8 Wege, wie sich die Cybersicherheit im Jahr 2022 verändern könnte

Das Akronym ESG steht für "Environment, Social, Governance" – also Umwelt, Soziales und Unternehmensführung. Besonders Großinvestoren und institutionelle Anleger achten immer häufiger auf die Aspekte nachhaltiger Geldanlagen und bewerten Unternehmen entsprechend. Da IT-Sicherheit und das Bewusstsein hierfür immer mehr zu einem gesamtgesellschaftlichen Thema werden, entwickelt sich Cybersecurity zunehmend zur vierten Säule von ESG und wird auch aus sozialen Gründen zur Verantwortung von Firmen. 

Hier ist wichtig zu betonen, dass die digitale Transformation in Deutschland schon seit Jahren als sehr wichtig angesehen wird – aber die Pandemie hat noch größere Teile der Wirtschaft in die digitale Welt verlagert. Aus diesem Grund ist es essenziell, angemessene Sicherheitsvorkehrungen für digitale Identitäten zu schaffen, sonst wird die Digitalisierung schnell zur Stolperfalle, etwa durch Cyberangriffe und unkontrollierten Datenabfluss. Dies gefährdet auch den wirtschaftlichen Wohlstand enorm. Laut einer bitkom-Studie wurden 2020/2021 ganze 88 Prozent der befragten Unternehmen Opfer von Cyberangriffen – wobei die Dunkelziffer hier sicher deutlich höher liegt. Deshalb sollten Gesetze zur Stärkung der IT-Sicherheit und deren Durchsetzung für Regierungen den gleichen Stellenwert haben wie Vorschriften für die Absicherung der physischen Welt. 

Mehr und mehr Betriebe Endnutzer in Deutschland erkennen den Nutzen der Multi-Faktor-Authentifizierung, um Login-Vorgänge besser zu abzusichern und sensible Daten zu schützen. In naher Zukunft wird MFA wahrscheinlich in vielen Bereichen weltweit zur Pflicht werden. Die Methode sollte zunächst in Schlüsselsektoren wie Behörden und Versorgungsunternehmen, im Healthcare-Bereich, bei Banken und im Bildungsbereich verpflichtend eingeführt werden. Aber auch Verbraucher werden anfangen, Maßnahmen wie MFA zum Schutz ihrer Daten mehr und mehr einzufordern. Insgesamt werden Endnutzer Unternehmen, die Cybersicherheit und Datenschutz nicht ernst nehmen, zunehmend den Rücken kehren und sich nach Alternativen umsehen.

Bösartige Bots, die sich als Menschen ausgeben, stellen eine große Gefahr für Unternehmen jeglicher Größe und Branche dar. Diese Art von automatisierten Angriffen kann zu Credential Stuffing, Account-Übernahmen und -betrug führen. 

Herkömmliche IT-Sicherheitslösungen reichen bei der Bekämpfung von Bots oft nicht mehr aus, da die Betrüger gelernt haben, wie sie diese aushebeln können. Stattdessen werden künstliche Intelligenz und maschinelles Lernen benötigt, um einen Bot besser von einem Menschen unterscheiden zu können. Das Gute ist: Solche Technologien existieren bereits – moderne Lösungen suchen nach Bots, indem sie zum Beispiel analysieren, wie schnell ein Benutzer tippt, wie dieser auf einer Website oder in einer App navigiert und wie stark er auf einen Touchscreen drückt.

Das Prinzip Zero Trust ist derzeit in aller Munde und bedeutet nichts anderes, als dass keinem Nutzer, Gerät sowie keiner Anwendung innerhalb oder außerhalb des eigenen Netzwerks blind vertraut wird. Insgesamt wird sich, um sicherzustellen, dass zum Beispiel nur die richtigen Personen Zugriff auf die richtigen Daten im Betrieb haben, die Authentifizierung zunehmend auf die Autorisierung verlagern, wie bei Zero Trust zu sehen ist. Der Trend geht zwar schon seit vielen Jahren in diese Richtung, spätestens seit Beginn der COVID-19-Pandemie gehört der Perimeter des Unternehmensnetzwerks aber endgültig der Vergangenheit an. Immerhin arbeiteten laut einer anderen bitkom-Studie im Dezember 2020 fast jeder Zweite (45 Prozent) Arbeitnehmer in Deutschland zumindest teilweise im Homeoffice. Eine Umfrage von Samsung Ende 2021 verdeutlichte, dass die Entwicklung klar in Richtung Hybrid Work geht – 54 Prozent der Befragen gab an, hybrid zu arbeiten. Aufgrund dieser Entwicklungen wird die Zero Trust-Autorisierung wichtiger denn je. 

