Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Die wichtigsten Cyber-Trends 2018

Datenlecks in bisher schier unvorstellbarem Ausmaß, Ransomware und unsichere IoT-Geräte: Das Jahr 2017 hat den IT-Sicherheits-Verantwortlichen ziemlich zugesetzt. Wie es im neuen Jahr weitergeht, haben wir hier zusammengefasst. Beginnen wir mit den beiden neuen Anforderungen an IT-Sicherheit und Datenschutz, die Unternehmen bis Mai 2018 umgesetzt haben müssen:

Die DSGVO treibt den Datenschutz

Seit mindestens sechs Monaten sitzt den Unternehmen die EU-Datenschutz-Grundverordnung im Nacken, die für alle gilt, die Daten von Bürgern in der EU erfassen und verarbeiten. Mit dem neuen Jahr beginnt der Endspurt, denn ab dem 25. Mai 2018 müssen die neuen Regeln umgesetzt sein. Hohe Bußgelder bei Verstößen sollen bewirken, dass die Firmen den Schutz der personenbezogenen Daten ernst nehmen.

Große, international agierende Unternehmen, die die Umsetzung der DSGVO auf die leichte Schulter nehmen, müssen damit rechnen, dass sie von den Datenschutz-Behörden als abschreckendes Beispiel vorgeführt werden. Aber da jede Datenschutzverletzung gemeldet werden muss, kann sich kein Unternehmen darauf verlassen, bei einem Vorfall mit einem blauen Auge davonzukommen.

Mehr IT-Sicherheit für kritische Systeme

Das IT-Sicherheitsgesetz verpflichtet die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS), die Absicherung ihrer IT-Systeme zu verbessern, um Ausfällen vorzubeugen. Kritisch sind, ab einer bestimmten Größenordnung, Anlagen und Systeme, auf deren Funktionsfähigkeit unser Gemeinwesen angewiesen: Energie, ITK, Wasser, Ernährung, Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr.

Ab Mai 2018 müssen Unternehmen aus Energie, ITK, Wasser und Ernährung den Vorgaben entsprechen, die Anpassungsfrist für die anderen läuft im Juni 2019 ab. In Deutschland gibt es nicht sehr viele Unternehmen in KRITIS-relevanter Größe. Aber diese werden die Anforderungen auch an ihre Dienstleister weiterreichen und damit einen deutlich größeren Kreis von Firmen zum Ausbau der IT-Sicherheit bewegen.

IoT-Geräte erobern die Unternehmen

IoT-Geräte (Internet of Things; Internet der Dinge), zu denen vernetzte Alltagsgeräte im Haushalt, aber auch Wearables und Virtual-Reality-Geräte in Unternehmen gehören, liegen im Trend; ihre Zahl wird in 2018 deutlich zunehmen.

Was einerseits Innovationen begünstigt, stellt andererseits eine Bedrohung dar: Die auf den Geräten gespeicherten Daten können ausgelesen werden, wenn Geräte ungeschützt über das Internet erreichbar sind oder Schwachstellen haben, die von Hackern ausgenützt werden können. Um die Risiken zu verringern, müssen Unternehmen nicht nur die Arbeitsplatzrechner, sondern auch die unterschiedlichen neuen mobilen Geräte und Anwendungen in ihr Schutzkonzept einbeziehen.

Unsichere IoT-Geräte können auch für DDoS-Angriffe (Distributed Denial of Service) genutzt werden, wie das Mirai-Botnetz gezeigt hat. Die Zunahme der Angriffe mittels Überlastung von Diensten erfolgt schleichend und wird immer häufiger mit Erpressung verbunden: Solange der Anbieter nicht zahlt, bleibt die Seite blockiert. Solche Attacken werden im Jahr 2018 zunehmen, auch Cloud-Anbieter werden davon betroffen sein.

Schwachstellen in der Hardware

Mit Meltdown und Spectre ist soeben eine neue Klasse von Bedrohungen bekannt geworden. Ein marktübliches Verfahren, das seit etwa 20 Jahren die Leistung von Prozessoren verbessert, stellt sich als Fehler im Design der Hardware heraus, mit gravierenden Folgen. Es ermöglicht in den Abermillionen von Rechnern und Smartphones, in denen sie verbaut ist, das Ausspähen von sensiblen Informationen wie Passwörter. Niemand kann sagen, ob solche Angriffe bereits stattgefunden haben, denn sie hinterlassen keinerlei Spuren in den Logdateien.

Von der Schwachstelle sind vor allem Unternehmen bedroht, da Angreifer bei ihnen ein deutlich besseres Verhältnis von Aufwand und Ertrag erwarten können als bei Privatpersonen. Cloud-Rechenzentren könnten daher ganz oben auf der Liste potenzieller Angreifer stehen. Da der Austausch von Prozessoren unrealistisch sein dürfte, bieten die Software-Hersteller Patches an, mit denen die Sicherheitslücke geschlossen werden kann. Aktuell stehen sie für Betriebssysteme und Browser zur Verfügung, Patches für Firmware sollen folgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen und Privatpersonen gleichermaßen, sich im Hinblick auf Patches auf dem Laufenden zu halten und die Systeme umgehend zu aktualisieren. Das ist auch im Hinblick auf die DSGVO eine äußerst sinnvolle Maßnahme, obwohl sich Angriffe über Meltdown und Spectre nicht nachweisen lassen. Aber Sie wissen schon: Der Stand der Technik ist gefragt.

Künstliche Intelligenz läutet die nächste Runde im Wettlauf um die IT-Sicherheit ein

Das Potenzial von künstlicher Intelligenz (KI) gibt ihrer Nutzbarkeit für die Verbesserung der IT-Sicherheit in 2018 gehörig Auftrieb. So kann sie Muster und Abweichungen von Mustern bei der Erfassung und Auswertung von Informationen automatisch aufspüren und dadurch IT-Mitarbeiter von Routine-Arbeiten entlasten, beispielsweise bei der Schwachstellen- oder der Verhaltenserkennung. Da noch viel Entwicklungsarbeit zu leisten ist, wird sich ihr Einsatz zunächst noch auf Großunternehmen beschränken.

Die Unternehmen werden jedoch nicht die einzigen sein, die sich KI zunutze machen. Von einer besseren Schwachstellenerkennung beispielsweise können Cyberkriminelle ebenfalls profitieren, allerdings zu den gegenteiligen Zwecken. Mit KI dürfte also der Wettlauf um die Cybersicherheit in die nächste Runde gehen, mit höherer Komplexität und höherem finanziellen Einsatz auf beiden Seiten.

Nicht auf dem Erreichten ausruhen

DSGVO und KRITIS-Verordnung werden 2018 zu einem guten Jahr für IT-Sicherheit und Datenschutz machen. Lösungen auf dem Stand der Technik und die Entwicklung neuer Technologien helfen dabei, die IT-Infrastruktur sicherer zu machen und Datenverlust und Datendiebstahl zu verhindern. Allerdings trüben Meltdown und Spectre mit dem völlig neuen Angriffsszenario die Aussichten gewaltig. Auf den Lorbeeren ausruhen ist deshalb nicht angesagt. IT-Sicherheit und Datenschutz müssen kontinuierlich weiterentwickelt werden, weil jede Neuerung in der Arbeitswelt auch Cyberkriminellen neue Möglichkeiten bietet.

 

In diesem Artikel:

    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.