GlobalSign Blog

30 Okt 2017

GlobalSigns Prognosen zur Cybersicherheit 2018

2017 war für Profis im Bereich Cybersicherheit ein arbeitsreiches Jahr. Wir haben empfindliche Datenlecks bei der National Security Agency, die Wannacry-Ransomware und natürlich den massiven Datendiebstahl bei Equifax erlebt.

Was steht uns also vermutlich im nächsten Jahr bevor? Die Experten für Cybersicherheit bei GlobalSign haben für Sie in die sprichwörtliche Kristallkugel geschaut. Hier sind ihre Prognosen für 2018:

Nadim Farah, Manager Digital Signing Services

Nadim Farah

Das Jahr 2018 bringt zunehmend juristische Probleme bei einfachen elektronischen Signaturen

Der Dezember 2016 markierte erstmals ein juristisches Problem für die Rechtswirksamkeit einfacher elektronischer Dokumente. Standardisierte und öffentlich vertrauenswürdige digitale Signaturen setzen sich immer mehr durch. Daher gehe ich davon aus, dass 2018 mehr juristische Probleme bei der Rechtswirksamkeit einfacher elektronischer Signaturen auftreten werden.

Dies liegt nicht zuletzt daran, dass die großen US-Anbieter für Dokumentenverwaltung und -signierung weiterhin in integrierte Ökosysteme zwischen Vertrauensanbietern, Identitätsverifizierungsdiensten und Anbietern von Anwendungen investieren, wie z.B. das Cloud Signature Consortium von Adobe und die Trust Service Provider-Programme von DocuSign.

Erwarten Sie darüber hinaus Updates bei Vertrauensprogrammen von Anbietern wie z.B. Microsoft und Mozilla Root Trust, zusätzlich zu den bereits angekündigten Anforderungsupdates des Adobe Approved Trust List (AATL) Programms im Juli. Ziel ist ein höheres Niveau von Compliance-Anforderungen für diese Programme voranzutreiben, gemäß Electronic Identification, Authentication, and Trust Services (eIDAS) in der EU zur Identitätsverifizierung.

Gesichtserkennung kann eine Rolle Identitätsverifizierung übernehmen

Das kürzlich vorgestellte iPhone X von Apple verfügt über Funktionen zur Gesichtserkennung und speichert die Daten sicher lokal auf dem Gerät. Facebook hat bereits verlauten lassen an einer ähnlichen Technologie zu arbeiten.

Diese Technologien sind was Genauigkeit und Sicherheit anbelangt noch nicht ausreichend für eine zuverlässige Identitätsverifizierung anerkannt. Denn letztere wird dazu verwendet Zertifikate für öffentlich vertrauenswürdige digitale Signaturen auszustellen. Immerhin ist es möglich, sie in der ersten Phase 2018 zur Authentifizierung einfacher elektronischer Signaturen zu benutzen. Aber die Technologie entwickelt sich weiter, vor allem der von Apple eingesetzte Typ, der von verschiedenen Hardware-Sensoren und -Kameras unterstützt wird.  Es ist durchaus möglich, dass er in den nächsten zwei bis vier Jahren als gleichwertig für die persönliche Identitätsprüfung angesehen wird.

Doug Beattie, Vice President Certificate Services

Doug Beattie

Bis Ende 2018 sind 85% aller Webseiten über HTTPS geschützt

Wir haben in diesem Jahr ein starkes Wachstum beim Aufrufen von HTTPS-geschützten und sicheren Websites gesehen angetrieben vor allem von Google und Mozilla, die den HTTPS-Einsatz gefördert haben. Chrome markiert seit der Version Chrome 5 6Websites, die Passwörter oder Kreditkartendaten erfassen, als unsicher, Chrome 62 markiert jetzt alle Websites mit Eingabefeldern als unsicher. Es ist nur eine Frage der Zeit, bis alle HTTP-Sites als unsicher gekennzeichnet werden.

