GlobalSign Blog

25 Nov 2016

GlobalSign-Prognosen: Die Zukunft der Cybersicherheit

Sie sind bereit für die Zukunft der Cybersicherheit? In Zusammenarbeit mit den Organisatoren des National Cyber Security Awareness Month und des European CyberSecMonth wagen wir einen Blick in die Glaskugel.

Das Internet entwickelt sich rasant weiter, Unternehmen und Konsumenten müssen sich gleichermaßen neuen Technologien, Vorschriften und Strategien anpassen.

Wohin wird uns die Zukunft der Cybersicherheit führen? GlobalSign-Experten wagen eine Prognose.

Paul Van Brouwershaven – Technology Solutions Director

Paul Van Brouwershaven

In der jüngsten Zeit hat es einige sehr wesentliche Sicherheitsverbesserungen für Website-Betreiber gegeben. Dazu gehören neue Ciphers und die Implementierungen von HTTP2 und TLS 1.3. Sie sind deswegen attraktiv, weil sie mehr als Sicherheit bieten, nämlich mehr Leistung, bessere Suchergebnisse, Anzeigen- und höhere Umsatzerlöse für Unternehmen.

Browser-Anbieter werden stärker auf Sicherheit drängen und immer mehr dazu übergehen, Benutzer vor unverschlüsselten Inhalten zu warnen. Was auch die Benutzer sicherheitsbewusster machen wird. HTTPs-Verbindungen werden zum De-facto-Standard im Internet und unverschlüsselte Verbindungen (http) langsam verschwinden.

Im Gegensatz dazu haben wir allerdings E-Mails, mobile Apps und das IoT, bei denen die Kommunikation für den Endbenutzer sehr viel verborgener abläuft. Hier wird es noch schwieriger werden, Authentizität, Integrität und Sicherheit von Kommunikation zu überprüfen. Ich prognostiziere, dass wir im IoT wo industrielle Prozesse, Fahrzeuge oder Gebäude aufgrund des Mangels an Verschlüsselungs-, Authentifizierungs- und Integritätsprüfungen gefährdet sind, schwerwiegende Sicherheitsvorfälle sehen werden.

Standardmäßige Verschlüsselung ist etwas, was ich persönlich für eine gute Sache halte. Ich prognostiziere, dass Regierungen zunehmend besorgt sein werden was die Überwachungsmöglichkeiten im Internet beispielsweise zur 'Bekämpfung des Terrorismus' anbelangt. Diese Bedenken führen dazu, dass neue Rechtsvorschriften erlassen werden, die Auswirkungen auf unsere Privatsphäre haben. Aber noch wichtiger ist, dass es unmöglich sein wird, zu garantieren, dass lediglich eine Regierung Zugang zu persönlichen Daten hat oder, dass die Daten nicht verändert worden sind (wie beispielsweise durch eine Malware).

Zachary Short – Principal Software Architect

zachary short

AI und maschinelles Lernen werden in Zukunft eine zunehmend wichtigere Rolle innerhalb der Cybersicherheit spielen.

Anstatt speziell für einen Zweck konzipiert und entwickelt zu sein, werden Sicherheitslösungen organischer und autonomer, eher wie Ihr eigenes Immunsystem. Sicherheit wird sich kontinuierlich in einer sich ständig wandelnden Cyberumgebung weiterentwickeln.

Durch kontinuierliche Schulung und Anpassung können Systeme nicht nur neue Bedrohungen erkennen, sondern auch darauf reagieren. Besonders die Erkennung  von Anomalien wird an Bedeutung gewinnen, und IoT-Ökosysteme verlassen sich auf diese Verteidigungslinie, um Daten von Peers zu vertrauen.

Algorithmen, die Sensordaten verarbeiten, werden nicht einem einzelnen Sensorknoten implizit vertrauen, sondern sie werden sich die ihn umgebenden Knoten im Hinblick auf Konsistenz "ansehen" - denken Sie an Sensorfusion, „gemeinsam stark sein“ und die Macht der Redundanz.

