Diese Sicherheitstrends müssen Unternehmen im Blick haben
Mit zunehmender Digitalisierung wächst die Anfälligkeit der Unternehmen für IT-Sicherheitsprobleme. Jetzt rächt es sich, dass viele Betriebe IT-Security über lange Zeit hinweg als kostspieliges und nicht strategisches Anhängsel gesehen haben. Folgende technologischen Entwicklungen können Firmen wieder zu mehr IT-Sicherheit verhelfen.
Viele Jahre waren Unternehmen darauf ausgerichtet, im Notfall möglichst schnell reagieren zu können. Inzwischen gibt es aber Technologieentwicklungen, die den Spieß umdrehen und den Betrieben helfen, das Sicherheitsthema proaktiv anzugehen. Sie können sensible Daten und Systeme heute in verschiedenen Umgebungen absichern und auch während der Nutzung schützen.
Hier sind zehn wichtige Trends dazu, die die Analysten von Forrester identifiziert haben.
Integrierte Sicherheitslösungen
Mit dem Fortschreiten der digitalen Transformation in den Betrieben gewinnen integrierte Sicherheitslösungen an Bedeutung. Chief Information Security Officers (CISOs) nutzen sie, um ihre Zero-Trust-Sicherheitsstrategie voranzutreiben. Vor allem die Hyperscaler Amazon Web Services (AWS), Microsoft und Google Cloud bieten immer bessere fest eingebaute Sicherheitsfunktionen in ihren Cloud-Angeboten, Betriebssystemen, Container-Plattformen und sonstigen Lösungen. Dabei geht es um integrierte Tool-Sammlungen, mit denen Anwender Angriffen vorbeugen sowie Sicherheitsvorfälle entdecken und beseitigen können, ohne dafür Geschäftsprozesse unterbrechen zu müssen. Auch die großen IT-Security-Anbieter, etwa Broadcom, Palo Alto Networks oder Trend Micro, warten mit integrierten Sicherheitsangeboten auf. Für CISOs bedeutet das, sie können mit diesen Ökosystemen die Zahl ihrer Security-Anbieter reduzieren. Die Argumente für solche integrierten Pakete sind geringere Kosten, das einfachere Management und die Ausbaufähigkeit.
Forrester empfiehlt Anwendern, sich mit solchen Lösungen zu beschäftigen und ihre gegenwärtigen Anbieter von Einzellösungen herauszufordern. Sie sollten zumindest ihr Portfolio an Einzel-Tools erklären und das Zusammenspiel ihrer Produkte mit den marktführenden integrierten Ökosystemen darstellen können. Hilfreich könne auch ein Abgleich der genutzten Produkte mit einem möglichen ZeroTrust-Technologieansatz sein, um Lücken in
der eigenen Organisation zu entdecken. Die Analysten empfehlen, sich für die dezentrale Zero-Trust-Umgebung eines Technologiepartners zu entscheiden, der ein funktionsfähiges Integrations-Ökosystem mitbringt, das neue Produkte und auch bereits getätigte Investitionen unterstützt. Werden viele Einzellösungen eingesetzt, sollten die Verantwortlichen begründen können, warum das so ist und inwieweit sich diese Werkzeuge in eine Zero-TrustPlattform einfügen.
Die Transformation von SOC-Lösungen
Security-Operations(SecOps)-Lösungen unterstützen die Teams in den Security Operations Centers (SOCs), indem sie Sicherheits- und betriebliche Daten kombinieren, um Bedrohungen zu erkennen, zu priorisieren und schnell zu reagieren. Solche konsolidierten Lösungen für den Sicherheitsbetrieb gibt es entweder als Security-Analytics-Plattformen oder als Extended-Detection-and-Response(XDR)-Systeme zu kaufen.
