Im kommenden Jahr wird es nach Einschätzung der TÜV TRUST IT zu durchgreifenden Veränderungen in der Security-Politik der Unternehmen kommen. Dazu gehören neue Prinzipien im Investitionsverhalten ebenso wie eine verstärkte Absicherung der Cloud-Dienste durch Zertifizierungen. Die Umsetzung des IT-Sicherheitsgesetzes wird hingegen durch deutliche Verzögerungen geprägt sein.
„Unsere Erwartungen von Anfang 2015, dass die Informationssicherheit der Unternehmen einen spürbaren Wandel vollziehen wird, hat sich im Rückblick deutlich bestätigt“, resümiert Detlev Henze, Geschäftsführer der TÜV TRUST IT, die IT-Security-Entwicklungen des aktuellen Jahres. „Die wachsende Digitalisierung und eine höhere Sensibilität für die heutigen Sicherheitsgefahren haben auch im Top-Management dazu geführt, ein größeres Engagement in der Risikovorsorge zu entwickeln.“ Allerdings sei die bisherige Realisierung des IT-Sicherheitsgesetzes aufseiten der politischen Administration enttäuschend verlaufen. „So konnte das IT-Sicherheitsgesetz noch nicht bei allen KRITIS-Unternehmen als Orientierungshilfe für die Security Strategien verwendet werden“, kritisiert Henze. Für 2016 erwartet die TÜV TRUST IT vor allem folgende Trends:
* Zielgerichtetere Security-Ausgaben: Die Zeit ist schon länger reif dafür, dass die Unternehmen ihre Investitionen gezielter nach den tatsächlichen Sicherheitsbedrohungen einsetzen müssen. Bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht, doch längst nicht jede Security-Gefahr erzeugt die gleichen Unternehmensrisiken. Weil sich die Investitionsbudgets für die Investitionssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, werden die Firmen im kommenden Jahr das bisherige Gießkannenprinzip vermehrt aufgeben. Stattdessen wird sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert.
* Größeres Augenmerk für die Informationswertermittlung: Unternehmen weisen eine große Vielfalt an Informationen auf, die in ihrer Schutzwürdigkeit keinesfalls gleich gewichtet werden können. Während etwa die Konstruktionspläne eines Herstellers einen hohen Informationswert aufweisen, weil sie vermarktungsrelevante Innovationen in sich bergen, erzeugen operative Planungsinformationen typischerweise nur einen geringen Schaden, wenn sie in die Hand Unbefugter gelangen. Allerdings wird erst selten eine solche Unterscheidung nach Informationswerten vorgenommen, weshalb mitunter in den Schutz weniger relevanter Daten investiert wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Insofern kommt der Informationswertermittlung eine deutlich steigende Bedeutung für die Priorisierung der Sicherheitsmaßnahmen zu.
* IT-Sicherheitsgesetz wirkt langsamer als geplant: Da es bei der operativen Umsetzung des IT-Sicherheitsgesetzes bereits zu deutlichen Verzögerungen gekommen ist, wird es sich im kommenden Jahr nur für einige Teile der Wirtschaft zu einem zentralen Thema entwickeln. Nach derzeitigen Stand werden die Rechtsverordnungen für die ersten KRITIS-Sektoren Energie, Informations- und Kommunikationstechnologie, Wasser und Ernährung bis Ende des erstens Quartals 2016 erlassen. Anschließend beginnen die Fristen für die Umsetzung des Gesetzes, sodass sich der Realisierungsbeginn der gesetzlichen Anforderungen durch die Unternehmen mehrheitlich auf die zweite Jahreshälfte verschiebt. Da die Rechtsverordnungen für weitere KRITIS-Branchen wie Finanzdienstleistungen, Handel und Logistik sowie Gesundheit erst für den Herbst erwartet werden, wird das IT-Sicherheitsgesetz vermutlich kaum vor 2019 vollständig umgesetzt sein.