Anomalie-Erkennung wird bereits eingesetzt, um betrügerische Kreditkarten-Transaktionen zu erkennen und maschinelle Lernalgorithmen entwickeln sich stark weiter, um eine bessere Spam- und Malware-Erkennung zu bieten.

Nisarg Desai – Product Manager IoT

Nisarg Desai

Während Consumer-IoT einen festen Platz in der täglichen Berichterstattung hat, wird der tatsächliche Mehrwert des IoT im industriellen Sektor liegen. In diesem Bereich werden die kritische Natur von Vermögenswerten und die potenziellen Folgen schlechter Sicherheitsvorkehrungen rasch zur Einführung verschiedener Sicherheitslösungen führen.

Im Laufe der Zeit werden diese sich weiter entwickeln, aktualisiert oder durch auf Standards basierenden Lösungen ersetzt werden. Eine davon ist PKI. Geschäftsführende Organe, zukunftsorientierte Unternehmen sowie ein besser geschulter Kundenstamm werden darauf drängen, dass jedes IoT-Produkt und jede Dienstleistung ein grundlegendes Sicherheitsniveau hält. Sicherheit ist eine Notwendigkeit und sie wird zum stillen Bestandteil jeder Lösung - schließlich ist das kritischste Element aller IoT-Systeme der Mensch selbst.

Bedrohungsvektoren, die sich derzeit auf herkömmliche IT-Endpunkte fokussieren, werden neu konzipiert und sich gegen OT-Assets richten. Das führt zu einer politischen Konvergenz von Machtzentren in einer Unternehmensstruktur. Sie wird letztendlich IT- und OT-Funktionen zusammenbringen. Das wird dazu führen, dass Unternehmen einheitliche Lösungen implementieren, die sich auf den Schutz von Vermögenswerten konzentrieren, statt auf das System, in dem diese sich befinden.

Bereits existierende Technologien werden neue Anwendungsbereiche finden. Und zwar um bislang unentdeckte Bedrohungen, die sich aus genau diesen neuen Anwendungsfällen ergeben, zu bekämpfen. Sicherheit wird auf Plattform- oder Ökosystemebene implizit vorhanden sein und direkt implementiert werden. Und sie wird sämtliche Berührungspunkte mit diesen Systemen einschließen.

Simon Wood – Chief Technology Officer

Simon Wood

Heute vollziehen sich Veränderungen in einem bisher beispiellosen Tempo: Immer mehr offene (Internet-) Zugänge, Interoperabilität, phänomenale Rechenleistung, verkürzte Reaktionszeiten und nie dagewesene Transaktionsraten, um nur einige zu nennen. Wir haben den „perfekten Sturm“ entfesselt.

In steigendem Maß konzentriert sich der Fortschritt auf die Systeme unserer Wahl. Gleichzeitig werden wir, wenn es um Sicherheit geht, immer das schwächste Glied in der Kette sein.

Cybersicherheit selbst war und ist im wörtlichen Sinne ein Wettrüsten. Und wird das vermutlich immer bleiben. Nationalstaaten, organisierte Verbrechersyndikate, verärgerte Individuen, die Nationalstaaten angreifen, Unternehmen, hochkarätige Organisationen der bevölkerungsreichsten Länder, Menschen und Geräte, jeder von ihnen ist jederzeit bereit „aufzurüsten“.

Vor uns liegt eine Büchse der Pandora der Superlative! Von den Vorstandsetagen bis in industrielle Werkstätten hinein werden wir die Auswirkungen einer sich ständig weiter entwickelnden Bedrohungslandschaft zu spüren bekommen. Bedrohungen, die immer raffinierter werden, die sich gegenseitig antreiben und angetrieben werden.

Keine Technologie, kein System, keine Lösung wird letztendlich allein vorherrschen. Cybersicherheit muss sowohl so etwas sein wie ein 'vorbildlicher Bürger' als auch 'by Design'  implementiert und ganzheitlich für Menschen, Prozesse, Systeme, Geräte und Umgebungen betrachtet und eingesetzt werden.

