Aktuelles, Experten, Studien - geschrieben von am Mittwoch, Mai 9, 2018 16:50 - noch keine Kommentare

Cybersecurity Trends 2018: TÜV Rheinland veröffentlicht neues Whitepaper

Acht aktuelle Herausforderungen für Organisationen im Fokus

[datensicherheit.de, 09.05.2018] Wie sich Unternehmen besser vor der wachsenden Zahl und der Komplexität der Cyber-Attacken schützen und sich zugleich für die Chancen der Automatisierung und Digitalisierung der Wirtschaft rüsten können, soll das neue Whitepaper „Cybersecurity Trends 2018” vom TÜV Rheinland erläutern.

Fokus auf größte Gefahren und Chancen in der zunehmend vernetzten Welt

„Unser Ziel ist, das Bewusstsein für die zunehmenden Cybersecurity-Risiken, die das Business und die Sicherheit unserer Kunden beeinflussen, weiter zu fördern”, betont Björn Haan, Geschäftsführer im Geschäftsfeld „Cybersecurity Deutschland“ bei TÜV Rheinland.
„In diesem Jahr konzentrieren wir uns auf die Bereiche, wo wir die größten Gefahren und Chancen sehen und beleuchten die Auswirkungen auf unsere zunehmend vernetzte Welt. Wir betrachten die weltweiten Bemühungen hinsichtlich Bedarf und Regulierungen sowie das Vertrauen in Cyber-Sicherheit, um diese weiter zu stärken. Des Weiteren werfen wir ein Blick auf Wege, um uns vor ,intelligenten‘ Cyber-Attacken zu schützen und was wir tun sollten, um die Qualifikationslücke zu schließen, in einer Welt, die nach Cyber-Sicherheitstalenten hungert, aber gleichzeitig von riesigen Datenmengen überwältigt wird“, erklärt Haan.
Wie in den Vorjahren basiere der Report 2018 auf einer Umfrage unter führenden Experten für Cybersecurity von TÜV Rheinland und Beiträgen von Kunden in Europa, Nordamerika und Asien. Nachfolgend wird auf acht identifizierte Trends eingegangen.

Preis zum Schutz der Privatspäre steigt***

„TREND 1: Durch die wachsende Anzahl an globalen Regulierungen im Cyber-Umfeld steigt der Preis, um die Privatsphäre zu schützen“
Datenschutz sei ein kritischer Aspekt in einer immer digitaler werdenden Welt. Der 25. Mai 2018 stellt demnach einen entscheidenden Wendepunkt für den Datenschutz in Europa dar – dieses Datum markiert das Ende des Übergangszeitraums für die Datenschutz-Grundverordnung (DSGVO) der EU, da diese ab diesem Tag rechtsverbindlich gilt.
Sie bedeute einen grundlegenden Wandel bei der Daten-Governance und der Art, wie Informationen von Unternehmen geschützt werden, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung sei der Beginn einer wachsenden weltweiten Regulierung im Bereich Datenschutz. Verstöße gegen diese könnten mit Strafen in Höhe von bis zu vier Prozent des globalen Umsatzes belegt werden – eine enorme Summe, die nicht außer Acht gelassen werden dürfe. Es sei davon auszugehen, dass die EU-Kommission Verstöße gegen die DSGVO durch große globale Unternehmen konsequent verfolgen werde.