Da inzwischen kostenlose oder zumindest kostengünstige DV-Zertifikate verfügbar sind, sind die finanziellen Auswirkungen für Website-Betreiber minimal. Ergo fordern sowohl Google als auch Mozilla die Betreiber auf, ihre Websites aufgrund des sich ändernden Browserverhaltens, je nach Inhalt der Website, abzusichern. Da Google und Mozilla weitere Warnungen auf HTTP-Seiten hinzufügen und sie mit dem auffallenden roten Ausrufezeichen in einem Dreieck kennzeichnen, gehen wir davon aus, dass die HTTPS-Akzeptanzraten weiterhin deutlich steigen. Ich gehe davon aus, dass bis Ende 2018 85 % des gesamten Webverkehrs durch HTTPS geschützt ist.

TLS 1.0 und frühere Protokolle werden (endlich) Geschichte

Sicherheit ist nur so gut wie das schwächste Glied. Mit der breiten Einführung von HTTPS ist es an der Zeit, sich von veralteten Protokollen zu verabschieden - SSLv3 und früher sowie TLS 1.0. Diese Protokolle haben zahlreiche Schwachstellen und sollten auf allen Webseiten deaktiviert werden.

Da TLS 1.2 weit verbreitet und 1.3 „in der Mache ist“, werden die älteren Protokolle 2018 auslaufen. Vor diesem Hintergrund prognostiziere ich, dass die Mehrheit der Seiten bis Ende 2018 TLS 1.2 unterstützen wird. TLS 1.0 und ältere Protokolle werden praktisch nicht mehr verwendet.

Lila Kee, General Manager, Chief Product Officer und NAESB Vorstandsmitglied

Lila Kee

Es wird 2018 keinen großen Angriff auf das US-Stromnetz geben

Trotz der Zunahme von Cyberangriffen im Energiesektor wie etwa Dragonfly gehe ich im Gegenteil davon aus, dass es im Jahr 2018 einen "Wendepunkt - 9-11"-Angriff auf das US-Stromnetz geben wird.

Warum?

Erstens verfügen wir über ein sehr widerstandsfähiges Netz. Es existiert eine verstärkte staatliche Koordination zur Unterstützung der Cybersicherheit im Energiesektor und es gibt deutliche Fortschritte im Hinblick auf eine integrierte Security by Design in das Smart Grid.

Zweitens glaube ich, dass wir von einer zunehmenden Akzeptanz und Vertrauen in Microgrids profitieren. Microgrids sorgen für eine höhere Widerstandsfähigkeit des Stromnetzes. Sie sind eine schnellere und sauberere Methode, um erneuerbare Energiequellen anzuzapfen, während das größere Stromnetz wiederhergestellt wird. Kommunen sollten sich einige Early-Adopter-Modelle ansehen, wie sie in Kalifornien zur Verhinderung von Ausfällen aufgrund von Naturkatastrophen oder Cyberangriffen eingesetzt werden.

Darüber hinaus dient die Tatsache, dass Dragonfly keine größeren Störungen verursacht hat, als weiterer Beweis (für mich jedenfalls), dass wir das richtige tun. Wenn dem nicht so wäre, wären die Folgen des Angriffs schwerwiegender gewesen.

Lancen Lachance, Vice President Geschäftsbereich IoT

Lancen LaChance

Erwarten Sie mehr Botnet-IoT-Angriffe

2018 werden wir weiterhin Exploits von IoT-Geräten erleben, die für Botnet-Aktivitäten genutzt werden.  Die Zahl der ungesicherten Geräte ist immer noch groß, das macht es Hackern leicht.

Mehr Rechtsvorschriften, aber wenig Leitlinien

Verordnungen und Rechtsvorschriften nehmen zu, aber sind noch nicht schlagkräftig genug. Es werden sicherlich weitere rechtlich bindende Vorschriften und Verordnungen zur Cybersicherheit für das IoT in allen Branchen vorgeschlagen und verabschiedet werden. Das Justizsystem hat wenig Erfahrung mit dem IoT und sie zu erlangen wird nicht von heute auf morgen funktionieren. Vorschriften und Leitlinien werden nicht ausreichen um den Markt wirklich zu führen.