Die greifbare Zukunft der Cybersicherheit? Über reine Sicherheitsdiskussionen hinaus wird sie zunehmend beachtet werden, und das wird sich auf die bereitgestellten Budgets auswirken. Und Cybersicherheit wird zunehmend bei wirklich allem, was wir tun eine Rolle spielen

Lancen LaChance – VP of Product Management

Lancen LaChance

IoT-Standards werden in Silos divergieren, bevor sie konvergieren

Mit dem Abheben des IoT werden viele Lösungen zunächst proprietäre oder geschlossene Systemansätze bei Sicherheitsimplementierungen verfolgen. Entweder um einen unmittelbaren Nutzen aus der Lösung zu ziehen oder weil es der Weg des geringsten Widerstands ist.

Wie auch immer, mit zunehmender Akzeptanz und wachsenden Ökosystemen werden Kunden mehr Interesse an einer standardbasierten Lösung zeigen. Denn Interoperabilität und Kompatibilität mit einem breiteren Ökosystem wird ein wichtiger Treiber sein. Einen ähnlichen Trend wird es bei den Vertrauensmodellen für IoT-Ökosysteme geben. Lösungen der ersten Generation nutzen primär ein geschlossenes Vertrauensmodell. Aber mit zunehmender Diversifizierung der beteiligten Partner und der verbundenen Geräte werden sich die Praktiker umfassenderen Vertrauensmodellen zuwenden um Identitäten bereitzustellen. Identitäten, die sich auf vertrauenswürdige Dritte und Systeme verlassen, um starke Vertrauensbeziehungen zu pflegen.

Zusätzliche IoT-Hacks bei kritischen Infrastrukturen und im Automobilsektor erhöhen Dringlichkeit bei Sicherheitsmaßnahmen

Die Implementierung von Sicherheit für cyberphysikalische Systeme wird sich durch erfolgreiche Angriffe auf kritische Infrastrukturen und den Automotive-Sektor weiter beschleunigen. Dies wird wiederum das Bewusstsein erhöhen und potenzielle rechtliche Grundlagen wie Anforderungen stärken. Und so OEMs und Systembetreiber beim Thema Sicherheit sehr viel stärker in die Pflicht nehmen.

Blockchain

Das Wachstum dezentraler Vertrauensmechanismen wie Blockchain wird Fortschritte machen, aber wir werden bei konkreten Anwendungsfällen und Implementierungen auch Problemen begegnen. Vermutlich werden diese Mechanismen einige Jahre eine eher unbedeutende Rolle spielen, bis die Anfangsschwierigkeiten überwunden sind. Durch Innovatoren und Early Adopters, die solche Technologien in ihren Umgebungen bereits einsetzen und die ein breiteres Bewusstsein bei potenziellen Konsumenten schaffen.

Richard Hancock – Datenschutzbeauftragter - West

richard hancock

Die Ratifizierung der General Data Protection Regulations (Allgemeine Datenschutzbestimmungen) hat die historisch größte Verschiebung des kulturellen Bewusstseins für unsere persönliche Identität stark beeinflusst. Mit zunehmender Entwicklung der Abwehrmechanismen gegen Identitätsdiebstahl und Betrug, werden die Methoden der Hacker immer intelligenter, und die Angreifer verwenden nicht selten die gleiche Technologie gegen uns. Die bemerkenswertesten unter ihnen sind z.B. Ransomware wie Cryptolocker und andere.

In den kommenden Jahren wird Cybersicherheit im Bewusstsein einer breiten Öffentlichkeit einen viel höheren Stellenwert haben. Das spielt eine Rolle für personenbezogene Daten und wie diese Daten von Unternehmen genutzt werden. Die neuen Gesetze nehmen den Einzelnen in die Pflicht, seine Zustimmung dazu zu geben, dass (und wie) diese Daten benutzt und gespeichert werden. Das allein weist schon auf eine Verschiebung hin, verglichen mit den aktuellen Möglichkeiten, ein lediglich ein Kästchen zu deaktivieren. Das kennen wir alle, die damit verbundenen Bedingungen lesen wir wohl eher selten.

Das neue Strafmaß bei Datenrechtsverletzungen großen Ausmaßes wird Unternehmen veranlassen, mehr Zeit, Anstrengungen und vor allem Geld (das noch nie zuvor derart eingeplant werden musste), in neue Maßnahmen, Prozesse und Geräte zu investieren. Unternehmen müssen neu überdenken wie sie zukünftig Systeme aufbauen und implementieren wollen, um den Datenschutz in den Mittelpunkt des Konzepts zu stellen. Angesichts dessen wird angenommen, dass wir in Zukunft ganz andere E-Commerce-Plattformen nutzen werden als bisher. Entitäten werden das Risiko so weit wie möglich abgeben wollen. Der einfachste Weg: von Vorneherein so wenig Daten wie möglich speichern. Finanzhäuser werden Datenbankverschlüsselung nicht mehr als optional betrachten. Sie würden vielmehr erwarten, dass die Branchenführer Best Practices vorantreiben, und Datenbankverschlüsselung zum Standard machen.

Das Ende des Safe Harbor-Abkommens hat bei den meisten europäischen Bürgern Ängste ausgelöst. Plötzlich sind ihre Daten, die in US-Rechenzentren aufbewahrt werden, nicht mehr durch diese Vereinbarung geschützt, sondern unterliegen den US-Gesetzen zu deren Überwachung. 2016 haben Cloud-Anbieter darauf reagiert, indem sie EU-Rechenzentren eröffnet haben, um ihre Kunden zufriedenzustellen und gesetzliche Bestimmungen einzuhalten. Und wie Sie sich denken können, wird dieser Ansatz in den kommenden Jahren von einer ständig wachsenden Zahl von Anbietern übernommen werden.  Mit der Ungewissheit, ob der „Ersatz“ für Safe Harbor nämlich 'Privacy Shield' überhaupt bis 2017 weitergeführt wird (nachdem die Article 29 Working Group ihn abgelehnt hat) wollen Unternehmen, aber auch Einzelpersonen sehr genau wissen wo ihre Daten gespeichert werden.

Wir stehen an der Schwelle dessen, dass wir noch vertrauliche Aufzeichnungen z.B. im Zug oder im Taxi vergessen. Aber wir werden auch erleben, dass es  Datenschutzverletzungen nicht mehr ständig in die Headlines schaffen. Natürlich werden Hacker weiterhin erfinderisch dabei sein. Aber der Fortschritt bei der Rechenleistung, selbst auf der Ebene des Endverbrauchers, erlaubt weit komplexere Verschlüsselungsalgorithmen. Und damit zugleich, dass die Guten den Bösen ein Stück weit voraus sind.

Wir werden alle Zeugen einer Revolution der Persönlich Identifizierbaren Informationen (kurz PII genannt) sein. Diese Informationen zu schützen wird in den kommenden Jahrzehnten der Digitalisierung noch viel wichtiger werden als bereits jetzt. Einsen und Nullen werden um ein Vielfaches wertvoller sein als alle anderen noch auf Papier vorliegenden Daten.

Lila Kee – Chief Product Officer

Lila Kee

Es wird bei Unternehmen und Verbrauchern eine Art Gegenreaktion auf Sicherheitsmaßnahmen geben, die als zu streng empfunden werden, die Produktivität hemmen oder noch schlimmer, die Frustration und Ängste der Benutzer steigern.

Das vor allem dann, wenn diese Sicherheitserfordernisse mit dem Bedürfnis der Nutzer kollidieren, so problemlos wie möglich auf Informationen, Ressourcen und Daten zugreifen zu können. Und produktiv, engagiert und zufrieden mit der User Experience arbeiten zu können. Sicherheitsanbieter werden auf das Drängen von Regierungen hin sowie den Druck der Industrie und des Marktes mit unauffällig arbeitenden, aber dennoch sicheren Lösungen reagieren. PKI wird hier als zugrunde liegende Technologie eine leise Schlüsselrolle für transparente Sicherheitsangebote spielen.

