2022 wird das Jahr der SBOM

Lila Kee, Chief Product Officer

Code Signing und Viren-Scanning allein reichen nicht mehr aus, um Netzwerke vor der Verbreitung von Malware zu schützen. Hinzukommt die sogenannte Software Bill of Materials (Software-Stückliste) – kurz SBOM ins Spiel. SolarWinds hat sich als eine der größten Sicherheitslücken gezeigt, mit denen Unternehmen konfrontiert sein können, wenn man die Auswirkungen von Ransomware oder anderen Arten von Malware ermitteln will, die über eine oft als legitim erscheinende Software injiziert werden. Mehr Unternehmen als bisher werden sich für die Einführung von SBOM-Tools entscheiden. Denn Firmen brauchen schnelle und effektive Tools, um nur die kompromittierten Bereiche eines bestimmten Netzwerks unter Quarantäne zu stellen. Der Stromgroßhandel und andere kritische Infrastrukturen werden eine Vorreiterrolle spielen, wenn die CISA damit beginnt, grundlegende Cybersicherheitsrichtlinien für das Management von Fremdsoftware zu erstellen. Wenn Unternehmen genau wissen, welche Software und welche Softwareversion wo in einem Netzwerk läuft, können sehr viel flexibler vorbeugen und reagieren und so unter anderem die betrieblichen Auswirkungen in Grenzen halten.

Böswillige Parteien werden die COVID-19-Pandemie weiterhin missbrauchen

Arvid Vermote, CISO

Die COVID-19-Pandemie und das Arbeiten von zu Hause aus haben eine Reihe von Angriffen ausgelöst, die auf die Pandemie und neue Arbeitsformen abzielen. Seit März 2020 haben wir eine Reihe verschiedener Angriffe erlebt, die von Phishing bis zum Verkauf gefälschter COVID-19-Impfscheine reichen.

Es ist sehr wahrscheinlich, dass diese Angriffe im Jahr 2022 weitergehen werden, aber wir sollten auch mit einer verstärkten Verlagerung hin zu böswilligen Parteien rechnen, die sich auf den Versuch konzentrieren, digitale COVID-19-Zertifikate und ihre Validierungsmechanismen zu knacken, um gefälschte COVID-19-Zertifikate herzustellen und zu verkaufen.

Die Entwicklung von PQC-Standards beginnt

Silvia Bertolotti, Solutions Consultant EMEA

Forschung und Diskussionen über Quanten-, insbesondere Post-Quanten-Computing haben in den letzten Jahren stark zugenommen. Einer der interessantesten Sicherheitsaspekte ist, dass Quantencomputer – sobald sie auf breiter Basis verfügbar sind – in der Lage sein werden, viele der aktuellen Kryptographie-Systeme mit öffentlichem Schlüssel zu knacken. Dies kann für die Cybersicherheit zu einer ernsthaften Bedrohung werden und verschiedene derzeit genutzte digitale Kommunikations- und Datensysteme betreffen.  

Lau einem Beitrag in Nature haben die schnellsten Quantencomputer heute nicht mehr als 100 Qubit und leiden unter Zufallsfehlern. 2019 demonstrierte Google, dass sein 54-Qubit-Quantencomputer in Minuten ein Problem lösen könne, für das ein klassischer Rechner 10.000 Jahre brauchen würde.
Die Post-Quanten-Kryptographie (PQC) verfolgt das Ziel, kryptographische Systeme zu entwickeln, die sowohl in klassischen als auch in Quantencomputern sicher sind. Die Geschwindigkeit, mit der Probleme zukünftig gelöst werden, wird sich um viele Größenordnungen erhöhen. Dafür müssen neue Kryptographie-Standards geschaffen werden.

Das National Institute of Standards and Technology (NIST) konzentriert sich seit 2016 darauf, genau das zu tun. Dazu startete es einen Aufruf, Vorschläge für PCQ einzureichen, um den Standardisierungsprozess zu starten. Der Wettbewerb fokussiert sich auf Algorithmen für die Verschlüsselung mit öffentlichen Schlüsseln und digitale Signaturen und befindet sich jetzt in der letzten Phase der Überprüfung mit sieben verbliebenen Finalisten. Im nächsten Jahr sollen die siegreichen Algorithmen bekannt gegeben werden. Das NIST plant, sie zu nutzen, um einen oder mehrere quantenresistente kryptographische Algorithmen mit öffentlichem Schlüssel zu entwickeln und bis 2025 PQC-Standards zu schaffen. Danach endlich können Unternehmen mit der Implementierung von Technologien beginnen, die auf dem neuen Algorithmus basieren und damit eine ganz neue Ära von Sicherheitsprodukten einläuten. 

