Die Security Trends 2021

IT-Security Trends

Das Jahr 2020 neigt sich dem Ende entgegen und 2021 steht vor der Tür. Deshalb haben wir uns mit der Entwicklung im IT-Security Bereich beschäftigt und mit unserem CEO Wolfgang Kurz darüber gesprochen, welche Trends im IT-Sicherheitsbereich im nächsten Jahr auf uns zukommen werden, an denen Unternehmen nicht vorbeikommen. Unter den sieben Trends sind Dauerbrenner aber auch alte Bekannte zu finden.

1. Cloud Security nimmt langsam Fahrt auf

Unternehmen nutzen immer mehr SaaS-Angebote, wissen aber nicht, wie sie sie richtig absichern sollen. Alles dem Cloud Provider zu überlassen, ist keine Lösung. Denn dieser bietet meist lediglich Basis-Security-Funktionen. Um bei einem Public Cloud Service dasselbe Sicherheitsniveau zu erreichen wie On-Premises, sind in der Regel zusätzliche Maßnahmen nötig. Features wie Zwei-Faktor-Authentisierung oder Verschlüsselung lassen sich zum Beispiel per API integrieren. Vielleicht müssen auch eine PKI (Public Key Infrastructure) und ein HSM (Hardware Security Module) eingebunden werden. Viele Unternehmen erkennen, dass sie in puncto Cloud Security noch Nachholbedarf haben. Dafür brauchen sie geeignete Tools von Drittanbietern und Unterstützung von Experten.

2. Automatisierung in der Security wird immer wichtiger

Security-Systeme überwachen die IT-Umgebung 24 Stunden am Tag und generieren Meldungen. Doch niemand kann sich die Events und Logfiles rund um die Uhr ansehen. Um schnell reagieren zu können und die Mitarbeiter zu entlasten, wird Automatisierung immer wichtiger. Viele Hersteller im Bereich Incident Response beschäftigen sich derzeit mit diesem Thema. Security-Lösungen erkennen dann zum Beispiel wiederkehrende, automatisierte Angriffe und begegnen ihnen auch mit automatisierten Antworten. Sie können Probleme selbst intelligent lösen und Alarmmeldungen wieder auf grün setzen. Auch Phishing-Mails lassen sich automatisiert behandeln: Ein Security Service identifiziert sie und blockiert gefährliche Links. Klickt ein Mitarbeiter darauf, kann nichts passieren.

3. IoT-Security wird insbesondere KRITIS-Unternehmen verstärkt beschäftigen

IoT ist längst in der Praxis angekommen, aber noch nicht ausreichend abgesichert. In der Vergangenheit gab es zahlreiche Beispiele für Geräte auf dem Consumer-Markt, die mit Sicherheitslücken für negative Schlagzeilen sorgten. So wurde etwa die Spielzeugpuppe Cayla aus dem Verkehr gezogen, weil sie sich als Abhöranlage missbrauchen ließ. Auch im Unternehmensumfeld gibt es immer mehr IoT-Anwendungen, etwa Predictive Maintenance, um die Wartung von Maschinen zu optimieren. Wie im Consumer-Umfeld hat dabei die Funktionalität meist Vorrang vor der Security. Gerade für Unternehmen, die zu den kritischen Infrastrukturen gehören, ist das brandgefährlich. Hersteller sind in der Pflicht, Systeme und Geräte bereits mit integrierter Security zu entwickeln. Solange das nicht vollumfänglich gegeben ist, brauchen Unternehmen Lösungen, um IoT-Projekte nachträglich abzusichern. Hier muss massiv implementiert werden.

