Security-Prognosen 1: Von Arctic Wolf, Armis, Check Point und CyberArk

Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, einem führenden Anbieter von Security Operation Services legt CIOs und IT-Verantwortlichen sechs Sicherheitstrends für 2024 nahe:

1. Die geopolitische Lage spitzt sich zu: Cybersicherheit von kritischen Infrastrukturen und Supply Chain wird so wichtig wie nie
2. NIS-2 kommt: Cybersecurity-Investitionsdruck auf Unternehmen steigt
3. Professionalisierung der Cyberkriminalität: Auch die Verteidigerseite muss aufrüsten
4. Fachkräftemangel und fehlende Inhouse-Expertise: Security-Outsourcing im Aufwind
5. Paradigmenwechsel: Von Best-in-Class zu Best-to-Integrate
6. KI als Komplize der Bedrohungsakteure: Zunahme von Phishing Mails und Deep Fakes

Schwieriger wird die Sicherheitslage vor allem, weil Schmerl zufolge professionelle Banden auch technisch weniger erfahrenen Angreifern zum Beispiel mit Ransomware-as-a-Service die Werkzeuge an die Hand geben, um Angriffe gegen Unternehmen aller Größen und Branchen durchzuführen. Für umso wichtiger hält er es, dass Unternehmen sich der Gefahr bewusst werden und in Sachen IT-Sicherheit aufrüsten und professionalisieren. „Lösungen wie Zero Trust und SASE werden in Zukunft zum neuen Standard und die herkömmlichen VPN-Verbindungen ersetzen. Firewalls und Virenscanner sind seit langem nicht mehr ausreichend für einen State-of-the-Art-Schutz. Außerdem braucht es ein konsequentes 24/7 Monitoring der IT-Landschaft und reaktionsschnelle Detection-and-Response-Lösungen,“ postuliert Sebastian Schmerl.

Vor diesem Hintergrund sieht Schmerl ein starkes Wachstum beim Security-Outsourcing voraus. „Steigende Fallzahlen an Cyberangriffen und verschärfte gesetzliche Anforderungen führen dazu, dass Unternehmen zunehmend auf präventive und reaktive Aufrüstung ihrer Cybersicherheit setzen. Doch es gibt Herausforderungen: Die Implementierung von Lösungen ist komplex, die Investitionskosten sind hoch und es fehlt an Know-how.“, so Schmerl. Er konstatiert: „Da angesichts des Fachkräftemangels qualifizierte Mitarbeitende fehlen oder sehr teuer sind, wird das Outsourcing der IT-Sicherheit zum Schlüsselfaktor, um das Cyberrisiko zu senken und Angriffe effektiv abzuwehren.“

Darüber hinaus erwartet Schmerl einen Paradigmenwechsel bei der Auswahl von Sicherheitslösungen – weg von Best-in-Class hin zu Best-to-Integrate. Habe in der Vergangenheit bei der Auswahl von Sicherheitslösungen die Frage im Vordergrund gestanden, welche Lösung den besten Schutz und die beste Performance biete und welche Lösung marktführend sei (Best-in-Class), gehe nun der Trend geht hin zu Best-to-Integrate. Dabei gehe es um Fragen wie „Wie lässt sich die Lösung in die bestehenden Sicherheitskontrollen integrieren? Wie aufwendig sind Implementierung, Konfiguration und Betrieb? Wie viele Fachkräfte und Schulungen werden benötigt?“ Durch Best-to-Integrate-Lösungen reduziere sich der Aufwand erheblich.

Armis bezeichnet sich als Asset-Intelligence-Plattform, die auf die neue Bedrohungslandschaft ausgerichtet ist, die durch vernetzte Geräte entsteht. Hauptsitz ist Kalifornien. Senior Director EMEA Central Peter Machat erwartet, dass 2024 für die Cybersicherheit zentrale Weichen gestellt werden. Ihm zufolge werden die folgenden sechs Trends die Entwicklung der IT-Security in diesem Jahr maßgeblich prägen:

1. Cyberangriffe im Gesundheitswesen und Großangriffe auf kritische Infrastrukturen
2. Wachsende Ransomware-as-a-Service-Bedrohung durch strategischere Hacker
3. KI verändert die kriminelle Landschaft durch das Entdecken und Ausnutzen bisher unbekannter Schwachstellen
4. Der Fokus von Schwachstellen-Teams auf das Verständnis und den Risikoüberblick einzelner Assets steigt
5. Cloud-basierte, KI-gestützte Cybersicherheitslösungen für kritische Infrastrukturen zur Überwindung regulatorischer Hürden
6. Die NIS2-Umsetzung in Europa erfordert eine Erfassung der Datenpakete und stärkt das Risikomanagement in der Cybersicherheit

