TÜV Rheinland benennt sieben Cyber-Security-Trends für 2015
Das vergangene Jahr 2014 zeigte es eindringlich: Cyber-Gangster werden immer frecher, und ihre Methoden und Werkzeuge immer besser. Die kürzliche Entdeckung des Cyberspionage-Virus »Regin« ist nur ein Beispiel dafür. Oder der jüngste Hacker-Angriff auf Sony Pictures, bei dem angeblich 100 TByte an Daten entwendet wurden, unter anderem das Drehbuch zum kommenden James-Bond-Film.
Olaf Siemens, Global Vice President Information Security, TÜV Rheinland (© Lothar Wels Fotograf / www.wels-images.com)Weil die Gefahr von Cyber-Angriffen wächst, werden Unternehmen und Öffentliche Hand 2015 verstärkt in IT-Sicherheit investieren müssen. Daneben rücken Lieferanten und Medizin-Geräte zunehmend ins Visier von Cyber-Angreifern. Zu dieser Einschätzung kommen Olaf Siemens, Global Vice President Information Security bei TÜV Rheinland, und Björn Haan, Geschäftsführer der TÜV Rheinland i-sec, bei ihrer »Preview« zum Thema »Cyber Security Trends 2015«.
Die Preview ist Ergebnis einer Bestandsaufnahme aktueller Markttendenzen aus der Sicht führender Security-Analysten und Consultants bei TÜV Rheinland in Deutschland sowie an internationalen Standorten, unter anderem dem weltweit größten Markt für IT-Sicherheit, den USA. Olaf Siemens und Björn Haan identifizierten insgesamt sieben große Trends, die den Bereich Cyber-Security im kommenden Jahr bestimmen werden.
Sieben Cyber-Security-Trends für 2015
► Der Compliance-Druck auf Organisationen wächst: »Die Investitionen in die IT-Sicherheit werden steigen – vor allem deshalb, weil sich die Bedrohungslage weiter verschärft und die regulatorischen Anforderungen an Unternehmen auf nationaler wie europäischer Ebene weiter zunehmen«, erläutert Olaf Siemens. Hier sieht er in erster Linie das deutsche IT-Sicherheitsgesetz und die EU-Datenschutzreform. Im Vorgriff darauf hat TÜV Rheinland gemeinsam mit den Partnern conenergy und dem Kompetenzzentrum Kritische Infrastrukturen (KKI) kürzlich einen Kriterienkatalog vorgelegt, mit dem sich Energieversorger auf die steigenden Anforderungen vorbereiten können.
Björn Haan, Geschäftsführer, TÜV Rheinland i-sec (© Lothar Wels Fotograf / www.wels-images.com)► Immer mehr Cyber-Angriffe – Unternehmen greifen verstärkt auf externe Experten zurück: Im Windschatten geopolitischer Konflikte wird die Zahl gezielter komplexer Angriffe (Advanced Persistent Threats – APT) weiter zunehmen. Vor allem bei Zulieferern und Mittelstand werden Angreifer nach dem schwächsten Glied in der Kette suchen, gefährdet allerdings sind alle Branchen und Organisationen. »Viele sind bereits kompromittiert, ohne es zu ahnen«, betont Björn Haan. Deshalb sollten Unternehmen 2015 verstärkt auf die Unterstützung durch analytische Abwehr-Tools und auf externe Experten setzen, die diese innovativen Technologien beherrschen. Diese verfügen über hochaktuelles Know-how, um APT zu erkennen und ihre Auswirkungen schnellstmöglich einzugrenzen. TÜV Rheinland rechnet damit, dass sein SIRT-Team (Security Incident Response Team) in 2015 noch häufiger gefragt ist als bisher.
► Der internationale Patient – IT-Security für Medizingeräte: Funktionale Stillstände bzw. Betriebsunterbrechungen durch Angriffe auf Medizin-Geräte sollen in 2015 zu den wachsenden Risiken zählen. Seit Ende 2014 sind Hersteller in den USA gesetzlich verpflichtet, IT-Sicherheit schon bei der Entwicklung der Geräte und im Rahmen des Risikomanagements zu berücksichtigen. »Wir können davon ausgehen, dass IT-Security für Medizingeräte auch in der EU früher oder später zum Markt-Zulassungsmerkmal wird«, prognostiziert Björn Haan. TÜV Rheinland und die US-Tochter OpenSky begleiten die Hersteller in den USA bereits heute mit Sicherheitsanalysen und Penetrationstests.
► Internet der Dinge (IoT) – Sicherheitsstandards hinken technologischer Entwicklung hinterher: Ob Komfortdienste im Auto, intelligente Überwachungssysteme, kluge Thermostate und clevere Lichtanlagen oder vernetzte Produktionsanlagen – »Die Standards zur Sicherheit von Informationen, Daten und Privatsphäre hinken der technologischen Entwicklung des IoT und der Bedrohungslage durch Cyber-Angriffe noch sträflich hinterher«, mahnt Olaf Siemens. Deutschland zu einem Schlüsselmarkt für Smart-Home zu entwickeln, wird aus seiner Sicht nur dann Erfolg haben, wenn es gelingt, den gegenwärtigen Bedrohungsszenarien belastbare Sicherheitsstandards und Prüfverfahren für Netzwerke, Mobile-Devices und Software entgegenzusetzen und aufzuerlegen: »Denn nicht behobene Schwachstellen werden Auswirkungen ganz anderer Dimension haben.«
► Die Revolution klopft an – aber niemand macht auf: Auch beim Megathema »Industrie 4.0« sehen die Experten für Cyber-Security bei TÜV Rheinland wesentliche Sicherheitsfragen ungeklärt – für sie ist das einer der zentralen Gründe für die Zurückhaltung des deutschen Mittelstands, sich auf den wichtigsten Transformationsprozess dieses Jahrzehnts einzulassen. »Die Zukunft des Wirtschaftsstandortes Deutschland hängt davon ab, ob wir mit der Industriellen Revolution 4.0 Schritt halten können«, meint Björn Haan. »Das wird allerdings nur gelingen, wenn wir das Vertrauen in die Cyber-Sicherheit von Grundlagentechnologien wie dem Internet der Dinge und der Cloud weiter stärken, und zwar auf der Grundlage von Informationssicherheit ,Made in Germany’.«
► Vernetztes Fahren: Wem gehören die Daten? 2015 wird Konnektivität wird für Käufer erstmals wichtiger als die Motor-Leistung des Fahrzeugs, so eine aktuelle Erhebung von McKinsey. Zwischen der Dynamik der technologischen Entwicklung und der Sicherheitsdiskussion sieht TÜV Rheinland – wie beim Internet der Dinge – noch eine erhebliche Asymmetrie. »Die komplette Wertschöpfungskette in der Industrie muss mit Hochdruck an Lösungen arbeiten, die verhindern, dass gefährliche Eingriffe in die Fahrzeug-IT von außen überhaupt möglich sind«, erklärt Olaf Siemens.
► Cloud – Private wächst: »Der Trend zur Datenwolke ist unumkehrbar«, sagt Björn Haan. Um ihre digitalen Kronjuwelen zu schützen, steigen Unternehmen zunehmend auf die private Cloud um. Die immer häufigere Kombination von Consumer-Cloud-Lösungen mit mobilem Zugang und sozialer Authentifizierung (Social-Login, beispielsweise über ein soziales Netzwerk wie Facebook) birgt weitere Herausforderungen beim Einsatz am Arbeitsplatz, wenn es um den Schutz digitaler Assets geht.