Security-Trends 2021: Vermehrte Nutzung von digitalen Lösungen führt zu verstärkten Sicherheitsmaßnahmen
- 29.12.2020
- Digital Services
- Erstellt von TÜV TRUST IT GmbH Unternehmensgruppe
1) Abhängigkeit von digitalen Prozessen steigt exponentiell
Während die Industrie 4.0 auf dem Vormarsch ist, verlangt die derzeitige Situation in der Arbeitswelt vermehrt nach einer hohen Verfügbarkeit digitaler Produkte und Prozesse sowie deren Informationssicherheit.
Viele industriell tätige Unternehmen setzen bereits auf eine Optimierung ihrer Produktion mithilfe intelligent vernetzter Systeme. In diesem Zusammenhang bestimmen digitale Wertschöpfungsketten zunehmend die wirtschaftliche Stärke und Sicherheit, denn sie punkten nicht allein durch eine hohe Effizienz, sondern auch mit optimierten Erträgen. Digitale Lösungen erlauben darüber hinaus eine deutlich erhöhte Flexibilität in Bezug auf sicherheitsrelevante Themen sowie Kundenwünsche.
Und auch abseits der Industrie bewirkt der Corona-bedingte Wandel in der Arbeitswelt eine zunehmende Abhängigkeit von digitalen Prozessen. Im Homeoffice werden z.B. nicht nur allgemein mehr digitale Endgeräte verwendet, auch die Zahl der IoT-Produkte steigt stetig.
2) Vertrauensdienste und elektronische Geschäftsprozesse gefragt wie nie
Bereits seit Frühjahr 2020 werden im geschäftlichen Umfeld ganze Prozesse neu strukturiert und voll elektronisch umgesetzt. Eine weitere Verstärkung dieses Trends in 2021 ist quasi schon fest programmiert, wobei Aspekte wie die nahtlose Integration in existierende Systemlandschaften oder die Vollautomatisierung einen hohen Stellenwert erhalten werden. Prominentes Beispiel ist die medienbruchfreie Abbildung von Geschäftsvorfällen, die rechtsverbindlich abgewickelt werden müssen, mit Hilfe sogenannter Vertrauensdienste. Hierzu hat die EU-Kommission in Teil drei der EU-Verordnung zu eIDAS (VO EU 910/2014) ein nahezu vollständiges Set von Diensten spezifiziert, die in Geschäftsprozessen abgebildet werden können.
3) Dienstleister für elektronisches Identitätsmanagement stehen in den Startlöchern
Ein anderes Beispiel stellen elektronische Identitäten (eID) dar, auf die sich in 2021 eine stetig zunehmende Zahl elektronischer Abläufe stützen wird. Bisher wurden Identprozesse aufwendig mittels personengestützter Verfahren realisiert. Eindeutig ist jedoch der Trend hin zu vollständig auf künstlicher Intelligenz (KI) basierenden biometrischen Verfahren zu erkennen, welche bereits in 2020 in einigen EU-Mitgliedsstaaten zugelassen wurden.
Weitere neue Dienstleistungen für das allgemeine elektronische Identitätsmanagement stehen für 2021 bereits in den Startlöchern. Zur weiteren Förderung des EU-Binnenmarktes wird erwartet, dass die anstehende Novellierung der EU eIDAS-Verordnung auch die notwendigen Regelungen für nicht-staatliche Anbieter von Lösungen für das Identitätsmanagement umfassen wird.
4) IT-SiG stärkt die Informationssicherheit nachhaltig
Im Bereich Kritischer Infrastrukturen rückt die technische Sicherheit wieder mehr in den Fokus der Aufmerksamkeit. Das IT-SiG 2.0 fordert von KRITIS-Unternehmen künftig explizit den Einsatz eines Systems zur Angriffserkennung, beispielsweise in Form eines Security Operation Centers (SOC). Neben dem Betrieb eines ISMS sollten darüber hinaus ein BCMS implementiert und regelmäßige Penetrationstests durchgeführt werden. Und auch Hersteller sogenannter „Kritischer Komponenten“ werden in die Pflicht genommen. Sie müssen ihre Vertrauenswürdigkeit erklären und damit einhergehende Pflichten kontinuierlich und verlässlich erfüllen.
5) Notfallpläne und Business Continuity Management Systeme (BCMS) gewinnen an Bedeutung
Durch die stetige Zunahme von Cyberangriffen kommt einem Sicherheitskonzept, das schnelle, effektive und eingeübte Reaktionswege ermöglicht, eine wachsende Bedeutung zu. Ein strukturiertes BCMS bündelt alle Maßnahmen, die im Ernstfall notwendig sind und ermöglicht damit eine sichere und konsequente Reaktion in Krisensituationen. Aufbau und Betrieb eines BCMS werden Stand der Technik und damit insbesondere für KRITIS-Unternehmen unverzichtbar.
