Thought Leadership
Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse zu rekapitulieren und Ausblicke auf aktuelle Trends zu wagen. Welche Vorfälle haben die Welt 2018 besonders erschüttert, welche Entwicklungen kamen der IT-Sicherheit zu Gute und auf welche Bedrohungen sollten sich Unternehmen im Jahr 2019 vorbereiten?
Rückblick 2018: Vom Rückzug der Ransomware bis zu schweren Datenschutzverletzungen
Ruft man sich die Situation vor einem Jahr und die Voraussagen für 2018 ins Gedächtnis, wird eines klar: Das große Schreckgespenst des vergangenen Jahres – die Ransomware – ist fürs Erste wieder in der Versenkung verschwunden, denn bereits in der ersten Jahreshälfte 2018 wurde der Krypto-Trojaner vom Thron der beliebtesten und gefürchtetsten Angriffstools (Stichwort: WannaCry) gestoßen. Vielmehr konzentrierten sich Cyberangreifer nun vermehrt auf Krypto-Mining, d.h. den Missbrauch gekaperter Rechenleistung, um Digitalwährungen wie Bitcoin und Monero zu schürfen. So waren schädliche Krypto-Miner im ersten Halbjahr für 32 Prozent der Malware- Angriffe verantwortlich, während nur bei 8 Prozent der Vorfälle Ransomware im Spiel war. Noch wenige Monate zuvor war dieses Verhältnis fast umgekehrt, wie der Vulnerability and Threat Trend Report von Skybox gezeigt hat.
Die besorgniserregendsten Schlagzeilen rund um Cyberattacken betrafen indes nicht das Phänomen des Krypto-Minings, sondern großangelegte Datendiebstähle und Datenschutzverletzungen. Denn auch im Jahr 2018 haben es viele Unternehmen wieder einmal nicht geschafft, ihre sensiblen Daten und insbesondere die Daten ihrer Kunden vor Hackern zu schützen – und das trotz des Inkrafttretens der DSGVO im Mai. So auch die Fluglinie British Airways, von der Hacker ganze 380.000 Bank- und Kreditkartenzahlungen erbeuten konnten.
Noch schlimmer traf es jedoch freilich Facebook: Nachdem im Frühjahr der Skandal rund um Cambridge Analytica und die zweckwidrige Weitergabe von Daten von rund 87 Millionen Facebook-Nutzern publik wurde, musste der Internetgigant im Herbst erneut einen groben Sicherheitsfehler eingestehen. Die Kompromittierung von 50 Millionen Accounts beschädigte nicht nur das Vertrauen der Nutzer weiter, sondern rief auch die Datenschutzbehörden der EU auf den Plan.
Ausblick 2019: Von hohen Bußgeldern bis zu IoT-Angriffen
Die Datenverstöße bei Facebook und British Airways und das vermutliche Interesse der Behörden an diesen Fällen bietet nun auch eine gute Überleitung zu den Trends für das Jahr 2019, denn die DSGVO, ihre Auswirkungen und Datenschutz im Allgemeinen werden auch im kommenden Jahr nicht aus den Schlagzeilen kommen.
2019 – Das Jahr der großen Bußgelder!?
Der 25. Mai 2018 ist für Datenschützer ein historisches Datum, denn an diesem Tag trat nach einer Schonfrist von zwei Jahren die Datenschutz-Grundverordnung der EU endgültig in Kraft. Fortan gelten für Unternehmen auf der ganzen Welt strenge Vorschriften was die Speicherung, Weitergabe und den Schutz personenbezogener Daten von EU-Bürgern betrifft. Bei Verstößen gegen die neuen Verordnungen und Gesetze, etwa was Datenmissbrauch aufgrund unzureichender Sicherheitstechnologien oder die Anzeige von Datenschutzverletzungen angeht, drohen Bußgelder von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes.
Waren die Bußgelder bei fahrlässigen Datenschutzverstößen schon in „ante DSGVO“-Zeiten beachtlich – so wurde dem Finanzdienstleister Equifax für seinen im Jahr 2017 zurückliegenden Datenverstoß im vergangenen Jahr eine Strafe von 500.000 Pfund auferlegt – müssen sich die Unternehmen bei Fehlverhalten ab sofort auf noch empfindlichere Geldbußen einstellen. Ich gehe stark davon aus, dass in den kommenden Monaten das eine oder andere Unternehmen von den Behörden zur Kasse gebeten wird und Strafen in Millionenhöhe anstehen. Den Anfang könnten z.B. Facebook machen oder aber British Airways, bei denen in den letzten Monaten in Sachen Datenschutz so einiges falsch gelaufen ist.