Laut Forrester haben SIEM-Systeme (Security Information and Event Management) nie wirklich gehalten, was sie versprochen haben. Obwohl seit zwei Jahrzehnten im Markt, hätten diese Paket-Bundles nie den Beweis erbracht, dass sie wirklich kritische Funktionen des
Sicherheitsbetriebs beherrschen – etwa das Erkennen und Untersuchen von Vorfällen oder das schnelle Reagieren auf Angriffe. In den vergangenen zwölf Monaten gaben den Analysten zufolge 59 Prozent der Teilnehmer einer Umfrage an, in ihren Betrieben einen oder mehrere Sicherheitsvorfälle erlebt zu haben. Dabei haben die vorhandenen Sicherheitstechnologien dem SOC-Personal nicht die nötige Transparenz, Effizienz und Automatisierung an die Hand gegeben, um ihre Unternehmen auf hohem Niveau zu schützen. Immerhin seien die funktionalen Lücken in den SOC-Werkzeugkästen kleiner geworden. Auf Seiten der Sicherheitsanalyse-Plattformen trugen neue Technologien und die Marktkonsolidierung dazu bei, dass Security Analytics, Security Orchestration, Security Automation und Response (SOAR) und SIEM zusammenwachsen konnten.
XDR bedeutet laut Forrester nun allerdings einen Paradigmenwechsel für den Sicherheitsbetrieb. Es baut auf Endpoint-Detection- und Response-Tools auf und verhilft SOC-Teams zu detaillierten Alarmen mit vielen wichtigen Informationen. Hinzu kommen Telemetriedaten von traditionelleren Sicherheitskontrollen wie Netzwerkanalyse und -transparenz oder E-MailSicherheit. Damit wird der Kontext, in dem Alarme verstanden und eingeordnet werden können, besser erfasst.
Es sei aber noch zu früh, ganz auf SIEM zu verzichten, sagen die Analysten. Zwar sei XDR mit seinem Fokus auf den Endpunkt als SOCPlattform der Zukunft gesetzt, und die Systeme lieferten aussagekräftige Telemetriedaten bezüglich der Alarme, sodass sich die Sicherheitsprofis ein genaueres Bild vom gesamten Kontext machen könnten. Dadurch werde das typische SIEM-Problem „viele Daten, wenige Erkenntnisse“vermieden. Doch mit langfristiger Protokollarchivierung und ComplianceReporting böten SIEM-Systeme immer noch einige Funktionen, die über die XDR-Fähigkeiten hinausgehen.
Gerade das Compliance-Reporting wird demnach dafür sorgen, dass SIEM nicht so schnell verschwindet. Forrester empfiehlt Anwendern, Detection- und Response-Roadmaps auf der Basis von XDR zu erstellen. Es sei zu erwarten, dass Stand-alone-Lösungen für Sicherheitsanalyse und SOAR innerhalb von zwölf bis 18 Monaten durch XDR verdrängt würden. Reine Plattformen für die Sicherheitsanalyse könnten binnen zwei Jahren verschwinden – sofern sich die Anbieter nach den Wünschen ihrer Kunden richteten.
Verteidigung der Software Delivery Pipeline
Die berüchtigte Sicherheitslücke bei Solarwinds hat die Sicherheitsbranche auf die Risiken einer ungeschützten Software-DeliveryPipeline aufmerksam gemacht. Heute schauen die Experten genauer darauf, wie sie ihre Entwicklungsumgebungen absichern können. Solarwinds hatte Schlagzeilen gemacht: Über eine Hintertür in der Netzwerk-ManagementSoftware „Orion“waren Kriminelle in die
Netze von Firmen wie FireEye, Microsoft und
US-Behörden eingedrungen. Doch der Vorfall deckte nur eines der Risiken in der SoftwareLieferkette auf. Erst kürzlich demonstrierte ein Sicherheitsforscher, wie leichtfertig viele Unternehmen manipulierte Versionen von Updates für ihre gängige Standardsoftware akzeptieren. Dabei bleiben dann anfällige Open-Source-Komponenten in Anwendungen unverändert, sie werden trotz verfügbarer Patches nicht auf den neuesten Stand gebracht. Das eröffnet potenziellen Angreifern einen einfachen Zugang.