4. Der Breitbandausbau geht weiter und erfordert Security-Maßnahmen

Durch den fortschreitenden Ausbau der Glasfaser-Anbindung und des 5G-Mobilfunknetzes verändert sich die Nutzung der Netze. Neue Anwendungsbereiche, die sehr hohe Datenübertragungsraten benötigen, werden möglich – zum Beispiel das autonome Fahren. Das bringt neue Risiken mit sich. Denn hier stehen bei einem Hackerangriff Menschenleben auf dem Spiel. Internet Service Provider, Telekommunikationsanbieter und Unternehmen müssen hier umdenken. Statt wie bisher auf die Verfügbarkeit der Netze und die Funktionalität der Anwendungen zu fokussieren, müssen sie sich jetzt auch verstärkt um die Sicherheit am Netzübergang zum Internet kümmern. Durch die neuen Breitbandanwendungen werden Infrastruktur-Projekte für Unternehmen also automatisch auch zu Security-Projekten. 

5. Datenschutz und DSGVO bleiben ein Evergreen

In puncto DSGVO sind viele Unternehmen noch nicht up-to-date, und die Strafen bei Verstößen sind hoch. Das sorgt für Verunsicherung. Ein großes Problem besteht im Konflikt zwischen der DSGVO und dem amerikanischen Cloud Act. Letzterer verpflichtet US-Unternehmen, Daten an die Behörden herauszugeben, selbst wenn sich diese auf Servern im Ausland befinden. Das aber widerspricht den EU-Datenschutzrichtlinien. Es ist also fraglich, ob deutsche Unternehmen überhaupt Cloud Services amerikanischer Anbieter nutzen dürfen. Denn auch wenn Amazon, Google, Microsoft & Co. Rechenzentren in Deutschland betreiben, unterstehen sie immer noch dem Cloud Act. In der Praxis gibt es jedoch kaum europäische Alternativen. Auch der Plan, eine eigene europäische Cloud aufzubauen, schreitet nur langsam voran. Solange die EU-Rechtsprechung lediglich Verbote ausspricht, aber keine Lösungen aufzeigt, ist es für Unternehmen schwer, Cloud Services gesetzeskonform zu nutzen. 

6. Phishing und Krypto-Trojaner sind weiterhin eine große Herausforderung

Auch 2021 werden wieder neue, gefährliche Derivate von Krypto-Trojanern auftauchen, und wir werden voraussichtlich zahlreiche erfolgreiche Angriffe sehen. Die meisten Unternehmen haben erkannt, dass sich die Gefahr nur mit einer Ende-zu-Ende-Strategie eindämmen lässt. Sie muss von technischen Maßnahmen über die Organisation bis hin zum einzelnen Mitarbeiter reichen. Insbesondere Awareness-Schulungen spielen dabei eine wichtige Rolle, denn der beste technische Schutz bringt nichts, wenn Menschen am Ende auf die Tricks der Cyberkriminellen hereinfallen. Webgesteuerte Compliance-Trainings setzen sich daher immer mehr durch. Häufig fehlen aber noch Handlungsempfehlungen und Prozesse für den Fall, dass ein Cyberangriff doch einmal erfolgreich ist. Jetzt geht es darum, Meldeketten zu etablieren, möglichst schnell zu reagieren und Gegenmaßnahmen einzuleiten. Für viele Unternehmen ist das eine Herausforderung, vor der sie 2021 stehen.

7. Die Nachfrage nach Managed Security Services steigt

Der Fachkräftemangel in der IT-Branche hält an. Dadurch fehlen in vielen Unternehmen spezialisierte Mitarbeiter, während sich die Bedrohungslage verschärft und Security-Systeme immer komplexer werden. Das führt dazu, dass die Nachfrage nach Managed Security Services weiter steigt. 2021 werden sich viele Unternehmen damit beschäftigen, wie sie IT-Sicherheits-Tools teilweise oder ganz an einen externen Dienstleister auslagern können.

Fazit

Wolfgang Kurz fasst zusammen: „2020 stand für die meisten Unternehmen im Zeichen der Corona-Krise. Sie mussten ihre Mitarbeiter ins Home Office schicken und sichere Remote-Arbeitsplätze einrichten. Nachdem diese Herausforderung gemeistert ist, können sich Unternehmen 2021 wieder verstärkt anderen Security-Themen widmen. Ein zentraler Punkt auf der Agenda wird sein: Wie können wir unser Schutzniveau erhöhen und gleichzeitig Mitarbeiter entlasten?“

Photo by Michael Dziedzic on Unsplash