Bei Trend Nr. 1 geht Machat von einer Umfrage aus, wonach 58 Prozent der in der Branche tätigen IT-Experten angaben, 2023 von Ransomware-Angriffen betroffen gewesen zu sein. Aufgrund der sich kontinuierlich verbessernden Technologie der Cyberkriminelle rechnet Macht auch 2024 mit solch schwerwiegenden Angriffen wie auf den NHS in Großbritannien und die Datenpanne beim Krankenversicherungsanbieter Anthem in den USA. Ähnlich lohnende Ziele wie das Gesundheitswesen sind laut Machat Stromnetze, Wasser- und Abwassersysteme, Verkehrs- und Telekommunikationsnetze, kurz die kritischen Infrastrukturen, die für das Funktionieren der Gesellschaft unentbehrlich sind.

Des Weiteren sagt Machat für 2024 ein nochmaliges Anwachsen der Ransomware-Risiken voraus: „Ransomware as a Service (RaaS) ermöglicht Cyberkriminellen einen leichteren Zugang zu Netzwerk- und Geräteschwachstellen, was es zu einer äußerst effektiven Methode für Erpressung und Cyberangriffe macht.“ Suchmaschinen wie Shodan seien attraktiv für sie, da sich anfällige Geräte sowie Netzwerke für Dritte damit rasch identifizieren lassen würden.

Negative Folgen erwartet Machat auch, weil KI das Entdecken und Ausnutzen bisher unbekannter Schwachstellen erleichtere. Zudem ließen sich KI-gestützte Tools dazu nützen, um anfällige Personen oder Organisationen zu identifizieren. Mithilfe von sozialen Medien und anderen Online-Plattformen könne KI eine Vielzahl von Informationen über potenzielle Opfer sammeln, darunter finanzieller Status, Interessen und Verhaltensmuster. Das erleichtere es den Kriminellen, ihre Opfer zu täuschen und zu betrügen.

Doch auch für Machat hat die KI beileibe nicht nur Schattenseiten. Zwar erhöhe die vermehrte Cloud-Nutzung das Risiko für diese Infrastrukturen, doch sieht er auch einen gegenläufigen Effekt: „Mithilfe von KI lassen sich Sicherheitslücken in Cloud-basierten Lösungen schnell und präzise erkennen sowie einfacher verwalten. Darüber hinaus bietet sie zusätzliche Schutzmaßnahmen für kritische Infrastrukturen. Daher ist anzunehmen, dass sich die regulatorischen Hürden und Bedenken hinsichtlich der Datensicherheit reduzieren werden.“

In der Einführung der Richtlinie 2022/0383 über Netz- und Informationssysteme (NIS2) sieht Machat einen grundlegenden Wandel der Cybersicherheit im europäischen Raum. Dies betreffe insbesondere eine Vielzahl von Unternehmen, die gemäß der NIS2-Richtlinie als wesentliche und bedeutende Einrichtungen gelten. Um den NIS2-Anforderungen zu entsprechen, müssten diese Unternehmen Funktionen zur Erfassung von Datenpaketen implementieren sowie Tools für das Risikomanagement und die Berichterstattung über Vorfälle eingeführt werden, so Machat.

Die in Israel gegründete Check Point Technologies Ltd. ist bekannt für seine Zero-Trust-Plattform. In ihren Vorhersagen für 2024 nimmt sie vor allem die Bedürfnisse der CISOs in den Blick. Im Jahr 2024 werden demnach bei den CISOs Themen wie das Cybersicherheitsmanagement auf Vorstands- und Geschäftsführungsebene, Cybersicherheitskontrollen, Ransomware, künstliche Intelligenz und Rechtsstreitigkeiten bei Sicherheitsverletzungen im Mittelpunkt stehen.

„Vorstände und CEOs erwarten Geschäftskontinuität während und nach einem Cyberangriff. Sie werden sicherstellen wollen, dass Investitionen in Cybersicherheit erfolgreich sind. Im nächsten Jahr sollten CISOs den ROI für ihre Initiativen und Tools ermitteln. Die Stakeholder sollten den Wert ihres SOC und ihrer Arbeit kennen. Darüber hinaus ist die digitale Welt in hohem Maße vernetzt – mit der scheinbar einzigen Ausnahme der Cybersicherheit, die nach wie vor in der Isolation verharrt. Die Überbrückung dieser Kluft wird für den Geschäftserfolg entscheidend sein,“ erläutert Vivek Gullapalli, Global CISO APAC bei Check Point.