Es ist noch gar nicht so lange her, als Equifax unfreiwillig Millionen von SozialversicherungsNummern preisgab, weil Hacker eine bekannte Sicherheitslücke in einer Open-Source-Bibliothek ausgenutzt hatten. Es gilt also für Unternehmen, Sicherheitslücken in der SoftwareLieferkette zu schließen, möglichst ohne dass die Entwicklungsteams in ihrer Arbeit gebremst werden.
Sicherheitsverantwortliche und Entwickler müssen hier zusammenarbeiten, um Prozessund Software-Schwachstellen zu schließen, bevor diese die Produktsicherheit gefährden. Forrester empfiehlt beiden, die Analyse der Softwarekomponenten in die EntwicklungsPipeline einzubauen, um die verwendeten Open-Source-Produkte und Third-Party-Bibliotheken zu prüfen. Es gilt Schwachstellen zu beseitigen, die das Produkt beeinträchtigen könnten. Zudem sollten Softwareanbieter, auch solche mit Open-Source-Produkten, ihren Code signieren, und die Signaturen sollten verifiziert werden. Unternehmen sollten ferner ihr Identitäts- und Zugangsmanagement (IAM) auf die CI/CD-Pipeline (CI/CD = Continuous Integration/Continuous Delivery) ausdehnen, indem sie Zugriffsberechtigungen für Quellcode und Build-Umgebungen vergeben. Sinnvoll ist es auch, Quellcode-Repositories mit Paket-Management- und Auditing-Funktionen auszustatten, um unerwartete Quellcode-Ergänzungen oder Änderungen in Binärdateien aufspüren zu können. Und schließlich sollten die Betriebe auf neue Forschungsergebnisse und Empfehlungen zu Problemen in der Lieferkette achten.
Neue Chancen für digitale Identitäten
Digitale Identitäten lassen sich mit PKI-Signaturen (= Public Key Infrastructure) und anderen elektronischen, auf Berechtigungsnachweisen basierenden Ökosystemen schaffen. Bei zentralisierten digitalen Identitäten – zum Beispiel bei behördlich ausgestellten Ausweisen oder einem Login via Facebook – verifiziert ein sogenannter „Issuer“, also eine Art Aufpasser, die Nutzeridentität und stellt dann einen digitalen Identitätsnachweis beziehungsweise ein signiertes elektronisches Dokument aus. Damit kann sich der Benutzer gegenüber dem Aussteller authentifizieren. Beim Schema der dezentralen digitalen Identität (DDID) kann der Benutzer den digitalen Nachweis seiner Identität einer Prüforganisation anvertrauen, die von Ausstellern unabhängig ist. Die Organisation kann die Signatur und den Hash des digitalen Identitätsnachweises in einem digitalen Hauptbuch (Digital Ledger) überprüfen.
Digitale Identitäten und DDID haben das Potenzial, das Trust-System zu verändern und zu stärken. Das betrifft nicht nur den Datenaustausch zwischen Menschen, sondern auch zwischen Maschinen, Geräten und Organisationen. Ein Vorteil liegt darin, dass Benutzer ihre Identität oder Berechtigung auch an ganz bestimmten Einzelmerkmalen nachweisen können, ohne unnötige Informationen preiszugeben. Forrester nennt das Beispiel des Mitarbeiters eines Spirituosengeschäfts, der das Alter eines Kunden überprüfen kann, ohne dass dieser seinen Personalausweis mit Daten vorlegen muss, die den Verkäufer nichts angehen – etwa Name, Adresse oder detailliertes Geburtsdatum.
