Wie der aktuelle Bericht des BSI zeigt, ist die Lage der Cybersicherheit „besorgniserregend“. Mal wieder oder immer noch, möchte man ergänzen. Ransomware ist nach wie vor die größte Bedrohung, aber gefühlt schon so lange präsent, dass man sie kaum mehr wahrnimmt. Gleichzeitig zieht ein neues Schreckgespenst am Horizont auf - die Künstliche Intelligenz. Was also ist im kommenden Jahr im Bereich der Cybersecurity zu erwarten?
Sebastian Mehle, Account Manager bei Varonis Systems, wagt einen Blick in die Zukunft.
Datensicherheit etabliert sich als wichtige Cybersecurity-Disziplin
Die Analysten von Gartner haben kürzlich mit dem von ihnen eingeführten Begriff des Data Security Posture Management (DSPM) die Datensicherheit in den Fokus der Cybersecurity gerückt. DSPM konzentriert sich auf die Sicherheitslage der Daten und bietet einen Überblick darüber, wo sich sensitive Daten befinden, wer Zugriff darauf hat, wie sie verwendet werden und wie die entsprechenden Sicherheitskontrollen und Berechtigungen konfiguriert sind.
Und auch wenn der Ansatz an sich nicht neu ist, die Daten ins Zentrum der Sicherheitsstrategie zu stellen, wird der neue Begriff dabei helfen, den Daten und ihrem Schutz die nötige Aufmerksamkeit zu verschaffen und die Datensicherheit als entscheidenden Faktor der Cybersecurity zu etablieren.
Auch „freundliche“ KI stellt ein Sicherheitsrisiko dar
Im Zusammenhang mit Cyberbedrohungen durch künstliche Intelligenz denken die meisten an Deepfakes, KI-unterstützte Phishing-Kampagnen oder mithilfe von KI erstellte Malware. Wenig Aufmerksamkeit erhalten dabei die Gefahren, die durch „freundliche“ KI-Tools ausgehen. So hat Microsoft mit seinem Co-Pilot einen Assistenten vorgestellt, der in jede Microsoft 365-App wie Word, Excel, PowerPoint, Teams oder Outlook integriert ist.
Dias soll den Usern die Arbeit wesentlich erleichtern und die Produktivität steigern. Damit dies auch zu den gewünschten Ergebnissen führt, hat Co-Pilot Zugriff auf alle sensitiven Daten, auf die der Benutzer zugreifen kann. Im Durchschnitt also auf mindestens 10 Prozent der M365-Daten eines Unternehmens, die für alle Mitarbeitenden zugänglich sind.
Sensitive Daten können so schnell ihren Weg in Präsentationen oder Mails finden und so das Unternehmen verlassen. Viele andere Anbieter, wie beispielsweise Salesforce, arbeiten an ähnlichen KI-Assistenten, was das Risiko einer (bewussten oder versehentlichen) Datenexfiltration enorm erhöht. Deshalb müssen auch KI-erstellte Dokumente Teil der Datensicherheitsstrategie sein.
KI wird Teil des Security-Teams
Neben den Gefahren ergeben sich durch den Einsatz von künstlicher Intelligenz auch zahlreiche Vorteile für die Cybersicherheit: In vielen Lösungen werden bereits seit Jahren maschinelles Lernen und künstliche Intelligenz eingesetzt, etwa im Bereich der Bedrohungsanalyse und bei Bedrohungsmodellen.
Mehr und mehr werden fortschrittliche Security-Anbieter auf KI-Assistenten setzen, die auf die Durchführung von Untersuchungen, die Beseitigung von Bedrohungen und die proaktive Absicherung von Umgebungen spezialisiert sind. Auch Warnmeldungen werden durch KI zukünftig besser analysiert und in einen breiteren Kontext gebracht werden können, um Sicherheitsverantwortliche bei der effizienteren Lösung von Cyber-Vorfällen zu unterstützen.
Zusätzliche Features wie eine Suche in natürlicher Sprache steigern dabei die Nutzerfreundlichkeit und ermöglichen dem Security-Team in Sekundenschnelle, Antworten auf Fragen wie „Verfügen wir über Dateien mit Passwörtern, die für jeden im Internet zugänglich sind?“ oder „Welche Benutzer haben auf unsere Gehaltsabrechnungen zugegriffen?“ zu erhalten.
Die NIS 2-Richtlinie kommt für viele völlig überraschend
Wer erinnert sich noch an die Einführung der DSGVO? Schon Jahre vor Inkrafttreten wurde viel diskutiert, erörtert, erklärt. Für wen gilt sie? Was muss beachtet werden? Wo liegen die Stolpersteine? Getan wurde: wenig. Und plötzlich war sie da, Bußgelder drohten und eine gewisse Panik machte sich breit. Es war wie jedes Jahr zu Weihnachten: Jeder weiß, wann der Termin ist, wird aber Mitte Dezember davon überrascht, dass die Bescherung vor der Tür steht.
Und genau dieses Verhalten erleben wir auch mit der NIS 2-Richtlinie: Ab Oktober 2024 gelten für viele Unternehmen in 18 kritischen Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten. Wobei vielen Unternehmen bislang gar nicht bewusst ist, dass sie von der neuen Gesetzgebung betroffen sind. Und auch bei jenen, die es wissen, herrschen noch große Defizite.
So zeigt eine aktuelle Studie, dass nur knapp jedes zweite betroffene deutsche Unternehmen regelmäßig die größten Gefahren für ihre kritischen Informationssysteme analysiert. Die Uhr tickt. Zumal es – ganz genau wie bei der DSGVO – nicht mit der Installation eines Tools getan ist. Cybersicherheit auch im Sinne der NIS 2 ist ein kontinuierlicher Prozess, der etabliert und stets angepasst, vor allem aber angegangen werden muss.