IT-Sicherheit 2021 Größere Angriffsfläche und zu wenig Fachkräfte

Redakteur: Peter Schmitz

Durch die Veränderungen im Jahr 2020 wurde die Digitalisierung in Deutschland stark forciert. Gerade, was Homeoffice angeht, musste zunächst einiges improvisiert werden, jetzt geht es darum, diese neuen Architekturen nachhaltig zu konsolidieren. Gleichzeitig setzen sich auch langfristige Trends, wie neue Regularien, Edge Computing oder Fachkräftemangel fort. Utimaco stellt 4 Trends vor.

Firmen zum Thema

Während 2020 im Zeichen des Wandels stand, unzählige heimische Arbeitsplätze eingerichtet wurden und sich die Netzwerkinfrastrukturen und -anforderungen veränderten, gilt es in diesem Jahr, die neuen Architekturen nachhaltig zu konsolidieren.
Während 2020 im Zeichen des Wandels stand, unzählige heimische Arbeitsplätze eingerichtet wurden und sich die Netzwerkinfrastrukturen und -anforderungen veränderten, gilt es in diesem Jahr, die neuen Architekturen nachhaltig zu konsolidieren.
(Bild: gemeinfrei / Pixabay )

1. Cloud aber sicher

Zwar gilt Deutschland bei neuen Technologien eher als konservativ, doch der Siegeszug der Cloud ist auch hierzulande nicht mehr aufzuhalten. Gerade bei verteiltem Arbeiten spielen Cloud-basierte Infrastrukturen ihre großen Vorteile aus. Dennoch haben Unternehmen immer noch – durchaus gerechtfertigte – Bedenken, was Datenschutz und Informationssicherheit angeht. Das muss man auch vor dem Hintergrund von Gesetzen wie dem US Cloud Act sehen, die gerade erst dazu geführt haben, dass der oberste EU Gerichtshof die Datenübertragung zwischen Europa und den USA für datenschutzrechtlich unsicher erklärt hat. Um die eigenen Daten sowie die Daten ihrer Kunden zu schützen, setzen daher immer mehr Unternehmen auf Verschlüsselung an allen Stellen ihrer IT. Mit Bring Your Own Key (BYOK) lässt sich auch bei Cloud-Nutzung verhindern, dass Hacker mit kompromittierten Accounts des Providers auf Daten zugreifen können. Bei diesem Verfahren erzeugen Unternehmen die zur Kryptographie benötigten Schlüssel selbst und haben über die dabei eingesetzten Hardware-Sicherheitsmodule eine weitergehende eigene Kontrolle. Die tatsächliche Verschlüsselung geschieht allerdings immer noch beim Provider, was bedeutet, dass die Entschlüsselung und Herausgabe von Daten erzwungen werden könnte. Hold Your Own Key (HYOK) erlaubt es Unternehmen dagegen, die gesamte Kryptographie in-house durchzuführen. Sie übertragen nur bereits verschlüsselte Daten in die Cloud, und der Provider hat selbst keine Möglichkeit der Entschlüsselung.

2. Breitere Vernetzung bedeutet mehr Angriffsfläche

Das Internet der Dinge oder IoT ist längst ein etablierter Begriff. Mittlerweile ist auch immer häufiger von Industrial Internet of Things (IIoT) die Rede – also der Vernetzung von Maschinen und Produktionsanlagen. Systeme, die früher isoliert für sich existiert haben, werden nun vernetzt und sind damit auch verwundbar. Traditionell waren IT und OT (Operational Technology) klar voneinander abgegrenzt. Dadurch waren die OT-Systeme mit ihren langen Lebenszyklen vor Angriffen von außen geschützt. Immer wenn nun Smart-Factory-Konzepte umgesetzt werden, müssen Unternehmen verhindern, dass nicht plötzlich kaum oder gar nicht geschützte OT-Systeme über das Internet angreifbar werden. Dazu benötigen sie sichere Schnittstellen zwischen den beiden Systemen. Kryptografie hilft hier, die verschiedenen Sicherheitsniveaus der Netze zu trennen, automatische Updates in der Produktionsumgebung abzusichern sowie die Integrität und Auditierbarkeit der Daten jederzeit zu garantieren. Mittels Key Injection bei der Produktion werden auch vernetzte Bauteile selbst vor Fälschungen geschützt.

3. IT-Sicherheit besonders von Fachkräftemangel betroffen

Das Fehlen gut ausgebildeter Fachkräfte ist allgemein ein Problem für die deutsche Wirtschaft. In der IT tritt es noch einmal deutlicher zutage und besonders, wenn es um die IT-Sicherheit geht. Aktuell fehlen weltweit mehr als drei Millionen Cybersicherheits-Experten. Gleichzeitig müssen sich durch die beschleunigende Digitalisierung immer mehr Unternehmen und Organisationen mit diesen Fragen befassen. Angriffe durch Hacker sind längst nicht mehr nur ein Problem großer Konzerne, auch kleine und mittelständische Firmen müssen sich mit dieser Bedrohung auseinandersetzen. Die beschleunigte Digitalisierung von Gesundheitswesen, öffentlicher Verwaltung und Schul- wie Hochschulwesen vergrößert den Bedarf nach IT-Sicherheit und die damit einhergehende Expertise. Doch gerade dort ist die einschlägige Erfahrung bisher gering ausgeprägt. Daher ist schon seit einiger Zeit der Trend zu beobachten, dass spezielle Sicherheitsfunktionen verstärkt in Plattformen und Services zusammengefasst werden. Die Nachfrage wird auch im neuen Jahr weiter zunehmen und Unternehmen werden vor allem auch nach Partnern suchen, die ihnen alles aus einer Hand bieten. Hier ist es umso wichtiger, auf die Vertrauenswürdigkeit und einschlägigen Zertifizierungen der Anbieter zu achten.

4. Neue Regularien

Im Bereich der rechtlichen Rahmenbedingungen wird es 2021 einige Neuerungen geben, dazu gehören etwa PCI 3.0 im Payment Bereich, Regelungen für den Automobilsektor der UNECE oder der EU Cyber Security Act. Besonders für Deutschland relevant ist das sogenannte IT-Sicherheitsgesetz 2.0. Es liegt in einem ersten Entwurf bereits seit 2019 vor. Nun wurde es nochmals modifiziert und man kann davon ausgehen, dass es im Laufe des Jahres 2021 verabschiedet wird. Eine der wichtigsten Implikationen des neuen Gesetzes ist die Bestimmung, dass in kritischen Infrastrukturen (KRITIS) nur noch Komponenten verbaut werden dürfen, die über ein vom BSI (Bundesamt für Sicherheit in der Informationstechnik) vergebenes IT-Sicherheitskennzeichen verfügen. Hersteller vernetzter Komponenten müssen zudem gegenüber KRITIS-Betreibern eine Garantieerklärung abgeben, die sich über die gesamte Lieferkette erstreckt. Bei Verstößen gegen das neue Gesetz sollen empfindliche Bußgelder drohen, bis zu 20 Millionen Euro oder vier Prozent des weltweit im vergangenen Geschäftsjahr erzielten Jahresumsatzes. Unternehmen in „besonderem öffentlichen Interesse“ müssen zudem ein IT-Sicherheitskonzept beim BSI vorlegen, wofür sie nach Veröffentlichung zwei Jahre Zeit haben. Welche Unternehmen dazuzählen soll noch in einer Liste spezifiziert werden.

(ID:47057388)