Angreifer konzentrieren sich weiterhin auf Lücken bei den Sicherheitsgrundlagen

Wir werden weitere Beispiele sehen, bei denen grundlegende Sicherheitsanforderungen übersehen und die Schwachstellen anschließend von Angreifern ausgenutzt werden. Erfolgreiche IoT-Angriffe werden nicht weiterentwickelt,  vielmehr nutzen sie grundlegende Sicherheitslücken im Design von IoT-Geräten aus wie etwa geteilte Passwörter oder unverschlüsselte Kommunikation.

Dawn Illing, EMEA Regional Product Manager

Dawn Illing

Unternehmen denken ernsthafter über Cyber-Versicherungen nach; Prämien werden explodieren

Cyber-Versicherungen wachsen, trotz der schlagzeilenträchtigen Angriffe von2017, lediglich in einem ziemlich konstanten Tempo weiter. Trotz des Wissens, dass es nicht um ein 'Ob' sondern 'Wann' eines Angriffs, geht. Die katastrophalen Angriffe 2017 haben gezeigt, dass Cybergefahren heutzutage eine erhebliche Bedrohung sind. Ein erfolgreicher Angriff schadet nicht nur der Unternehmensbilanz, sondern auch dem geschäftlichen Ruf und ruiniert nebenbei noch das Vertrauen, das Kunden in ein Unternehmen oder Produkt gesetzt hatten.

Obwohl das Marktbewusstsein erheblich gestiegen ist, hinkt der Abschluss von Cyberversicherungen oder die Integration von Cyberrisiken in bestehende Versicherungspakete weiter hinterher. Unternehmen bauen Risiken nur langsam ab und entwickeln erst sukzessive ein Verständnis dafür, wie sie eine angemessene Ausfallsicherung am besten in ihr Geschäftsmodell integrieren.

Wandel innerhalb der Versicherungen: Vom 'Risikoschutz' zur 'Prävention'

Angesichts des wachsenden Bewusstseins für Cyberangriffe 2017 beginnen Unternehmen, Sicherheit als ein wichtiges kommerzielles Risiko zu betrachten. Ein Risiko, das alle Teile des Geschäftsmodells betrifft und längst kein isoliertes IT-Problem mehr ist. Es wird sich ein ganzheitlicher Prozess von der Vorstandsetage abwärts vollziehen, Kulturen zu verändern und unternehmensweit positive Schritte zum Schutz digitaler Systeme zu unternehmen.

Die Anzahl der Sicherheitsverstöße nimmt weiter zu. Das macht Versicherungen und Anspruchsabwicklung erheblich komplexer.

Die Vielfalt der Angriffe, Technologien und Prozesse, die eingesetzt werden um Bedrohungen zu verhindern ist ebenfalls beachtlich.  Das führt bei Firmen nicht selten zu mehr Verwirrung als Klarheit. Empfehlungen und Leitlinien sind das Gebot der Stunde. Bisher war es so, dass den Endnutzer immer ein gewisser Teil an Schuld betraf, wenn es zu einer Datenschutzverletzung gekommen ist.

Unternehmen werden aber beginnen, Richtlinien zu entwickeln, die es leichter machen, Verstöße innerhalb einer Firma zu melden. Der Fokus liegt eher auf dem 'wie erkennt man' als auf dem 'wie reagiert man '. Bessere Datenqualität und Tools sorgen im Gegenzug für mehr Unterstützung seitens der Rückversicherer (Versicherungen für Versicherungsunternehmen). Die wiederum kurbelt ihreseits das generelle Marktwachstum an.

Die Datenschutz-Grundverordnung (DSGVO) wird die Versicherungsbranche aufrütteln und weitere Potenziale schaffen

Eine stärkere Aufsicht wird zu Turbulenzen führen, wenn Versicherer mit veränderten internationalen und nationalen Vorschriften zurechtkommen müssen. Regulierung wird in der Branche üblicherweise nicht missbilligt - letztendlich werden solche Änderungen in der Regel angenommen und geprüft, wie man Verwaltung und Geschäftsmodell dahingehend optimieren kann.