Internet der Dinge und Dienste erzwingt Safety und Security

„TREND 2: Das Internet of Things treibt das Zusammenspiel von Sicherheit, Cybersecurity und Datenschutz voran“
Im Jahr 2016 habe die Verwendung der Malware „Mirai“ gezeigt, dass IoT-Geräte ein schlagkräftiges und gefährliches Botnet bilden könnten. Die Time-to-Market-Anforderungen bei der Produktentwicklung und die eingeschränkte technische Performance von IoT-Geräten sorgten heute dafür, dass diese Geräte kritische Schwachstellen aufwiesen, die einfach ausgenutzt werden könnten.
Die Auswirkungen von Datenverletzungen gingen heute weit über eine einfache Datenmonetarisierung hinaus und umfassten auch physische Bedrohungen für Gesundheit und Sicherheit, da Geräte und Systeme direkt mit offenen Netzwerken verbunden seien.
Es ist laut TÜV Rheinland ein offenes Geheimnis, dass es um die IoT-Sicherheit nicht gut bestellt ist. Schätzungen gingen davon aus, dass bis 2022 in privaten Wohnungen und Häusern über 500 solcher Geräte vorhanden sein würden. Damit werde klar, dass sich die Risiken für Sicherheit, Cybersecurity und Datenschutz stark erhöhten.

OT wird verstärkt ins Visier genommen

„TREND 3: Operational Technology als Angriffspunkt für Cyber-Attacken“
Das Industrial Internet sorge bereits für eine Transformation der globalen Industrie und Infrastruktur und verspreche mehr Effizienz, Produktivität und Sicherheit.
Um im Wettbewerb zu bestehen, würden Prozessleittechnikgeräte mit der Online-Welt verbunden werden, wodurch oftmals unbeabsichtigt Komponenten, die Schwachstellen aufweisen, Cyber-Angriffen ausgesetzt seien. Fertigungsanlagen seien ebenfalls ein Angriffsziel, um an Geistiges Eigentum, Geschäftsgeheimnisse und technische Informationen zu gelangen.
Hinter Angriffen auf die öffentliche Infrastruktur stünden dagegen finanzielle Gründe, Hacktivismus und die Unzufriedenheit mit staatlichen Stellen. Die Angst vor einem „Worst-Case-Szenario”, bei dem Angreifer einen Zusammenbruch von Systemen auslösen könnten, die das Fundament der Gesellschaft bilden, sei ein Thema beim diesjährigen Weltwirtschaftsforum gewesen.
Industrielle Systeme seien besonders anfällig gegen Angriffe auf die Lieferkette. Das hätten auch kriminelle Angreifer erkannt und begonnen, diese Systeme ins Visier zu nehmen.

Angriffe werden immer noch zu spät erkannt

„TREND 4: Wenn Abwehrmechanismen für Cyber-Angriffe vorhanden sind, verlagert sich die Fokussierung auf die Erkennung von Bedrohungen und angemessene Reaktionen“
Angriffe der letzten Zeit zeigten, dass im Kampf gegen erfahrene und beharrliche Cyber-Kriminelle Verhinderungsmechanismen allein nicht ausreichten.
Heute dauere es im Schnitt 191 Tage, bis ein Unternehmen ein Datenleck erkennt. Je länger es aber dauert, eine Bedrohung zu erkennen und darauf zu reagieren, desto größer seien der finanzielle Schaden und der Reputationsverlust, den das Unternehmen durch den Vorfall erleidet.
Durch den enormen Anstieg erfasster sicherheitsrelevanter Daten, die Einschränkungen von aktuellen Technologien, die ineffiziente Nutzung von vorhandenen Bedrohungsinformationen (Threat Intelligence), die fehlende Überwachung von IoT-Geräten und den Fachkräftemangel an Cybersecurity-Experten entstünden in den Unternehmen teure Verweildauern.

Unternehmen laufen Gefahr, das Cyber-Wettrüsten zu verlieren

„TREND 5: Zunehmende Nutzung von Künstlicher Intelligenz für Cyber-Attacken und -Abwehr“
Auf ihrem Weg der Digitalen Transformation würden Unternehmen in steigendem Maße zum Ziel für komplexe und hartnäckige Cyber-Attacken – Malware werde immer smarter. Sie könne sich „intelligent” anpassen und traditionelle Erkennungs- und Beseitigungsroutinen umgehen.
Angesichts des globalen Mangels an Cybersecurity-Spezialisten seien die Unternehmen dabei, das Cyber-Wettrüsten zu verlieren. Die Menge an Sicherheitsdaten überschreite bei weitem die Kapazitäten für ihre effiziente Nutzung. Das führe zu einer steigenden Anzahl von KI-fähigen Cybersecurity-Anwendungsfällen: Beschleunigung der Erkennung und Bekämpfung von Sicherheitsvorfällen, bessere Identifizierung und Vermittlung von Risiken gegenüber den Fachabteilungen und die Bereitstellung einer einheitlichen Sicht auf den Sicherheitsstatus innerhalb der gesamten Organisation.