6) Stichwort „Awareness“ und der Faktor Mensch
Menschliches Fehlverhalten ist oft die Ursache für einen erfolgreichen Cyber-Angriff. Vor allem über Phishing Mails versuchen Angreifer sich Zugang zu Systemen und Zugriff auf Daten zu verschaffen - und das häufig mit Erfolg. Daher ist neben technischen und prozessualen Sicherheitsmaßnahmen ein verantwortungsvoller Umgang der Mitarbeiter mit IT-Systemen und Unternehmensinformationen von großer Bedeutung. Die entsprechende „Awareness“ ist besonders in Zeiten von dezentralen Arbeitsformen enorm wichtig, weshalb viele Unternehmen verstärkt auch online Mitarbeiter-Schulungen in diesem Bereich anbieten. Aufgrund der wachsenden Bedeutung solcher Maßnahmen zeichnet sich diese Tendenz auch für das Jahr 2021 klar ab.
7) ISMS-Ausbau wächst weiter
Wenngleich viele Unternehmen bereits ein ISMS nutzen, wird der Aufbau dieser Systeme weiter zunehmen. Weitere KRITIS-Unternehmen sind im Rahmen des IT-SiG künftig explizit angehalten, entsprechende Systeme zu nutzen und auch Krankenhäuser sehen sich in 2021 durch das Patientendatenschutzgesetz (PDSG) mit entsprechenden Anforderungen konfrontiert. Denn abseits der vielbeachteten Datenschutzaspekte regelt das PDSG auch die IT-Sicherheit aller Kliniken nach dem aktuellen Stand der Technik.
Über diese Regularien hinaus hat die ansteigende Nutzung eines ISMS aber auch praktische Gründe. Ein solches System bietet neben der offensichtlichen Risikominimierung auch mehr Transparenz aller IT-Systeme. Zudem optimiert eine entsprechende Zertifizierung, z.B. gemäß ISO 27001, die Außenwirkung eines Unternehmens, welches sich so von Wettbewerbern abhebt und das Vertrauen von Kunden und Vertragspartnern steigern oder erhalten kann.
8) Integrierte Managementsysteme
Managementsysteme sind vielseitig einsetzbar und beispielsweise für eine Zertifizierung nach ISO 27001 unumgänglich. Aber auch für das Management von Datenschutzanforderungen bieten sie eine wertvolle Unterstützung, da die große Zahl an Dokumenten für das Datenschutzmanagement Unternehmen bereits jetzt vor stetig wachsende Herausforderungen stellt – ein Trend, der im neuen Jahr weiter zunehmen wird. Um die Effektivität in 2021 zu optimieren, empfiehlt sich daher zunehmend eine Bündelung verschiedener Inhalte, wie den Datenschutz und die Anforderungen nach ISO 27001, in einem integrierten Managementsystem.
9) Aufbau einer Zero Trust Umgebung
Mitarbeiter nutzen heute in der Regel zwei bis drei Endgeräte, mit denen sie auf die Infrastruktur des Unternehmens zugreifen. Bei steigender Zahl der Geräte wird die Aufrechterhaltung einer Endpoint-Security immer komplexer und teilweise unmöglich. Eine mögliche Lösung bietet die Zero Trust Network Betrachtung, die in diesem Jahr an Bedeutung gewinnen wird. Hierbei wird bei jedem internen oder externen Zugriff auf eine Infrastruktur immer von einem Angriff ausgegangen und somit nur über eine erfolgreiche Authentifizierung durch den Mitarbeiter eine Berechtigung erteilt.
10) Durchführung von Red Teaming Assessments
Durch das schnelle Wachstum heterogener IT-Infrastrukturen (Konzernstrukturen, Anbindungen an Töchter und Partner etc.) haben sich in den letzten Jahren immer mehr Unternehmenszweige gebildet, die bislang nicht das Schutzniveau der Kern-IT erreichen konnten. Zur Sicherheitsüberprüfung solch komplexer Strukturen sind umfassende Tests erforderlich. Hier werden im kommenden Jahr vermehrt Red Teaming Assessments in den Vordergrund rücken, da diese mit zukunftsweisenden Methoden aus den Bereichen des Penetration-Testing und Social Engineering Angriffsmöglichkeiten zuverlässig identifizieren und Schwachstellen ermitteln können.