Auch 2023 stellten verschiedenste Cyberbedrohungen Deutsche Unternehmen vor große Herausforderungen: Einer Umfrage zufolge lassen sich 16,1 Milliarden Euro der insgesamten Schadenssumme auf Cyberkriminalität zurückführen. Im kommenden Jahr werden deshalb einige Neuerungen umgesetzt, welche die Bekämpfung von Cyberbedrohungen in der digitalen Welt unterstützen sollen.
Ingolf Rauh, Head of Product und Innovation Management bei Swisscom Trust Services, hat vier Trends für 2024 identifiziert.
1. Neue Regularien DORA und NIS2
NIS2 (Network and Information Security 2) zielt darauf ab, die Cybersicherheitsanforderungen für wichtige Infrastrukturen zu harmonisieren, während DORA (Digital Operational Resilience Act) die betriebliche Widerstandsfähigkeit im Finanzsektor betont. Beide Vorschriften nehmen besonders Lieferketten in die Pflicht und legen Verpflichtungen für Softwareanbieter fest.
NIS2 ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet. DORA hingegen ist eine Verordnung der EU und tritt voraussichtlich 2025 unmittelbar in den Mitgliedsstaaten in Kraft. DORA konzentriert sich auf die Betriebsstabilität im Finanzsektor, sodass diese einem Cyberangriff standhalten kann und Finanzdienstleistungen weiter verfügbar bleiben.
Unternehmen sollten sich frühzeitig mit den neuen Regularien vertraut machen, da insbesondere die Compliance ansonsten Probleme bereiten könnte. Für NIS2 entfällt die Prüfkompetenz in Deutschland auf das BSI bzw. die BaFin. Artikel 46 von DORA enthält eine ganze Reihe von Behörden, die darüber hinaus die Einhaltung der Regularien garantieren sollen – bestenfalls die EZB, beziehungsweise auch die BaFin.
2. eIDAS 2.0 und EU-Wallets
Im Februar 2024 wird das EU-Parlament über eine Verordnung zur Einführung von digitalen Wallets abstimmen. Passiert der Gesetzesvorschlag das Parlament und den europäischen Rat, könnte die Verordnung bereits im Frühjahr 2024 in Kraft treten. Der Vorschlag besagt unter anderem, dass alle 27 Mitgliedsstaaten ihren Bürgern bis 2026 eine digitale Brieftasche anbieten müssen, mit der diese sich elektronisch ausweisen können.
Bis zum Jahr 2030 sollen 80 Prozent der EU-Bevölkerung über eine solche Wallet verfügen, so der Wille der EU-Kommission. Kritik gibt es allerdings von Datenschützern und Sicherheitsexperten, die unter anderem die anonyme Nutzung digitaler Dienste gefährdet sehen.
3. Vollständige Digitalisierung von Arbeitsverträgen
Im deutschen Nachweisgesetz soll eine Regelung geschaffen werden, wonach wie bereits bisher bei schriftlichen Arbeitsverträgen die Verpflichtung des Arbeitgebers, einen Nachweis der wesentlichen Vertragsbedingungen zu erteilen, entfallen kann, wenn der Arbeitsvertrag beispielsweise in einer gültigen elektronischen Form geschlossen wurde. Die Pflicht zur schriftlichen Niederlegung wurde im letzten Gesetzesentwurf hierzu immer wieder kritisiert und verhinderte eine vollständige Digitalisierung von HR-Prozessen.
Hier bietet sich die Nutzung elektronischer Dokumente an, die mit einer qualifizierten elektronischen Signatur nach § 126a BGB versehen sind und damit einen adäquaten Ersatz für die Schriftform bieten können. Nicht nur aufgrund dieser legislativen Initiative, sondern auch aus ganz praktischen Gründen im digitalen Raum wird die qualifizierte elektronische Signatur immer mehr zum Standard werden und die händische Unterschrift auf Papier sukzessive ablösen.
4. Post-Quantenkryptografie
Quantencomputer machen in der letzten Zeit immer wieder Schlagzeilen und die Technologie nähert sich immer mehr dem praktischen Einsatz. Wann die überlegene Rechenleistung allgemein zur Verfügung stehen wird, ist aktuell schwer abzuschätzen, doch es scheint nur noch eine Frage der Zeit zu sein. Dann wird die Technologie zwangsläufig auch in falsche Hände gelangen und Kriminelle können sie nutzen, um Verschlüsselungen zu knacken, die bisher als sicher galten.
Die Quantenrechner erlauben die Verwendung neuartiger Algorithmen, die die Rechenzeit für die Lösung komplexer mathematischer Probleme, wie sie in der Kryptografie verwendet werden, erheblich verkürzt. Das bedeutet, es braucht auch für die Verschlüsselung neue Algorithmen, die so komplex sind, dass sie auch Angriffen mit Quantenrechnern standhalten können. IT-Sicherheitsanbieter und Vertrauensdienste müssen ihre Hard- und Software daher bereits heute so designen, dass sie zukünftig neue, quantensichere Algorithmen integrieren können.