Zu den Branchen, in denen sich Post-Quanten-Technologien relativ schnell durchsetzen werden, gehören IT, Finanzdienstleistungen und die Automobilindustrie. In der IT wird PQC weiterhin zur Softwareüberprüfung oder zur Klassifizierung unstrukturierter Daten eingesetzt werden. Im Finanzsektor kann man damit rechnen, dass Quantencomputer von Unternehmen wie Goldman Sachs und Citigroup zur Prognose und Vorhersage von Markttrends oder zur Entwicklung von Handelsstrategien eingesetzt werden. Und wir werden mehr Partnerschaften wie die zwischen Volkswagen und Google sehen, um Programme für das Verkehrsmanagement zu entwickeln.

eIDAS und qualifizierte Zertifikate werden 2022 sich deutlich weiter verbreiten

Mohit Kumar, Associate Director of Product Management

Da die Welt um uns herum immer digitaler wird, werden mehr Prozesse rationalisiert und papierlos. Aus diesem Grund sind Vertrauen in und Integrität von Dokumenten noch wichtiger als bislang. Genau deshalb werden digitale Siegel und Signaturen deutlich häufiger eingesetzt werden. Außerdem werden qualifizierte eIDAS-Zertifikate in der EU verstärkt genutzt werden, ebenso wie die Fortschritte bei eID-Programmen. Dies wird zu einer schnelleren Erstellung von qualifizierten Zertifikaten und ihrer Anwendung durch Anbieter von Remote-Signaturdiensten führen. eIDAS wird für viele weitere Länder in Nicht-EU-Regionen zum Benchmark werden. Diese Länder werden ihre derzeitigen Rahmenbedingungen für elektronische Signaturen und Aufzeichnungen überdenken und sich an die von eIDAS angeführten globalen Praktiken anpassen. Das wiederum führt zu einer Öffnung gegenüber globalen Standards und einer gegenseitigen Akzeptanz von Vertrauenslisten.

2022 - das Jahr, in dem eIDAS endlich durchstartet

Andreas Brix, Program Manager, EMEA

Obwohl die eIDAS-Verordnung (Electronic IDentification, Authentication and Trust Services) bereits 2014 eingeführt wurde, verlief die Umsetzung zunächst sehr schleppend. 

Dem Rahmen, der um eIDAS herum aufgebaut wurde, fehlten die Marktteilnehmer, die die Technologie für eine groß angelegte Einführung bereitstellten. Firmen hatten also bei der Umsetzung nicht allzu viele Optionen zur Verfügung. 
Im Laufe der Jahre kamen etliche innovative Lösungen auf den Markt, die den Wettbewerb ankurbelten, den Automatisierungsgrad erhöhten und gleichzeitig die Kosten senkten. Man brauchte gehostete Signaturdienste, um eine skalierbare und API-basierte Lösung mit hohem Durchsatz bereitzustellen. Die Implementierung solcher Dienste  ist für Anbieter von Digitaler Archivierung, Dokumentenmanagement-Systemen (DMS) und Customer-Relationship-Management (CRM) unumgänglich geworden, um Kundenanforderungen hinsichtlich von E-Archiving und E-Invoicing zu erfüllen. 

GlobalSign hat diesen Bedarf erkannt und reagierte mit dem Digital Signing Service -  eine Cloud-basierte Lösung, die die Hardwarebelastung senkt und gleichzeitig die Flexibilität bietet, gegen eine Unternehmensidentität zu signieren und Mitarbeiter- oder Abteilungsnamen hinzuzufügen. 

Als Covid-19 Anfang 2020 Europa erreichte und so ziemlich jeden Bereich unseres Lebens beeinflusste, machte das nicht nur Unternehmen, sondern ganzen Branchen Beine, ihre Prozesse und Arbeitsabläufe zu digitalisieren. Angesichts all der tiefgreifenden, pandemiebedingten Veränderungen war die Zeit für eIDAS endlich gekommen. 