Digitale Identitäten verbessern also die Privatsphäre der Benutzer und sind besonders sicher,
da es im Idealfall keine zentralen Stellen gibt, an denen die Daten liegen, und die von Hackern angegriffen werden können. Sie unterstützen eine einfache und schnelle Überprüfung der Benutzeridentität und ermöglichen auch größere Transaktionen mit hohem Risiko und Wert. Ein Vorteil für Unternehmen wie für Privatpersonen besteht in der Abschaffung der anfälligen passwortbasierten Authentifizierung. Forrester empfiehlt Unternehmen, Use Cases für verifizierte digitale Identitäten zu finden. Die Vorteile dürften in einfachen und sicheren Abläufen bestehen, gegebenenfalls auch in einer engeren Kundenbindung.
Bereits heute gibt es eine ganze Reihe von Lösungen im Markt, etwa von 1Kosmos, Evernym, GlobaliD, IBM, Jumio, Microsoft und anderen. Sie bieten Tools an, die auf dem Standard Decentralized Identifiers (DIDs) v1.0 basieren. Anbieter wie Bonifii/CULedger und Workday bieten auch branchenspezifische Trust-Ökosysteme an, vorwiegend in den Bereichen Gesundheitswesen, Finanzdienstleistungen und Bildung. Sicherheitsprofis sollten mit DDID-Anbietern zusammenarbeiten, um Use Cases für Identitätsausstellung und -verifizierung zu definieren und sicherzugehen, dass der Aufbau ihrer DDID-Lösung mit den relevanten Standards (DIDS) konform ist. Insgesamt sei jedoch gerade die DDID-Welt noch relativ unreif, warnen die ForresterAnalysten vor allzu großem Vertrauen in diese Sicherheitstechnik.
OT-Sicherheit rückt in den Mittelpunkt
Industrieunternehmen, Energieerzeuger und Versorger sind dabei, ihre OT-Netzwerke (Operational Technology) mit Sensoren und anderen Komponenten zur Datenerfassung auszustatten. Ziel ist es, effizienter zu werden und die Kundenerfahrung zu verbessern, doch diese Betriebe erhöhen damit auch die Risiken und verbreitern ihre Angriffsfläche durch Remote-Verbindungen.
CISOs stehen oft ratlos vor dem Problem: Sie sollen Cyberrisiken in industriellen Umgebungen managen, bekommen aber oft keinen Einblick in die Abläufe und finden zudem keinen Draht zu den Technikern. In manchen Branchen, etwa den Öl- und Gaskonzernen, die oft durch Übernahmen gewachsen sind, ist die Heterogenität der in den OT-Umgebungen verwendeten Geräte und Protokolle hoch. Das macht es schwierig, konsistente Sicherheitstransparenz in Echtzeit zu erreichen. Da aber die Bedrohungen und Angriffe zunehmen, werden Investitionen in OT-Sicherheitstechnologien immer wichtiger.
Das zentrale Problem besteht darin, dass Unternehmen die OT – zum Beispiel in Form industrieller Steuerungs- oder Gebäudemanagement-Systeme – immer als eine von der IT getrennte Domäne behandelt haben. Zuständig
für OT waren die Produktions- und OperationsBereiche. Das mag für den laufenden Betrieb sinnvoll gewesen sein, für die Cybersicherheit stellt es ein Problem dar.
In den IT- und OT-Netzwerken gibt es heute große Unterschiede. Strategien und Kontrollen der Unternehmens-IT-Strategien lassen sich nicht eins zu eins auf die OT übertragen. Damit entstehen Risiken für die Produktions- und Prozesszuverlässigkeit, manchmal auch für die Sicherheit der Beschäftigten, wenn etwa aufgrund von Sicherheitsvorfällen Produktionsanlagen plötzlich abgeschaltet werden müssen. Wie dramatisch so etwas ausgehen kann, zeigte kürzlich der Angriff auf Colonial Pipeline, in dessen Folge das US-Unternehmen eine große Benzin-Pipeline aufgrund eines Ransomware-Angriffs abschalten musste.