* Informations-Sharing statt Einzelkämpfertum: Probleme in der IT-Sicherheit gehören seit jeher zu den Themen, über die Unternehmen öffentlich den Mantel des Schweigens legen. Der jeweils individuelle und abgeschottete Umgang mit den Gefahren begrenzt jedoch deutlich die Möglichkeiten, wirkungsvolle Maßnahmen zur Risikominderung zu entwickeln. Notwendig ist vielmehr ein Info-Sharing, wozu das IT-Sicherheitsgesetz aufgrund der Meldepflicht von Sicherheitsvorfällen einen Beitrag leisten wird. Allerdings fehlt es noch an einer organisatorischen Plattform, über die Unternehmen an den generierten Informationen zu den Sicherheitsvorfällen unmittelbar
partizipieren können, damit sie daraus substanzielle Rückschlüsse für die eigenen Präventionsmaßnahmen ziehen können.
* Zahl der DDoS-Angriffe wird sehr dynamisch steigen: Gerade erst waren der Store und die Entwicklerdienste von Apple Ziel massiver DDoS-Attacken, indem die Server mit einer Unmenge an Abfragen überflutet wurden. Auch große Bankenorganisationen traf es zuletzt, indem versucht wurde, sie mithilfe von Distributed Denial of Service-Angriffen zu erpressen. Solche Fälle werden im kommenden Jahr fast zur Tagesordnung gehören. Zudem wird ihre Intensität stetig zunehmen, nachdem dieses Jahr schon Angriffe mit einer Dauer von bis zu 300 Stunden festgestellt wurden.
* Applikationen zunehmend Ziel der Sicherheitsattacken: Standen bislang die IT-Infrastrukturen im Mittelpunkt krimineller Cyber-Maßnahmen, so geraten immer mehr weit verbreitete Applikationen in den Fokus der Angriffe. Sie machen sich hierfür oftmals den Datenaustausch zwischen verschiedenen Business-Systemen zunutze, indem sie über Systeme mit niedrigen Sicherheitseinstellungen einsteigen und sich darüber zu den relevanteren Systemen vorarbeiten. Dabei kommt ihnen beispielsweise entgegen, dass Unternehmen häufig zu lange benötigen, um neue Sicherheitspatches einzuspielen.
* Cloud-Zertifizierung wird zum Pflichtprogramm: Nachdem Cloud-Dienste im Markt nun endgültig Fuß gefasst haben und sie nun auch in der Breite auf Akzeptanz stoßen, können sich die Unternehmen auch nicht an der damit verbundenen Sicherheitsproblematik vorbeimogeln. Damit die Dienste nicht als sicherheitstechnische Blackbox wirken, weil beispielsweise die Prozesse, IT-Systeme und Infrastruktur des Cloud-Providers nicht transparent und differenziert dokumentiert sind oder unklare Vertragspflichten der Cloud-Provider bestehen, bedarf es ISO-basierter Zertifizierungen der Dienste.
* Cyber-Versicherungen gewinnen stark an Bedeutung: Die wirtschaftlich schwer zu kalkulierenden und bis zur massiven Existenzgefährdung reichenden Konsequenzen von Sicherheitsvorfällen machen es zunehmend unabdingbar, den möglichen Eigenschaden ebenso wie Vermögensschäden Dritter abzusichern. Diese Versicherungssparte als Reaktion auf die steigende Internetkriminalität ist hierzulande noch relativ jung, wird sich aber vermutlich wie andere Versicherungsarten für Unternehmen schon bald als Selbstverständlichkeit etablieren. Sie kann allerdings kein Ersatz für fehlendes Engagement in der Informationssicherheit sein, sondern hat nur komplementäre Funktion.
Über die TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA
Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.
https://www.it-tuv.com/
TÜV TRUST IT GmbH Geschäftsführung:
Unternehmensgruppe Detlev Henze, Dipl.-Ing. Harald Montenegro, MSc
TÜV AUSTRIA HRB 66812
Waltherstraße 49–51 USt.-ID DE266780629
51069 Köln
Tel. +49 (0)221 96 97 89 – 0
Fax +49 (0)221 96 97 89 – 12
www.it-tuv.com