Wenn wir uns die Probleme bei der digitalen Transformation ansehen, stellen wir fest, dass die meisten davon damit zusammenhängen, einem formal analogen Arbeitsablauf Vertrauen und Authentizität zu verleihen. Prüfpfade mussten gut dokumentiert werden, Unterzeichner von Verträgen oder Arbeitsaufträgen mussten identifiziert werden und alle zusätzlichen „Daten während der Übertragung“ gesichert werden. 

Wir sehen die Auswirkungen vor allem bei aktuellen Dienstleister- und Kundenprojekten rund um das Dokumentenmanagement. Kunden fordern immer häufiger fortgeschrittene elektronische Siegel als Minimalanforderung, um Vertrauen und Integrität für die ausgehende Kommunikation zu gewährleisten. Etwa um Betrug und Phishing zu verhindern und gleichzeitig die E-Invoicing- und E-Archiving-Vorschriften im Rahmen von eIDAS einzuhalten. 

Vor diesem Hintergrund prognostiziere ich für 2022, dass wir diese Grundlagen als etablierte Standards für digitale Transaktionen und Prozesse sehen werden, während wir fortgeschrittene elektronische Signaturen als Mindeststandard für digitale Dokumente festlegen. 

Was erwartet den KMU-Markt 2022?

Grace Armano, Account Manager, North America

Wenn wir über Vorhersagen sprechen, ist es offensichtlich, dass die Pandemie die Art und Weise, wie wir heute mit Fortschritt und Technologie umgehen, beeinflusst und den Fortschritt beschleunigt hat! Wir leben in einer dynamischen Welt, die sich ständig und rasant verändert. Die digitale Transformation hat dazu geführt, dass man heute problemlos mit jedem anderen Menschen kommunizieren und ohne Bedenken auf unzählige Formen von Informationen und Wissen zugreifen kann.  Zudem werden die digitalen Technologien von heute aufgrund erheblicher Fortschritte bei der Künstlichen Intelligenz (KI) tatsächlich intelligenter und personalisierter. Die Interaktion fast jeder menschlichen Erfahrung wird durch eine ausgeklügelte Hülle vermittelt, die mit Big Data verbunden ist. Hier ist meine Einschätzung, was im nächsten Jahr auf dem KMU-Markt passieren wird:

• Arbeitsweise - Remote Working wird es weiterhin geben und die Art und Weise, wie wir in der heutigen Welt funktionieren, hat sich dramatisch verändert.  Wichtig ist, dass die Auswirkungen dieser Modelle von "Arbeit von überall aus" so viel mehr beinhaltet als nur die Verlagerung des Standorts. Die Pandemie hat uns gezeigt, dass die Aufrechterhaltung starker Datenschutz- und Cybersicherheitsmaßnahmen für Remote-Mitarbeiter eine noch größere Herausforderung darstellt und wichtiger ist als je zuvor! Technologien wie S/MIME für sichere E-Mail, SSL für Website-Sicherheit und Authentifizierung werden zwingend nötig sein, um KMUs vor Cyberangriffen zu schützen.
• Zusammenarbeit in der postpandemischen Ära - Als Reaktion auf den vielleicht schnellsten gesellschaftlichen Wandel der Neuzeit haben Unternehmen weltweit fast über Nacht auf Remote-Belegschaften umgestellt. Kleinunternehmer müssen Geschäfte schneller und sicherer abwickeln. Eine Digitale Signatur rationalisiert ihre Möglichkeiten, Dokumente von überall aus einzureichen, egal ob es sich um einen Ingenieur handelt, der seine Zeichnung übergibt oder ein Bauherr ein Angebot aus dem Home Office sendet – die digitale Signatur fungiert als eine Art „digitaler Ausweis“ und verifiziert die Identität des Unterzeichners und stellt gleichzeitig sicher, dass der Inhalt eines Dokuments nicht manipuliert wurde, und zwar sowohl in den USA als auch jetzt international aufgrund einer cleveren Verordnung namens eIDAS. Digitales Signieren ist definitiv ein Wendepunkt für kleine und mittlere Unternehmen!
• KI - Die Herausforderung für KMUs bestand darin, die Annehmlichkeiten der KI (künstliche Intelligenz) in den täglichen Betrieb zu integrieren. KMUs müssen dies auch weiterhin tun und eine starke Authentifizierungsstrategie entwickeln und implementieren, die sämtliche Aspekte ihres Geschäftsmodells absichert.
• Kundendienst  – Bedenken Sie schließlich, dass die Pandemie KMU inspiriert hat, sich wieder auf den Kundendienst zu konzentrieren. Das bedeutet, dass KMU unbedingt wissen sollten, wie sie mit ihren Kunden kommunizieren und dabei gleichzeitig Spitzenleistungen erbringen. Dabei dürfen Sie aber nicht außer Acht lassen, dass dieses erstklassige Erlebnis gleichzeitig sicher sein sollte. Es gilt also, die richtigen Anbieter auszuwählen, die ein kleines oder mittleres Unternehmen dabei unterstützen, seine Ziele zu erreichen und gleichzeitig ein sicheres Kundenerlebnis zu gewährleisten.