Verschärfung des Datenschutzes auf der ganzen Welt
Sowohl mit Inkrafttreten der DSGVO als auch der Verabschiedung des California Consumer Privacy Acts hat das Jahr 2018 einen Meilenstein für das Recht der Bürger auf Privatsphäre und den Schutz personenbezogener Daten erreicht. Und dieser Trend wird sich im kommenden Jahr gewiss weiter fortsetzen, denn immer mehr Regierungen haben die Notwendigkeit erkannt, ihre Bürger aktiver vor Datenmissbrauch zu schützen und die Unternehmen, die mit der Verarbeitung dieser Daten immerhin enorme Gewinne erzielen, stärker in die Verantwortung zu nehmen. In Zeiten in denen Daten das „neue Öl“ sind und Kredit- oder Patientendaten im Darknet zu Höchstpreisen gehandelt werden, wird es Zeit, dass auch der Rest der Welt seine Gesetze in Bezug auf personenbezogene Daten und ganz speziell auch IoT-Geräte weiter verschärft. Es gilt sicherzustellen, dass die Standards der Cybersicherheit zum Schutz der Daten auf einem Niveau liegen, das dem tatsächlichen Wert der Daten auch entspricht.
Privilegierte Accounts bleiben beliebtes Einfallstor für Hacker
Auch im Jahr 2019 werden E-Mails und kompromittierte privilegierte Unternehmenskonten die beliebtesten Angriffsvektoren sein, über die sich Cyberkriminelle Zugang zu Systemen und sensiblen Daten verschaffen. Tatsache ist, dass Social Engineering etwa über Phishing-Mails und damit das fahrlässige Fehlverhalten von Mitarbeitern niemals ganz unterbunden werden kann und für Unternehmen immer ein Risiko darstellen wird. So ist Social Engineering für 56 Prozent der Hacker die schnellste Methode, um Netzwerke zu infiltrieren, wie die BlackHat-Umfrage von Thycotic zu Tage brachte. Umso wichtiger ist es, dass Unternehmen ihre sensiblen Accounts und Konten mit weitrechenden Berechtigungen mit Hilfe einer Least Privilege-Policy so gut es geht einschränken und Sitzungen privilegierter Konten stets im Blick haben.
Die Analysten von Gartner haben Privileged Account Management (PAM) als Top-Priorität für CIOs im Jahr 2018 gelistet – und das zu Recht, denn nur rund 25 Prozent der Unternehmen haben bis jetzt eine effektive PAM-Lösung im Einsatz, die diese wichtigen Funktionalitäten auch erfüllt. Im Jahr 2019 ist es nun an der Zeit, die Kontrolle über die privilegierten Konten zurückzugewinnen und etwaige Versäumnisse aus der Welt zu schaffen. Auch in Hinblick auf die Vorschriften der DSGVO.
IoT & KI: Der Angriff der Maschinen
Die Entwicklung des Internets der Dinge ist in den letzten Jahren so rasant vorangeschritten – und zwar in allen Industriebereichen –, dass die IT-Sicherheit kaum hinterhergekommen ist. Neue Plattformen wie vernetzte Fahrzeuge, industrielle Steuerungsanlagen und Embedded Systeme werden das Scherheitsumfeld deshalb im kommenden Jahr ganz besonders herausfordern. Dass das Internet der Dinge aus Security-Sicht mit vielen Risiken verbunden ist, wurde auch in diesem Jahr reichlich diskutiert. Das wahre Ausmaß von Angriffen auf und Manipulationen über IoT-Geräte wird uns aber vermutlich erst demnächst vor Augen geführt werden. IoT-Attacken werden dann wahrscheinlich nicht nur Störungen und finanzielle Verluste nach sich ziehen, sondern eventuell auch Verletzungen von Leib und Leben verursachen, wenn etwa vernetze Fahrzeuge oder Medizingeräte betroffen sind.
Bleibt zu hoffen, dass wir im Jahr 2019 von größeren IoT-Angriffen verschont bleiben, denn gerade für den Cyberterrorismus dürfte das IoT besonders attraktiv sein. Noch düsterer ist der Blick jedoch in die entfernte Zukunft, denn wenn IoT-Geräte erst einmal von künstlicher Intelligenz gesteuert werden, ist ihre Kontrolle fast unmöglich.
Markus Kahmen, Regional Director CE, Thycotic, https://thycotic.com/