Unternehmen sollten explizit nach Sicherheitslösungen für OT und ICS-Umgebungen (ICS = Industrial Control Systems) suchen, zum Beispiel von Firmen wie Claroty, Dragos oder Nozomi Networks. Diese Anbieter bieten Asset-Erkennung, Schwachstellenbewertung und das Fixen von Problemen. Die Lösungen sind für OT-Umgebungen entwickelt und darauf abgestimmt worden.
Die Technologie ist aber nur die eine Seite des Problems. Die anspruchsvollere Aufgabe besteht darin, im Unternehmen die Reihen zu schließen und ein vertrauensvolles Verhältnis zwischen IT- und OT-Führungskräften aufzubauen. Nur so lassen sich Koordination und Zusammenarbeit im Sinne der Cybersecurity verbessern. Gemeinsam sollten die Verantwortlichen Pläne dafür entwickeln, wie sie auf einen Vorfall reagieren wollen. In regelmäßigen Übungen sollten IT- und OT-Teams die Vorgehensweisen testen und validieren. Es wird Zeit brauchen, die IT- und OT-Sicherheitssilos einzureißen. Um Sicherheit zu gewährleisten und ungeplante Abschaltungen zu verhindern, ist Zusammenarbeit unumgänglich.
Technologien zur Wahrung der Privatsphäre
Um gesetzliche Regelungen im Sinne der Compliance zu berücksichtigen, müssen Sicherheits-, Risiko- und Datenschutzexperten Prozesse entwickeln und Technologien einführen, die eine Risikobewertung, Transformation und schnelles Handeln in einem entsprechenden Kontext ermöglichen. Technologien wie Multiparty Computation (MPC), Federated Privacy, homomorphe Verschlüsselung und andere können helfen, den Schutz der Privatsphäre zu operationalisieren, ohne dass auf Datenanalyse verzichtet werden muss.
Diese Technologien sind nicht neu, aber sie sind inzwischen weitgehend darauf zugeschnitten, bestimmte Herausforderungen des Datenschutzes gezielt anzugehen. Damit wird es beispielsweise möglich, personenbezogene Daten für KI-Anwendungen bereitzustellen oder mit Geschäftspartnern für kollaborative Datenanalyse-Projekte zu teilen, ohne dass Datenschutzrechte verletzt werden.
Forrester fordert Profis im Bereich IT-Sicherheit und Risikomanagement auf, voranzugehen, wenn es gilt, Innovationen rund um eine risikolose Datennutzung einzuführen. Egal ob Marketing- und Personalabteilungen, Data Scientists und Digitalisierungsbeauftragte – nahezu jedes Team im Unternehmen braucht für Analytics-Projekte auch persönliche Daten von Kunden oder Mitarbeitern. Fast immer geht es in den Vorhaben um KI und maschinelles Lernen. Auch das Teilen persönlicher Daten mit Geschäftspartnern und Anbietern ist ein wichtiges Thema – mit entsprechenden Risiken für Sicherheit und Datenschutz.
Forrester zitiert einen CIO aus dem Gesundheitswesen, der gesagt habe: „Ich muss meinen Data Scientists ermöglichen, ihre Arbeit zu erledigen, ohne im Gefängnis zu landen.“Doch dazu braucht es datengetriebene Innovationen und einen sicheren, schnellen und vor allem gesetzeskonformen Datenzugriff. Gelingt es nicht, Daten auf sichere Weise für die Verarbeitung zugänglich zu machen, werden IT- und Datenmanagement-Teams ihre eigenen Maßstäbe an den Datenschutz anlegen, was erhebliche Risiken birgt. Noch schlimmer wäre es, wenn sie Projekte unter
Missachtung des Datenschutzes vorantreiben würden.