Sein Kollege Jonathan Fischbein, Global CISO EMEA bei Check Point, ergänzt: „Ransomware-Angriffe werden zunehmen. Sie werden auch weiterhin Unternehmen aller Größenordnungen treffen und von den Opfern Millionen von Dollar erpressen. Vor allem aber werden die Bedrohungen immer verschleiernder werden.“ Zwar würden Unternehmen eine Vielzahl von Sicherheitstools einsetzen, doch reichten diese oft nicht aus, da sie oft nicht miteinander kompatibel sind. Was Unternehmen wirklich bräuchten, seien bessere Präventions- und Erkennungstools. Dabei sei es aber „sehr wichtig, dass Unternehmen einen ganzheitlichen Ansatz für Ransomware wählen und eine Strategie zur Schadensbegrenzung entwickeln. Es reicht nicht aus, nur Lösungen zur Abwehr von Ransomware zu haben.“

Pete Nicoletti, Global CISO Americas bei Check Point, betont das schädliche Potenzial von KI-Tools und schreibt: „Check Point Research hat gerade damit begonnen, darauf hinzuweisen, dass Kriminelle unregistrierte und unbewachte KI-Tools und KI-Engines für schädliche Zwecke nutzen. Diese Tools unterliegen nicht den Gesetzen und Vorschriften. Cybersicherheitsexperten müssen damit rechnen, dass (…) sogenannte „Geisterwaffen“ oder „unregistrierte Waffen“ eingesetzt werden.“

Deryck Mitchelson, Global CISO EMEA bei Check Point, macht auf die potenziell verheerenden (finanziellen) Folgen von Rechtsstreitigkeiten aufmerksam: „Viele große Unternehmen sind von Datenschutzverletzungen betroffen und haben infolgedessen erhebliche Summen gezahlt. Das Problem betrifft aber nicht nur größere Organisationen. Auch kleinere Unternehmen werden wahrscheinlich Millionenbeträge auszahlen, um Aktionäre und Einzelpersonen, die von Datenschutzverletzungen betroffen waren, zufrieden zu stellen.“ Mitchelson konstatiert: „Die Zunahme von Sammelklagen wegen Datenschutzverletzungen ist wirklich besorgniserregend. Sie haben sich von 2022 bis 2023 verdoppelt.“ Darüber hinaus würden die jüngsten Umfrageergebnisse zeigen, dass 62 Prozent der CISOs über ihre persönliche Haftung im Falle von Datenschutzverletzungen besorgt seien.

Die folgenden sieben Punkte sollten laut Marco Eggerling, CISO EMEA bei Check Point, auf jeder CISO-Checkliste für 2024 stehen:

• Cloud-Sicherheitsstrategie verbessern
• API-Sicherheit schneller angehen
• Vorbereiten auf Post-Quantum-Kryptografie
• In KI-gesteuerte Bedrohungsabwehr investieren
• Übungen zu AI-Red-Teaming angehen
• Zero-Trust-Architektur einführen
• Werkzeuge und Produkte für Citizen-Developer

Zu einzelnen dieser Punkte lohnt sich ein Blick auf die Begründungen Eggerlings. Das Thema Cloud zum Beispiel steht ihm ganz oben, weil im vergangenen Jahr bei mehr als einem Drittel der Unternehmen weltweit eine Datenverletzung in ihrer Cloud-Umgebung festgestellt worden ist, ein Anstieg von 35 Prozent gegenüber 2022. Eggerling zufolge wird 2024 deshalb die Zero-Trust-Technologie Themen wie Datenschutz und Compliance als wichtigstes Thema ablösen. Hinzu komme, dass die die derzeitigen SaaS-Sicherheitsstrategien und -methoden oft ungenügend seien, weshalb 68 Prozent der Unternehmen ihre Investitionen für die Einstellung und Schulung von Personal für SaaS-Sicherheit in diesem Jahr erhöhen würden.

Ganz weit oben in der Prioritätenliste von Sicherheitsexperten sollte laut Eggerling auch die API-Sicherheit angesiedelt sein. Hier fordert er mehr Tempo, denn obwohl 95 Prozent der CISOs planen, der API-Sicherheit in den nächsten zwei Jahren Priorität einzuräumen, sollte versucht werden, diesen Zeitraum zu verkürzen. Auf dem Weg zur API-Sicherheitsreife sollte mit der Identifizierung aller in einem Unternehmen verwendeten APIs begonnen werden.

Empfehlungen der US-Behörden CISA, NIST und NSA aufgreifend empfiehlt Eggerling, dass Unternehmen sich bereits jetzt auf die Einführung der Post-Quantum-Kryptografie vorbereiten. Im Idealfall in folgenden Schritten: Quantum-Bereitschaftsplan aufstellen, mit Herstellern über Post-Quantum-Pläne sprechen, Bestandsaufnahmen durchführen, Migrationspläne mit Priorität für die sensibelsten und wichtigsten Anlagen aufstellen.