Problem der Einschätzung des Schutzniveaus eines Unternehmens

„TREND 6: Zertifizierungen werden wichtig, um das Vertrauen in Cybersecurity zu stärken“
Es herrsche weitgehend Einigkeit darüber, dass Cybersecurity und Datenschutz integrale Bestandteile einer digitalen und vernetzten Welt seien. Aber es bleibe die Frage zu klären, wie sich das Schutzniveau eines Unternehmens objektiv einschätzen lässt.
Die Bedenken, ob und inwieweit Cybersecurity tatsächlich umgesetzt wird, nähmen zu. Dies führe dazu, dass bestehende und neue Standards, die Cybersecurity-Strategien international vergleichbar machen, immer stärker an Relevanz gewönnen. Für CISOs und Produkthersteller seien Zertifizierungen wichtig, um nachzuweisen, dass sie getan haben, was sie versprochen haben. Die Zertifizierungsverfahren für die Bestätigung der IT-Sicherheit von Produkten konzentrierten sich heute jedoch vor allem auf kritische Infrastrukturen und Öffentliche Hand. Das werfe die Frage auf, wo die Hersteller von Verbraucherprodukten blieben.

Passwortschutz zumeist unpraktisch und unsicher

„TREND 7: Ablösung der Passwörter durch biometrische Authentifizierung“
Das digitale Leben werde durch ein komplexes Netz aus Online-Apps bestimmt, die digitale Identität durch Benutzernamen und Passwörter geschützt. Um den Schutz hinter diesen Apps zu steigern, werde empfohlen, schwer zu erratende und komplexe Kennwörter zu verwenden und diese regelmäßig zu ändern. In der Praxis geschehe das aber nur selten.
Mit der gewaltigen Zunahme der Rechenleistung und dem einfachen Zugang über die Cloud könnten Kennwörter in einer immer kürzeren Zeit geknackt werden. Was im Jahr 2000 noch fast vier Jahre gedauert hätte, sei heute in zwei Monaten erledigt.
Wenn man bedenkt, dass Kennwörter häufig gestohlen, gehackt und gehandelt werden, werde klar, dass sie noch nie offener verfügbar gewesen seien als heute. Aus diesem Grund begegneten wir heute bei Mobiltelefonen, Tablets und Laptops und auch bei physischen sowie Online-Services vermehrt der biometrischen Authentifizierung (Gesicht, Fingerabdruck, Iris und Sprache).

Reger Handel mit Daten im Darknet

„TREND 8: Ausgewählte Branchen im Visier der Angreifer: Gesundheitswesen, Finanzdienstleistungen und Energieversorgung“
Der Großteil der Cyber-Angriffe werde von Kriminellen aus finanziellen Motiven begangen. Der Wert von Daten im Darknet richte sich nach der Nachfrage, ihrer Verfügbarkeit, ihrer Vollständigkeit und den Möglichkeiten für deren Nutzung.
Daher seien persönliche Informationen aus dem Gesundheits- und Finanzsektor besonders gefragt. Krankenakten kosteten, je nachdem, wie vollständig sie sind, zwischen einem und 1.000 US-Dollar. Kreditkartendaten würden für fünf bis 30 US-Dollar verkauft, wenn die benötigten Informationen für ihre Nutzung mitgeliefert werden.
Andere Cyber-Angriffe hätten eher politische oder nationalstaatliche Motive. Im Jahr 2018 bestehe hier ein erhöhtes Risiko für Störungen von kritischen Services durch Angriffe auf den Energiesektor.

Weitere Informationen zum Thema:

TÜV Rheinland
Whitepaper „Cybersecurity Trends 2018“



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung