„Viele Anzeichen sprechen für einen spürbaren Wandel der Informationssicherheit von Unternehmen“, registriert Detlev Henze, Geschäftsführer der TÜV TRUST IT, deutliche Veränderungen. „Sie verstehen sich zunehmend als digital agierende Organisationen und sind sich immer deutlicher bewusst, dass den vielfältigen Vorteilen der Digitalisierung auch neue Sicherheitsrisiken gegenüber stehen.“ Als Konsequenz werde die bislang oft reaktive Position verlassen und verstärkt eine vorwärts orientierte Ausrichtung gesucht, was sich nach Einschätzung von Henze jedoch noch nicht dynamisch genug vollzieht. „Die Richtung stimmt, aber die Veränderung des Selbstverständnisses könnte sich angesichts der vielfältigen und teils sehr tiefgreifenden Herausforderungen durchaus noch etwas offensiver darstellen.“
TÜV TRUST IT hat die wichtigsten Security-Trends zusammengestellt, die 2015 für die Unternehmen von besonderer Bedeutung sein werden:
•Rechtliche Rahmenbedingungen verschärfen sich: Insgesamt wächst in Sachen Informationssicherheit der Compliance-Druck für Unternehmen. Dies betrifft nicht nur Banken durch das Kreditwesengesetz (§44 KWG) und die Mindestanforderungen an das Risikomanagement (MaRisk) oder Solvency für Versicherungen. Sondern insbesondere durch das in 2015 zu erwartende IT-Sicherheitsgesetz werden sich weite Teile der Wirtschaft mit steigenden Anforderungen konfrontiert sehen, mehr in die Risikovorsorge ihrer Informationssicherheit zu investieren.
•Cyber-Attacken nehmen massiv zu: Das aktuelle Beispiel Sony zeigt sehr deutlich, wie die Cyber-Kriminalität mit ihrem technischen Kreativpotenzial die Grenzen der Sicherheitssysteme von Unternehmen aufzeigen kann. Die Motive für Attacken werden immer vielfältiger, weshalb es nicht mehr ausreicht, die digitalen Gefahren mit klassischen Methoden oder gar mit zurückhaltenden Sicherheitsstrategien zu bekämpfen. Dies gilt gerade für Unternehmen mit kritischen Infrastrukturen.
•Abschied von der Informationssicherheit nach dem Gießkannenprinzip: Auch die Informationssicherheit unterliegt wirtschaftlichen Restriktionen und Ressourcenbeschränkungen. Insofern müssen Unternehmen ermitteln, mit welchem Aufwand sie sich auf welche Risiken konzentrieren wollen, da ihre Informationen eine unterschiedliche Schutzbedürftigkeit aufweisen. Solche Wertbestimmungen von Informationen sind bislang jedoch kaum vorgenommen worden, werden aber verstärkt als Instrument zur strategischen Ausrichtung des Sicherheitsmanagements zum Einsatz kommen.
•Trends bekommen einen neuen Denkansatz: Aktuelle Trends wie Industrie 4.0 oder Internet der Dinge (IoT) befinden sich noch in einer relativ frühen Phase ihrer Entwicklung. Aus Sicht der Internetsicherheit besteht damit die Chance, sich mitgestaltend einzubringen. Dadurch kann der Fehler wie bei bisherigen technologischen Entwicklungen vermieden werden, Sicherheitsfragen erst im Nachhinein zu betrachten. Auch weil die wachsenden Gefahren durch Cyberkriminalität die Sicherheitssensibilität gesteigert haben, ist bei diesen Trends eine verstärkte Diskussion in Richtung Security by Design zu erwarten.
•Cloud-Services werden von Bremseffekten befreit: Die Verbreitung und Nutzenakzeptanz der Cloud-Services können sich nur dann nachhaltig entwickeln, wenn die damit einhergehenden Sicherheits- und Compliance Fragen gelöst werden. Dies betrifft einerseits die Anwender, die in systematischen und fest etablierten Verfahren genau prüfen müssen, welche Services sie in die Cloud auslagern können und dürfen. Andererseits stehen die Anbieter in der Pflicht, sichere Lösungen und Plattformen zur Verfügung zu stellen. Dazu gehört die Speicherung der Geschäftsinformationen nach den deutschen bzw. europäischen Datenschutzbestimmungen. Anwender wie Provider haben in dieser Hinsicht bisher noch eine zu große Zurückhaltung gezeigt, werden sich aber zwangsläufig deutlich stärker der Cloud-Security widmen.
•App-Sicherheit wird ernster genommen werden: Weil immer mehr Geschäftsprozesse mobil werden und demzufolge auch der Nutzungsgrad der mobilen Endgeräte deutlich steigt, darf den Security-Aspekten von Apps keine Randbedeutung beigemessen werden. Der Fokus muss vielmehr darauf gerichtet werden, dass bereits im technischen Entwicklungskonzept ein hohes Sicherheitsbewusstsein zum Tragen kommt (Security by Design). Gleichzeitig müssen die Unternehmen mit einem systematischen Ansatz eine kontinuierliche Überprüfung der mobilen Anwendungen, die im Unternehmenskontext genutzt werden, aus dem App-Store vornehmen. Zwar bestand im letzten Jahr eine deutlich erhöhte Nachfrage nach dokumentierter Sicherheit durch App-Prüfsiegel. Angesichts der dynamisch wachsenden Zahl mobiler Anwendungen im Markt besteht hier jedoch noch ein deutlicher Nachholbedarf.
•Größere Security-Transparenz für das Management: Die Problemstellungen und Sicherheitsmaßnahmen werden immer mehr zum Thema für das Management. Allerdings haben die Security-Informationen vielfach entweder einen technischen Charakter oder sind sehr komplex, sodass sie sich für Entscheidungen auf der Geschäftsleitungsebene nicht eignen. Aus diesem Grund wird es zu Usable Security- und Visualisierungslösungen für das Management kommen, damit es zur besseren Steuerungsfähigkeit Entscheidungen aus der Geschäftsprozesssicht treffen kann.
•Die Anomalien-Erkennung muss sich neu erfinden: Fast alle IT-Systeme sind heutzutage in unterschiedlicher Weise durch Schadsoftware kontaminiert. Als Konsequenz entsteht die Frage, wie sich in einer solchen Situation ein Normalzustand feststellen lässt, um daraus abgeleitet wirkungsvoll auf Angriffe reagieren zu können. Demzufolge muss eine neue Generation intelligenter Frühwarnsysteme für die Anomalie-Erkennung entwickelt werden, die den veränderten Bedingungen gerecht werden.