Die weit verbreitete Einführung von Cloud und Zero Trust in Unternehmen erhöht die Risiken für Konten und Berechtigungen

Arvid Vermote, CISO

Da Unternehmen nun in großem Umfang von der lokalen Dateispeicherung abrücken, werden die Angriffe zunehmen, die darauf abzielen, die SSO-Anmeldedaten (Single Sign-On) der Mitarbeiter zu kompromittieren, um Zugang zu allen Cloud-Diensten zu erhalten, einschließlich persönlicher und abteilungsinterner Dateispeicher. Viele Sicherheitsbarrieren, die den Zugriff auf herkömmliche lokale Dateispeicher verhinderten (LAN-Zugang, VPN-Zugangsdaten ...), gibt es im Cloud-Bereich nicht, und die Sicherheitsverletzungen des letzten Jahres haben gezeigt, wie wichtig die Implementierung von MFA und eine angemessene Überwachung für den Zugriff auf Cloud-SSO-Konten ist. Die zunehmende Nutzung der Cloud bringt auch eine Reihe von Herausforderungen mit sich, wenn Mitarbeiter Kopien vertraulicher Unternehmensdaten auf nicht verwalteten Geräten erstellen. Während sich die Daten früher nur auf den Laptops und der Infrastruktur des Unternehmens befanden, kann eine Cloud-Umgebung, die durch unzureichende Autorisierungs- und Überwachungskontrollen unterstützt wird, zu unbekannten/unkontrollierten Kopien von Daten führen, bei denen die Gefahr besteht, dass sie durchsickern, wenn (ehemalige) Mitarbeiter böswillig werden oder ein Gerät mit einer unbekannten Kopie kompromittiert wird.

Der Bedarf der EU an der Schlüsselverwaltung wird steigen

Arnaud Vanderroost, Vice President of Sales EMEA

Die jüngsten Nachrichten über private Schlüssel von "EU-Digital-Covid-Zertifikaten", die in Messaging-Apps wie Telegram kursieren, geben uns einen bitteren Vorgeschmack auf das, was uns im Jahr 2022 erwarten könnte.

Die Nachfrage nach digitalen Identitäten (und damit nach PKI) seitens der Regierungen und der ausstellenden Stellen steigt ständig, aber die Zeit, die Ressourcen und die Fachkräfte, die diese Anforderungen erfüllen können, sind begrenzt.

Wenn es zu einer solch "dramatischen" Schlüsselkompromittierung kommt, die sich auf Tausende von Nutzern auswirken kann, weisen wir als Identitätsanbieter erneut auf die unabdingbare Notwendigkeit einer angemessenen Schlüsselagilität und Schlüsselrotation hin. Dies ist die Grundlage jeder gesunden Schlüsselverwaltungspraxis.

Die kryptografische Agilität dient als Sicherheitsmaßnahme oder als Mechanismus zur Reaktion auf einen Vorfall, wenn ein kryptografisches Grundelement eines Systems als anfällig entdeckt wird.

Rotierende Schlüssel tragen andererseits zur Einhaltung von Industriestandards und kryptografischen Best Practices bei.

Die PKI ist "so stark wie ihr schwächstes Glied"; daher kann selbst bei den besten Absichten und den größten Vorsichtsmaßnahmen ein einziger Fehltritt das Kartenhaus zum Einsturz bringen. Aber das Wichtigste ist nicht der Sturz, denn der ist heutzutage unvermeidlich. Wichtig ist, dass Sie wissen, wie Sie wieder aufstehen und Ihr Ökosystem/Ihre Struktur wiederherstellen können.

Gehen Sie keine Risiken ein, lagern Sie Ihre PKI nicht an diejenigen aus, die ihr Fachwissen darauf aufbauen, oder enden Sie mit gefälschten Zertifikaten im Namen von Mickey Mouse oder Sponge Bob.

•  

Hybride Arbeitsumgebungen werden viele Unternehmen für Sicherheitslücken und Cyberangriffe anfällig machen

Patrick Nohe, Senior Product Marketing Manager

In den letzten zwei Jahren waren viele Unternehmen gezwungen, die digitale Transformation in aller Eile durchzuführen, nur um sozusagen die Lichter am Leuchten zu halten und die Türen offen zu halten. Dies ist normalerweise kein Prozess, der unter Zwang durchgeführt wird, und schon gar nicht in einem so kurzen Zeitrahmen. Jetzt, da wir allmählich ins Büro zurückkehren und ein Gleichgewicht zwischen Fern- und Vor-Ort-Arbeitsplätzen herstellen, beobachten wir eine beunruhigend hohe Zahl von Unternehmen, die versehentlich anfällige hybride Arbeitsumgebungen geschaffen haben. Auch wenn die natürliche Tendenz darin besteht, sich darauf zu konzentrieren, dass der Übergang zurück ins Büro sicher und reibungslos verläuft, ist es wichtig, auch weiterhin Maßnahmen zu ergreifen, um sicherzustellen, dass der digitale Arbeitsplatz Ihres Unternehmens ebenfalls sicher ist. Im Jahr 2022 wird es vermehrt zu Angriffen und Sicherheitsverletzungen kommen, die diese neu eröffneten Angriffsmöglichkeiten ausnutzen. Mit einer ständig wachsenden Anzahl von Verbindungen von Geräten und Maschinen, sowohl innerhalb als auch außerhalb Ihres Netzwerks, war es noch nie so wichtig wie heute, den Zugang zu sichern, Identitäten zu verwalten und die Risiken zu verstehen, die mit unseren neumodischen Arbeitsvereinbarungen in der Mitte und (hoffentlich irgendwann) nach der Pandemie verbunden sind. Wenn es doch nur jemanden gäbe, einen Vertrauenspartner, den Sie um Hilfe bitten könnten. . .

Biometrische Daten und digitale IDs in Afrika können zu neuen Problemen in Bezug auf Datenschutz und Überwachung führen

Arnaud Vanderroost, Vice President of Sales EMEA

Der afrikanische Kontinent hat sich die Biometrietechnologie inzwischen voll zu eigen gemacht und sich zu einer technologischen Brutstätte für Industrieländer entwickelt, die auf der Suche nach neuen Möglichkeiten in diesem Bereich sind.

Dank umfangreicher Investitionen von Organisationen wie der Weltbank waren mehrere west- und zentralafrikanische Länder in der Lage, ihr digitales Wachstum zu beschleunigen und einige der sozioökonomischen Ungleichheiten in der Region zu beseitigen.

Parallel dazu haben große Nationen wie China oder Brasilien ihre Chance genutzt, frühzeitig in eine Region zu investieren, in der eine echte Revolution bevorsteht.

Für (afrikanische) Regierungen ist die Anziehungskraft der biometrischen Identifizierung selbsterklärend: mehr Kontrolle, mehr Steuern, mehr Einnahmen, mehr Entwicklung. Für sie ist es fast ein Selbstläufer.

Für Unternehmen kann dies auch zu einem robusteren Identitätsmanagement und einem sichereren Netzwerkschutz führen.

Sogar für die Bürger kann diese Digitalisierung zu mehr Wohlstand und mehr Zugang zu verschiedenen Dienstleistungen führen, wenn die Biometrie in robuste Dienstleistungsprogramme integriert wird.

Es ist also eine Win-Win-Situation für alle.

Aber dieses ganzheitlich aufgebaute Identitätsmanagement-Ökosystem scheint vor denselben Herausforderungen zu stehen wie wir in der nördlichen Hemisphäre.