Künftig wird Zero Trust auf Gesetzesebene immer mehr zur Pflicht werden, und auch mehr und mehr Unternehmen werden bestimmte Cybersicherheitsmaßnahmen wie die Implementierung des Zero Trust-Ansatzes vorschreiben, um miteinander Geschäfte machen zu können.

Eine weitere Entwicklung, die sich 2022 verstärken wird: Verbraucher werden zunehmend verifizierte Daten über sich selbst auf ihren Smartphones speichern. Ein Beispiel dafür ist die Speicherung der ihrer "echten" Identität in Form von staatlich ausgestellten Ausweisdokumenten in digitalen Brieftaschen von Apple und Google, oder auch die Speicherung von Impfzertifikaten in der Corona-Warn-App. 

Digitale Geldbörsen und Ausweisdokumente haben ihre Vor- und Nachteile. Auf der Habenseite steht, dass sie die Identität des Nutzers bei geschäftlichen und finanziellen Transaktionen sicherstellen, Betrug und Identitätsdiebstahl verringern und die Kosten und den Aufwand für Organisationen, die normalerweise physische Authentifizierungsmethoden entwickeln, reduzieren können. Die Kehrseite der Medaille ist, dass eine Person akut gefährdet sein kann, wenn ihr mobiles Gerät verloren geht oder gestohlen wird. Ein Gerät, das aufgrund eines leeren Akkus keinen Strom hat, ist wenig hilfreich, wenn Endnutzer versuchen, ihre digitales Ausweisdokument zu präsentieren – und jede digitale Verifizierung, die eine Verbindung erfordert, schlägt fehl, wenn kein Mobilfunk- oder WLAN-Netz verfügbar ist.

Informationstechnologie und operative (physische) Technologie werden 2022 zunehmend miteinander kollidieren, da IT-Teams die Verantwortung für die Sicherheit physischer Geräte übernehmen. Dieser Trend erfordert Interoperabilität zwischen IT und OT und führt zu einem Verschmelzen der Technologien, um letztlich zu bestimmen, wer physisch in ein Gebäude eindringen und wer auf wichtige Anwendungen zugreifen kann und sollte. Unternehmen benötigen daher universelle Sicherheitsanforderungen für alle Anbieter von Security-Lösungen, die an diesem Prozess beteiligt sind. 

Inmitten der Änderungen im Bereich Cybersicherheit muss die Benutzerfreundlichkeit weiterhin berücksichtigt und priorisiert werden. Schließlich interessieren Kunden sich nicht wirklich für die technischen Prozesse, die hinter den Kulissen ablaufen. Stattdessen wollen sie ein nahtloses digitales Erlebnis, damit sie problemlos auf ihre Konten zugreifen, arbeiten oder Einkäufe erledigen können. Unternehmen mit Kundenkontakt, die keine reibungslose Benutzererfahrung bieten, werden von Verbrauchern durch Firmen ersetzt, die dies tun. 

Wie eine Erhebung des Job-Portals LinkedIn zeigt, gehört "Chief Information Security Officer", aber auch allgemein "Cyber Security SpezialistIn" zu den 25 Trendjobs für das Jahr 2022. Dies zeigt, dass sich das Security-Bewusstsein in Firmen deutlich verstärkt. Doch auch der Beruf des CISO wird sich grundlegend ändern. Da sich künftig die Unternehmensvorstände zunehmend auf die IT-Security konzentrieren, werden mehr Mitarbeiter direkt an den CISO berichten, und der CISO wird häufiger dem Vorstand direkt unterstellt sein. Laut einer Gartner-Prognose werden bis 2025 auch mehr Vorstände einen speziellen Ausschuss für Cybersicherheit einrichten. 

Der Grund für diese Entwicklung liegt auf der Hand: CISOs können greifbare Risiken für das Unternehmen klar definieren und Lösungen zur Reduzierung oder vollständigen Beseitigung von Risiken für das Unternehmen präsentieren, die monetäre oder Markenreputationsprobleme verursachen könnten. Die Stelle des CISO trägt dazu bei, die Mitarbeiter zu schulen und ihnen die IT-Sicherheitsrisiken für den Betrieb und für sich selbst bewusst zu machen. Wenn der CISO auf der richtigen Ebene innerhalb des Unternehmens angesiedelt ist, kann er sicherstellen, dass besonders wichtige und kritische Sicherheitsrisiken rechtzeitig angegangen werden.