Blog: Die fünf grössten IT-Sicherheitsherausforderungen 2016

11.01.2016

Sind Sie bereit für diese fünf Sicherheitsherausforderungen des Jahres 2016?

Nachdem das neue Jahr begonnen hat, ist es nun für IT-Fachleute an der Zeit, die Aufmerksamkeit auf die kommenden Monate zu richten und sich auf die Herausforderungen des Jahres vorzubereiten.

Für Sicherheitsexperten wird 2016 ein wichtiges Jahr, die neue EU-Datenschutzgrundverordnung wird voraussichtlich endlich verabschiedet, verschiedene Technologien gewinnen auch im Unternehmenskontext an Bedeutung, und natürlich gibt es immer wieder neue Risiken, die adressiert werden müssen, damit vertrauliche Unternehmensdaten so gut wie möglich geschützt sind.

In dem Sinne stelle ich hier die aus meiner Sicht fünf wichtigsten Herausforderungen der kommenden 12 Monate vor.

1. Hintertüren in Verschlüsselungslösungen

Nach den Terroranschlägen des vergangenen Jahres steht der Zugriff von Regierungsbehörden auf geschützte Kommunikation wieder im Mittelpunkt politischer Diskussionen – verschiedene Ländern planen Gesetze, die Technologieanbieter zum Einbau sogenannter Hintertüren verpflichten würden, damit Geheimdienste und Sicherheitsbehörden verschlüsselte Nachrichten lesen können.

Dass dadurch mehr Probleme entstehen als gelöst werden, habe ich bereits in einem früheren Artikel zu den Risiken solcher Vorhaben geschrieben, mal abgesehen von den damit verbundenen praktischen Problemen, zum Beispiel die Tatsache, dass Kriminelle früher oder später ebenfalls einen Weg durch die Hintertür finden.

2. Insider-Bedrohungen

In vielen Unternehmen kommen die grössten Risiken im Jahr 2016 nicht von jenseits der Unternehmensgrenze, sondern von innen – durch Mitarbeiter, die Informationen abfliessen lassen. Ob der Grund dafür nun Nachlässigkeit oder Vorsatz ist, das Ergebnis ist das gleiche und kann dem betroffenen Unternehmen massive Probleme bereiten.

Um das zu verhindern, müssen strikte Sicherheitsvorschriften und -prozesse eingeführt und eingehalten werden. Diese sollten möglichst automatisiert im Hintergrund ablaufen, so dass sie nicht aus Versehen vergessen oder aktiv umgangen werden können. Zum Beispiel können Firmen sicherstellen, dass ausgehende E-Mails, die vertrauliche Daten wie Kreditkartennummern enthalten, automatisch verschlüsselt werden, ohne dass der Versender dafür etwas tun muss. Darüber hinaus ist ein abgestuftes Berechtigungsmanagement sinnvoll, bei dem jeder Nutzer nur die Rechte erhält, die er gemäss seiner Rolle tatsächlich benötigt.

3. Wachsende Schatten-IT

‚ByoD’ hat sich mittlerweile vom Trend zur Massenbewegung im Sinne von ‚ByoX’ („Bring your own everything“) gewandelt, neben eigenen Geräten sind es vor allem Apps oder Programme, die ohne Segen der IT-Abteilungen im Einsatz sind und daher nie auf potentielle Sicherheitsrisiken getestet wurden.

Es liegt daher an den Sicherheitsfachleuten, den Überblick über die wachsende Schatten-IT zu behalten und die User zur Nutzung zugelassener Programme und Dienste zu bewegen. Dafür sollten sie sich für eine Verbesserung der Nutzerfreundlichkeit der Dienste stark machen, denn ein schlechtes Nutzungserlebnis und mangelnde Funktionalität sind die vorherrschenden Gründe, aus denen Anwender auf weniger sichere Konsumentenlösungen ausweichen.

4. Internet of Things: Angreifbare Maschinen-Kommunikation

Das Internet of Things (IoT) bzw. Internet der Dinge ist einer der grossen IT-Trends, die Unternehmen und Verbraucher gleichermassen in diesem Jahr und darüber hinaus beschäftigen wird. Wie InformationWeek berichtet, sagen Analysten für 2016 weltweit ein starkes Wachstum der Zahl vernetzter ‚Dinge’ voraus. Diese kommunizieren miteinander und tauschen in vielen Fällen vertrauliche Daten aus.

Die Übertragung dieser Daten zu sichern ist entscheidend und sollte durch die ausschliessliche Nutzung verschlüsselter Transferprotokolle erreicht werden. Aber selbst wenn das der Fall ist, kann die Sicherung zur Herausforderung werden, da viele Hersteller das gleiche Schlüsselmaterial für alle Devices nutzen, wodurch Schwachstellen entstehen. Insbesondere bei IoT-Devices im Konsumentenbereich ist es bereits dazu gekommen, dass Geräte gehackt wurden, zum Beispiel die Hello-Barbie-Puppe, durch die jeder, der über das entsprechende Wissen verfügt, in der Lage ist, die Gespräche zwischen Kindern und ihrer Barbie zu belauschen. Darüber hinaus ist das Bewusstsein für die Sicherheitsimplikationen von IoT im Unternehmen grundsätzlich mangelhaft, ein Problem, das schnell adressiert werden muss.

5. Die Cloud (nur) mit Bedacht einsetzen

Die Nutzung der Cloud von Unternehmen ist kürzlich in den Fokus gerückt, nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen für ungültig erklärt hat. Das Abkommen hatte US-Unternehmen erlaubt, zu erklären, dass ihre Systeme den EU-Datenschutzrichtlinien entsprechen.

Es bleiben Fragen darüber, wie sicher genau Daten in der Cloud wirklich sind – insbesondere da die US-Regierung das Recht fordert, auf E-Mails von Providern mit Hauptsitz in den USA zuzugreifen, selbst wenn die Daten auf Servern ausserhalb des Landes liegen. Daher sollte die Cloud nur zur Speicherung nicht-vertraulicher Daten genutzt werden oder Daten dort nur in verschlüsselter Form gespeichert werden. Mehr erfahren Sie in meinem Blog-Beitrag ‚Sicherheit in der Wolke’.

Verantwortlichkeiten verstehen 

Was uns diese Herausforderungen vor Augen führen sollten, ist dass wir zum Schutz unserer Infrastruktur selbst aktiv werden müssen. Denn Vertrauen ist nicht an Dritte wie Cloud-Anbieter oder IoT-Hersteller delegierbar.


von Marcel Mock, CTO, totemo ag