Die DSGVO schützt nicht nur einzelne Kunden, sondern übt auch einen Dominoeffekt auf viele Aspekte der Geschäftstätigkeit eines Versicherers, wie z.B:

  • Preisgestaltung - kostenorientiert und basierend auf dem Ruf der Versicherer, da der Wettbewerb Versicherer zwingt, Prämien häufiger anzupassen.
  • Digitalisierung - beeinflusst durch digitale Kanäle und andere Branchen. Versicherungsunternehmen konzentrieren sich auf mehr Kundenorientierung, mit dem Ziel, die Kundenbindung zu erhöhen.

Obwohl die DSGVO für die Versicherungsbranche zahlreiche Probleme aufwirft, schafft sie auch ein Potenzial für höhere Rentabilität bei Kunden und Mitarbeitern.

Cybersicherheit und Chancen für den Versicherungssektor

Da hochkarätige Angriffe weitergehen, haben Direktverkäufer und Makler von Versicherungsgesellschaften eine gute Chance, vertrauenswürdige Berater von Unternehmen zu werden. Daher werden die Cyber-Versicherungsprämien, auch wenn die Annahme von Cyber-Versicherungen nach wie vor langsam bleibt, aufgrund der Zunahme der Versicherungsansprüche steigen, was im zweiten Halbjahr 2018 zu einem 'Ansturm' führen könnte. Makler und Direktverkäufer müssen sich in Zukunft besser in diesem Feld auskennen, denn Unternehmen brauchen ihren Rat. Versicherer und Makler werden für zukünftige Kaufentscheidungen zu ausschlaggebenden Einflussnehmern.

Richard Hancock, Technical Data Protection Officer & Security Specialist

Richard Hancock

Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der EU

2017 hat die größte Schwerpunktverschiebung seit mehr als einem Jahrzehnt in der Informationssicherheit erreicht. Die Datenschutz-Grundverordnung (DS-GVO) hat zu mehr als nur zu Irritationen geführt, nicht nur innerhalb der Branche, sondern in allen Bereichen. Während ich bis heute keine umfassende Werbung für die Gesetzesänderung für die breite Öffentlichkeit gesehen habe, ist die DSGVO ein heißes Thema in vielen Wirtschafts-Communities. Es sind nur noch sieben Monate und die Uhr tickt!

2018 wird die Zahl der Unternehmen sprunghaft ansteigen, die eiligst ihre Angelegenheiten in Ordnung bringen wollen. Zum Beispiel weil sie zu der Erkenntnis gekommen sind, dass sie nach dem 25. Mai 2018 durchaus  dazu verdonnert werden könnten, einen Scheck in sieben- oder achtstelliger Höhe an die Regulierungsbehörde auszustellen. Die Art und Weise, wie unsere Daten erfasst, gespeichert, bearbeitet, gehandhabt und gemeldet werden, wird nie wieder wie vorher sein. Wir hatten noch nie mehr Macht und Kontrolle über unsere personenbezogenen Daten als gerade jetzt.

Europa setzt gewissermaßen einen Trend für den globalen Datenschutz. Im kommenden Jahr werden wir vermutlich immer mehr Länder sehen, die ihre lokalen Gesetze mit denen der EU in Einklang bringen wollen. Ich hoffe, dass der Datenschutzschild stabil wird und seine Langlebigkeit durch die Administration der US-Regierung abgesichert wird. Ich prognostiziere, dass zahlreiche Unternehmen verbindliche Unternehmensregeln, damit sie Daten innerhalb ihrer eigenen Grenzen frei bewegen können. Und ich gehe davon aus, dass der Prozess für eine solche Zulassung optimiert wird, um sie leichter zugänglich zu machen als heute.

Blick auf das Jahr 2018

Was halten Sie von unseren Prognosen? Sind sie zutreffend oder sind Sie anderer Meinung? Gibt es ein Thema, das Sie gerne behandelt gesehen hätten? Wir freuen uns über Ihr Feedback hier im Kommentarbereich oder über Twitter.

von Lea Toms

Artikel teilen