Die Verantwortlichen sollten sich also bemühen, ein Ökosystem zu schaffen, in dem Risiken rund um die Verarbeitung von Daten bewertet und gesenkt werden können. Es darf nicht zu Diskriminierungen oder einer eingeschränkten Datenautonomie kommen, wenn Daten aufbereitet werden. Die Verantwortlichen sollten eng mit IT-, Data-Science- und DatenmanagementVerantwortlichen zusammenarbeiten, damit es gelingt, datengesteuerte Innovationsprojekte kontinuierlich zu monitoren.
Für Unternehmen kann es sich auszahlen, ein Gremium aus Führungskräften verschiedener Abteilungen zu bilden, das von den Sicherheitsund Risikomanagement-Profis angeführt wird. Es sollte Richtlinien und Prozesse definieren und sich mit der Governance von Projekten beschäftigen, die personenbezogene Daten für die Verarbeitung mit neuen Technologien verwenden.
Mit Kryptoagilität fit für das Quanten-Zeitalter
Kryptografische Algorithmen altern immer schneller, was eine Herausforderung für Unternehmen darstellt. Sie müssen diese Technologien schnell und flexibel austauschen können, um die Sicherheit aufrechtzuerhalten. Dabei sollten sich Code- und Infrastrukturänderungen in Grenzen halten.
Das Thema gewinnt laut Forrester in dem Maße an Dringlichkeit, in dem sich das Zeitalter des Quantencomputings nähert. Die neue Technologie wird die Sicherheit klassischer PKI-Algorithmen wie RSA oder ECC ebenso wie digitale Signaturen – zum Beispiel DSA oder ECDSA aushebeln und Organisationen zwingen, zu neuen Quantencomputing-fähigen Algorithmen zu migrieren.
Erste Produkte rund um Kryptoagilität schaffen es, klassische Schlüssel zu identifizieren und für einen schnellen Austausch zu „wrappen“, oder sie bieten Hardwaremodule an, die dies unterstützen. Unternehmen sollten sich damit beschäftigen, um die Umstellung auf Quantum Computing nicht zu kompliziert werden zu lassen. Zwar wird es laut Forrester noch einige Jahre dauern, bis der Bedarf an „Post-QuantumKryptografie“(PQC) da ist, doch die Migration dorthin werde viel Zeit in Anspruch nehmen, weshalb Unternehmen schon jetzt beginnen sollten.
Wer hier auf dem falschen Fuß erwischt werde, müsse irgendwann feststellen, dass seine sensiblen Daten nur mit schwachen Algorithmen geschützt und damit dem Risiko größerer Datenverletzungen ausgesetzt seien. Die RSA- oder ECC-Schlüsselgrößen zu erhöhen, helfe vielleicht, ein wenig Zeit zu gewinnen, doch es handele sich um Notlösungen.
Moderne Quantencomputer werden viele Formen der asymmetrischen Verschlüsselung knacken können. Unternehmen sollten bedenken, dass kryptografische Algorithmen tief in Software eingebettet sind und ein Auswechseln einen Dominoeffekt von Inkompatibilitäten und Leistungsproblemen auslösen kann. Technologien der Kryptoagilität zielen darauf ab, diesen Wechsel nahtlos zu gestalten.
Forrester empfiehlt, sich an Anbieter zu wenden, die ein „Quantum Readiness Assessment“vornehmen können. Spezialisten wie InfoSec Global und große Beratungsunternehmen wie Accenture und IBM bieten solche Dienste an. Unternehmen sollten mit Produkten der Kryptoagilität experimentieren, um Erfahrungen zu sammeln. Wer mit Verschlüsselungsanbietern rund um PKI- und HSM-Infrastrukturen kooperiert, täte gut daran, diese nach ihren Plänen zur Unterstützung von Kryptoagilität zu befragen. Zudem lohnt es sich, die Fortschritte und Zeitpläne des NIST-PQCStandardisierungswettbewerbs im Auge zu behalten.