Umsetzungspläne, die der Gesetzgebung vorauseilen, und das Erreichen einer vollständigen Inklusivität der Bevölkerung sowie die Bindung von Talenten im öffentlichen Sektor sind einige der Herausforderungen, denen sich diese frisch digitalisierten Regierungen gegenübersehen.

Ganz zu schweigen von den Datenschutzbedenken hinsichtlich des Schutzes sensibler persönlicher Daten oder der illegalen digitalen Überwachung der Bürger durch einige afrikanische Regierungen, obwohl die Datenschutzrechte auf dem Papier gut geschützt sind.

Machen wir alle wieder die gleichen Fehler? Oder ist das Identitätsmanagement von vornherein mit Fehlern und Missbrauch behaftet?

•  

Die Unternehmen werden gezwungen sein, sich mit dem Cookie-Problem auseinanderzusetzen, und es könnte durchaus zu einem "Brexit Plus" im Vereinigten Königreich kommen

Richard Hancock, Technical Data Protection Officer & Security Specialist

Die Welt hat sich 2020 und 2021 dramatisch verändert, aber die Pandemie war nur eines der Ereignisse, die stattfanden. Im Bereich des Datenschutzes wurden einige der bisher höchsten Geldstrafen verhängt, wobei Google und Amazon mit einer Geldstrafe von fast 1 Milliarde Dollar an der Spitze lagen.

Was steht uns also im nächsten Jahr bevor?

Es gibt 2 heiße Themen, die in der Branche brodeln und in den Vordergrund rücken werden.

Erstens: das Thema Cookies. Diese scheinbar harmlosen kleinen Dateien auf Ihrem Computer werden als Mittel dargestellt, um das Internet schneller zu machen, aber das hat seinen Preis - Ihre Privatsphäre. Der Durchschnittsbürger ist sich heute seiner Privatsphäre viel bewusster und weiß, wie Unternehmen Cookies einsetzen, um jede seiner Bewegungen zu verfolgen. Super-Cookies, die auf lokale Zwischenspeicher zurückgreifen, verschärfen das Problem nur noch. Im nächsten Jahr werden die Browseranbieter gezwungen sein, sich mit diesem Problem zu befassen. Google und Mozilla haben sich bereits verpflichtet, aber sie sind nicht die Einzigen. Könnten diejenigen, die das Problem bereits bekämpfen, ihre Zeitpläne vorziehen? Die öffentliche Dynamik wird nur zunehmen, und da Unternehmen wie Meta immer wieder wegen Datenschutzverletzungen in die Schlagzeilen geraten, wird auch der gelegentliche Internetbesucher informiert und zum Handeln ermutigt.

Wir werden alle mit Cookie-Wänden und Bannern bombardiert, wenn wir Websites besuchen, und das bringt mich zum zweiten heißen Thema, das im Jahr 2022 ansteht. Die britische Regierung und die Regulierungsbehörden haben beschlossen, dass diese Eingriffe nicht zu einem positiven Web-Erlebnis beitragen, und sprechen daher über eine Abweichung von der EU-DSGVO, um einen "Alleingang" zu wagen. Auch wenn die Details noch sehr vage sind, ist eines sicher: Das Vereinigte Königreich kann nicht zu weit gehen, wenn es die Beziehungen und die Wege des Datenverkehrs offen halten will, damit die Unternehmen weiterhin effizient arbeiten können. Natürlich ist dies alles auf das Fehlen einer korrekten Cookie-Verwaltung durch die Herausgeber von Websites zurückzuführen. Sollte das Gesetz geändert werden und unsere globalen Datenfähigkeiten gefährden - oder sollten wir einfach Datenschutzbeauftragte, Webentwickler und andere Beteiligte dazu erziehen, es besser zu machen? Im Jahr 2022 könnte es im Vereinigten Königreich zu einem "Brexit Plus" kommen, und wer weiß, wohin das führen wird.

Sicherheitsstandards werden sich branchenübergreifend ändern

Rosa Miramontes, Account Manager, Spain

• - Zertifikate mit kürzerer Lebensdauer in mehr Branchen
• - Regierungen werden stärkere und bessere Sicherheitsmaßnahmen einführen (und einfordern)
• - Remote Working wird für mehr Unternehmen zum Muss – mehr Remote-Services – allerdings auch mehr individuelle Angriffe auf Mitarbeiter
• - Dokumente mit biometrischen Daten signieren