Ian Thomas - Leiter Global Business Development IoT

Ian Thomas

Das industrielle Internet wird die Zusammenarbeit zwischen Industrie und Regierungen fördern, was globale Architekturstandards von Cybersicherheit anbelangt. Wir sehen dies bereits jetzt bei der Zusammenarbeit zwischen dem Industrial Internet Consortium und Industrie 4.0 mit Unterstützung der EU.

Regierungen werden selbst Know-how sammeln und gleichzeitig ein strategischer Kunde für das IIoT sein. Sie werden besser informiert sein, um Best Practices zu gewährleisten und Technologien zu verwenden, die offene Standards verwenden, interoperabel und sicher sind.

Die "Sicherheit der Dinge" wird im Mittelpunkt stehen. Mit der Konvergenz von OT und IT müssen wir unterschiedliche Sicherheitsbedenken angehen, insbesondere im Hinblick auf die Sicherheit von Menschen.

Aber mit mehr Vertrauen in existierende Sicherheitsmaßnahmen, wird sich ein Übergang von Vor-Ort-Systemen zu Cloud- und Fog-Modellen vollziehen. Während die Nutzung dieser IaaS IIoT-Lösungen ansteigt, werden einzelne Computer-Architekturen und Sicherheitsstandards ihre Bereitstellung nicht monopolisieren können.

Letztendlich wird ein sicheres IIoT traditionelle Innovations- und Geschäftsmodelle zunehmend in Frage stellen und ablösen. Stattdessen wird eine Ergebniswirtschaft entstehen, in der Produkte und Dienstleistungen danach bewertet und verkauft werden, welchen geschäftlichen (Mehr-)Wert sie zu bieten haben.

Jun Hosoi – Produktmanager S/MIME und Authentifizierung

Jun Hosoi

Ich glaube, dass die Authentifizierung "mit leeren Händen" zur Norm wird. Benutzer benötigen weder Smartcard, noch einen Token für Einmalpasswörter, noch Smartphone-Rückruf, Passwort oder eine ID für die Anmeldung an Geräten und Diensten.

Stattdessen wird, wenn der Benutzer sich an seinem PC anmeldet, die Kamera an seinem PC via Gesichtserkennung erkennen und identifizieren, dass genau er der Besitzer des Rechners ist.

Wenn jemand beispielsweise etwas im Shop seines Fitnessclubs kauft oder er Geld von seinem Konto abhebt muss er dazu nur noch den Finger auf einen Scanner legen. Das Gerät liest das Fingervenenmuster (oder den Fingerabdruck) und identifiziert ihn. Der Betreffende kann dann auf den jeweiligen Dienst zugreifen, oder einen Artikel kaufen.

Wenn jemand einen Internetservice nutzt, verknüpft der Scanner seine Identitätsdaten mit seinem X.509-Client-Zertifikat, und dann kann ein serverseitiger Dienst den Benutzer stark identifizieren. In diesem Szenario ist der private Schlüssel des Benutzers auf einem Hosted HSM gespeichert.

Die dahinter liegende Idee ist, dass wir uns in Zukunft nichts mehr merken oder besitzen müssen, um auf bestimmte Dienste zuzugreifen oder Online-Shopping  zu nutzen. In einer nicht allzu fernen Zukunft werden wir das "mit leeren Händen" tun.

Blick nach vorn

Es sieht ganz so aus, als würden wir eine ganze Reihe von Veränderungen erleben. Von zunehmender Regulierung bis zur Lust auf IoT - die Zukunft der Cybersicherheit scheint schon da zu sein. Verbraucher werden anspruchsvoller was den Umgang mit ihren Daten anbelangt und fordern Lösungen, die ihnen das Leben erleichtern, und das ohne Kompromisse bei der Sicherheit. Darauf müssen und werden Unternehmen reagieren.

Ich bin mir sicher, dass wir nicht die einzigen sind, die Prognosen für die Zukunft von Cybersicherheit, Daten und Datenschutz treffen? Wie sieht Ihre Prognose aus? Teilen Sie Ihre Einschätzung mit uns auf Twitter, oder kommentieren Sie diesen Blog-Post.

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren