben. Dafür brauchen sie geeignete Tools von Drittanbietern und Unterstützung von Experten.
2. Automatisierung in der Security wird immer wichtiger
Security-Systeme überwachen die IT-Umgebung 24 Stunden am Tag und generieren Meldungen. Doch niemand kann sich die Events und Logfiles rund um die Uhr ansehen. Um schnell reagieren zu können und die Mitarbeiter zu entlasten, wird Automatisierung immer wichtiger. Viele Hersteller im Bereich Incident Response beschäftigen sich derzeit mit diesem Thema.
Security-Lösungen erkennen dann zum Beispiel wiederkehrende, automatisierte Angriffe und begegnen ihnen auch mit automatisierten Antworten. Sie können Probleme selbst intelligent lösen und Alarmmeldungen wieder auf grün setzen. Auch Phishing-Mails lassen sich automatisiert behandeln: Ein Security Service identifiziert sie und blockiert gefährliche Links. Klickt ein Mitarbeiter darauf, kann nichts passieren.
3. IoT-Security wird insbesondere KRITIS-Unternehmen verstärkt beschäftigen
IoT ist längst in der Praxis angekommen, aber noch nicht ausreichend abgesichert. In der Vergangenheit gab es zahlreiche Beispiele für Geräte auf dem Consumer-Markt, die mit Sicherheitslücken für negative Schlagzeilen sorgten. So wurde etwa die Spielzeugpuppe Cayla aus dem Verkehr gezogen, weil sie sich als Abhöranlage missbrauchen ließ. Auch im Unternehmensumfeld gibt es immer mehr IoT-Anwendungen, etwa Predictive Maintenance, um die Wartung von Maschinen zu optimieren.
Wie im Consumer-Umfeld hat dabei die Funktionalität meist Vorrang vor der Security. Gerade für Unternehmen, die zu den kritischen Infrastrukturen gehören, ist das brandgefährlich. Hersteller sind in der Pflicht, Systeme und Geräte bereits mit integrierter Security zu entwickeln. Solange das nicht vollumfänglich gegeben ist, brauchen Unternehmen Lösungen, um IoT-Projekte nachträglich abzusichern. Hier muss massiv implementiert werden.
4. Der Breitbandausbau geht weiter und erfordert Security-Maßnahmen
Durch den fortschreitenden Ausbau der Glasfaser-Anbindung und des 5G-Mobilfunknetzes verändert sich die Nutzung der Netze. Neue Anwendungsbereiche, die sehr hohe Datenübertragungsraten benötigen, werden möglich – zum Beispiel das autonome Fahren. Das bringt neue Risiken mit sich. Denn hier stehen bei einem Hackerangriff Menschenleben auf dem Spiel.
Internet Service Provider, Telekommunikationsanbieter und Unternehmen müssen hier umdenken. Statt wie bisher auf die Verfügbarkeit der Netze und die Funktionalität der Anwendungen zu fokussieren, müssen sie sich jetzt auch verstärkt um die Sicherheit am Netzübergang zum Internet kümmern. Durch die neuen Breitbandanwendungen werden Infrastruktur-Projekte für Unternehmen also automatisch auch zu Security-Projekten.
5. Datenschutz und DSGVO bleiben ein Evergreen
In puncto DSGVO sind viele Unternehmen noch nicht up-to-date, und die Strafen bei Verstößen sind hoch. Das sorgt für Verunsicherung. Ein großes Problem besteht im Konflikt zwischen der DSGVO und dem amerikanischen Cloud Act. Letzterer verpflichtet US-Unternehmen, Daten an die Behörden herauszugeben, selbst wenn sich diese auf Servern im Ausland befinden. Das aber widerspricht den EU-Datenschutzrichtlinien. Es ist also fraglich, ob deutsche Unternehmen überhaupt Cloud Services amerikanischer Anbieter nutzen dürfen.
Denn auch wenn Amazon, Google, Microsoft & Co. Rechenzentren in Deutschland betreiben, unterstehen sie immer noch dem Cloud Act. In der Praxis gibt es jedoch kaum europäische Alternativen. Auch der Plan, eine eigene europäische Cloud aufzubauen, schreitet nur langsam voran. Solange die EU-Rechtsprechung lediglich Verbote ausspricht, aber keine Lösungen aufzeigt, ist es für Unternehmen schwer, Cloud Services gesetzeskonform zu nutzen.
6. Phishing und Krypto-Trojaner sind weiterhin eine große Herausforderung
Auch 2021 werden wieder neue, gefährliche Derivate von Krypto-Trojanern auftauchen, und wir werden voraussichtlich zahlreiche erfolgreiche Angriffe sehen. Die meisten Unternehmen haben erkannt, dass sich die Gefahr nur mit einer Ende-zu-Ende-Strategie eindämmen lässt. Sie muss von technischen Maßnahmen über die Organisation bis hin zum einzelnen Mitarbeiter reichen. Insbesondere Awareness-Schulungen spielen dabei eine wichtige Rolle, denn der beste technische Schutz bringt nichts, wenn Menschen am Ende auf die Tricks der Cyberkriminellen hereinfallen.
Webgesteuerte Compliance-Trainings setzen sich daher immer mehr durch. Häufig fehlen aber noch Handlungsempfehlungen und Prozesse für den Fall, dass ein Cyberangriff doch einmal erfolgreich ist. Jetzt geht es darum, Meldeketten zu etablieren, möglichst schnell zu reagieren und Gegenmaßnahmen einzuleiten. Für viele Unternehmen ist das eine Herausforderung, vor der sie 2021 stehen.
7. Die Nachfrage nach Managed Security Services steigt
Der Fachkräftemangel in der IT-Branche hält an. Dadurch fehlen in vielen Unternehmen spezialisierte Mitarbeiter, während sich die Bedrohungslage verschärft und Security-Systeme immer komplexer werden. Das führt dazu, dass die Nachfrage nach Managed Security Services weiter steigt. 2021 werden sich viele Unternehmen damit beschäftigen, wie sie IT-Sicherheits-Tools teilweise oder ganz an einen externen Dienstleister auslagern können.