Beim Thema Künstliche Intelligenz betont Eggerling die Fähigkeiten einer KI-basierten Abwehr: Mit KI betriebene Plattformen seien in der Lage, außergewöhnlich große Datenmengen in einer ebenso ungewöhnlichen hohen Geschwindigkeit zu analysieren, mit der Menschen niemals mithalten könnten. „CISOs und Verantwortliche für IT-Sicherheit müssen daher in KI-gesteuerte Sicherheitsprodukte investieren, um die Fähigkeiten ihrer Unternehmen zur Vorbeugung und Reaktion auf neue Bedrohungen zu verbessern und Vorkommen von Schwachstellen zu reduzieren.“, fordert Eggerling. Im Zuge der Integration von KI in die IT-Sicherheit des Unternehmens müssten sich auch die Rollen und Verantwortlichkeiten der Sicherheitsmitarbeiter ändern. Es sollte strategisch geplant werden, wie die vorhandenen Talente umgeschichtet werden können, um die Kräfte zu bündeln.

CyberArk ist ein Spezialist für Identity Security. Von dieser Perspektive ausgehend hat das US-Unternehmen drei Gefahren beziehungsweise Entwicklungen ausgemacht, die Unternehmen 2024 im Blick haben sollten:

• Session Hijacking wird eine immer wichtigere Rolle bei Angriffen spielen
• Der Credential-Diebstahl bleibt ein Problem
• Die Mehrheit der Unternehmen wird die technische Konsolidierung vorantreiben, um Sicherheitsprozesse zu vereinfachen.

CyberArk prognostiziert, dass immer mehr Unternehmen auf ein passwortloses Access Management umsteigen oder zumindest von einer reinen Passwortnutzung auf Multi-Faktor-Authentifizierung. Gleichzeitig aber würden Angreifer ihre Taktiken weiterentwickeln, um Session Cookies zu stehlen und damit starke Authentifizierungsmechanismen zu umgehen. CyberArk geht deshalb davon aus, dass 2024 das Session Hijacking rund 40 Prozent aller Cyberangriffe ausmachen wird. Für Unternehmen sei folglich die kontinuierliche Sicherung, Überwachung und Reaktion auf den Missbrauch von User Sessions und Cookies von entscheidender Bedeutung.

Wenn sich die passwortlose Methode durchsetze und richtig angewendet werde, sollte zwar der herkömmliche Diebstahl von Anmeldedaten seltener werden, erwartet CyberArk, nicht aber der Credential-Diebstahl generell. Begründung: „Unternehmen, die eine passwortlose Authentifizierung einführen, benötigen vielfach eine Backup-Möglichkeit und dabei werden sie auch auf unsichere(re) Optionen zurückgreifen, also auf Passwörter.“ Außerdem würden sich noch nicht alle Systeme auf passwortlose Methoden umstellen lassen. In der Folge würden etwa 30 Prozent der Unternehmen eine Zunahme von Sicherheitsvorfällen im Zusammenhang mit dem Diebstahl von Anmeldedaten verzeichnen.

Kritisch sieht CyberArk die Komplexität der IT- und Security-Umgebungen. Sie seien bei den meisten Unternehmen so umfangreich und heterogen, dass sie nur schwer zu verwalten seien. Die Teams seien nur selten mit allen Tools vertraut und müssten deshalb oft auch externe Experten hinzuziehen. Da jede Plattform bestimmte Aspekte fokussiere und sich gleichzeitig mit anderen überschneide, falle es den Teams zunehmend schwer, alle potenziellen Schwachstellen und Bedrohungen in ihren Cloud-zentrierten Umgebungen zu erkennen – geschweige denn zu verstehen.

CyberArk sagt deshalb voraus: „Nicht eingehaltene SLAs, ausufernde Kosten und gefährliche Sicherheitslücken werden circa 55 Prozent der Unternehmen dazu veranlassen, die technische Konsolidierung zu beschleunigen. Sie werden versuchen, den Betrieb zu vereinfachen und die vorhandenen Ressourcen optimal zu nutzen, indem sie mit weniger Anbietern zusammenarbeiten und auch weniger verschiedene Systeme einsetzen.“

Michael Kleist, Area Vice President DACH bei CyberArk, resümiert: „Die aktuelle und künftige Gefahrenlage in der IT – man denke nur an KI-basierte Cyberangriffe – macht es für Unternehmen zwingend erforderlich, die Sicherheitsverfahren kontinuierlich zu verfeinern, strategische Investitionen zu tätigen und sich proaktiv auf neue Angriffsmuster vorzubereiten.“ Er folgert: „In unseren Augen führt an der Etablierung einer umfassenden und vollständig integrierten Identity-Security- und Zero-Trust-Strategie kein Weg vorbei. Nur so ist letztlich eine zuverlässige Gefahrenvermeidung und -abwehr realisierbar.“