Security-Prognosen 4: Kyndryl, Logpoint, Lookout
Security-Prognosen 4: Kyndryl, Lookout, Logpoint
Kyndryl: Von Regulatorik bis Resilienz
Die IBM-Abspaltung Kyndryl bezeichnet sich selbst als weltweit größten Anbieter von IT-Infrastrukturdienstleistungen. In seinem Ausblick auf die Cybersicherheit im Jahr 2024 nennt Dominik Bredel, Deutschlandchef für den Bereich Security und Resilienz, fünf Aspekte, die deutsche Unternehmen priorisieren sollten:
- Solide Fundamente für Sicherheitsinfrastrukturen schaffen
- Zunehmende Relevanz von Resilienz
- Regulatorik wird Fortschritt beschleunigen
- IT-Sicherheit im Mittelstand garantieren
- Herausforderungen und Chancen von Generative AI verstehen
Bei den Sicherheits-Infrastrukturen geht Bredel von der Beobachtung aus, dass sich im Zug der Corona-Pandemie und der Transformation durch Remote Work und Collaboration Unternehmen gezwungen sahen, ad hoc größere Summen in die IT-Sicherheit zu investieren, allerdings meist auf veralteten Infrastrukturen. Er folgert daraus: „2024 werden sich Unternehmen verstärkt mit der Konsolidierung ihrer IT-Infrastrukturen und Modernisierung an der Basis befassen.“
Unternehmen würden sich dabei immer mehr mit der harten Realität konfrontiert sehen, dass sich auch im Cyber Space nicht jede Bedrohung abwehren oder jede Störung vermeiden lasse – egal, wie gut die Vorbereitung auch sei. „Vor diesem Hintergrund werden die Themen Resilienz und Wiederherstellung immer wichtiger. IT-Verantwortliche müssen einkalkulieren, dass Kriminelle die Verteidigungslinien des eigenen Unternehmens durchbrechen und für diesen Fall eine Strategie und klare Handlungsanweisungen bereithalten. Der Aufbau eines ganzheitlichen Cyber-Resiliency-Systems, das DevSecOps Prozesse, Business Continuity und IT-Continuity miteinander kombiniert und Silos aufbricht, wird einer der Trends für das Jahr 2024 sein.“
„Der Aufbau eines ganzheitlichen Cyber-Resiliency-Systems (…) wird einer der Trends für das Jahr 2024 sein.“
Wie einige andere so setzt auch Bredel das Thema regulatorische Anforderungen weit oben auf die Agenda. Als Stichworte nennt er etwa den EZB-Stresstest für Banken mit Fokus auf Cyber-Sicherheit, das Inkrafttreten der EU-Verordnung Digital Operational Resilience Act (DORA) ab 2025 und die EU-Richtlinie NIS-2 für kritische Infrastrukturen, die bis Oktober 2024 in nationales Recht umzusetzen ist. Letztere erweitert den Kreis der regulierten Unternehmen erheblich, und auch wenn kleine Unternehmen mit weniger als 50 Mitarbeitern eigentlich ausgenommen sind, können sie betroffen sein, sofern sie als direkte Zulieferer für regulierte Unternehmen tätig sind. Bredel prognostiziert deshalb: „Die verschiedenen neuen Regularien werden im Jahr 2024 die schon lange notwendige und immer wieder angemahnte IT-Security-Konsolidierung und Modernisierung in Deutschland vorantreiben.“
Last but not least nimmt Bredel die Folgen des KI-Fortschritts in den Blick. Generative AI sei mit Blick auf die IT-Sicherheit Fluch und Segen zugleich. Ein Report von NordVPN zeige beispielsweise, dass KI ein heißdiskutiertes Thema in Dark-Web-Foren sei. IT-Verantwortliche sollten daher weiterhin Identity & Access Management (IAM) priorisieren. Traditionelle Konzepte müssten allerdings dahingehend geprüft werden, ob sie mit KI-gestützten Angriffen mithalten könnten. Auf der anderen Seite könne die Nutzung von künstlicher Intelligenz in Unternehmen bei Routineaufgaben entlasten und so dem Fachkräftemangel zumindest teilweise entgegenwirken.
Logpoint: Von MDR bis AI Washing
Logpoint ist Anbieter einer Lösung für das Security Information and Event Management, kurz SIEM. Sein CTO Christian Have hat fünf Prognosen für 2024 erstellt:
- Entstehung dezentraler Netzwerke für Cyberkriminalität
- Der Mittelstand macht sich Managed Detection and Response (MDR) zu eigen
- Kommerzialisierung von Ransomware-as-a-Service (RaaS)
- Effektive Anwendungsfälle für GenAI beenden das AI-Washing
- Führungskräfte auf Vorstandsebene werden einer noch nie dagewesenen Belastung ausgesetzt
Have berichtet als erstes, dass Cyberkriminelle zunehmend auf dezentrale Netzwerke setzen, die auf dem Dark Web und Kryptowährungen basieren. Das gewährleiste ein höheres Maß an Anonymität sowohl für die Täter als auch für ihre finanziellen Transaktionen und erschwere den Behörden weltweit erheblich die Aufspürung und Zerschlagung dieser Netzwerke. Zudem fördere der dezentralisierte Charakter die Entwicklung innovativer, hochentwickelter Angriffsmethoden. Have schlussfolgert: „Die Bekämpfung der Cyberkriminalität erfordert technologische Fortschritte, internationale Zusammenarbeit und politische Initiativen.“
„Der dezentralisierte Charakter dieser Netze fördert die Innovation unter den Kriminellen.“
Zweitens erwartet Have, dass der Mittelstand verstärkt auf Managed Detection and Response (MDR) setzt. In dieser Verschiebung sieht er nichts weniger als „einen grundlegenden Wandel in der Herangehensweise mittelständischer Unternehmen an die Cybersicherheit.“ Als Gründe führt er einen zunehmenden Druck auf die Lieferkette sowohl von Kunden als auch von Aufsichtsbehörden sowie steigende Anforderungen durch Datenschutzbestimmungen und NIS-2 an. Und warnt: „Wenn dazu noch Budgetbeschränkungen, ein Mangel an qualifizierten Fachkräften und eine Zunahme von Bedrohungsakteuren kommen, entsteht ein perfekter Sturm.“
„Wenn dazu noch Budgetbeschränkungen, ein Mangel an qualifizierten Fachkräften und eine Zunahme von Bedrohungsakteuren kommen, entsteht ein perfekter Sturm.“
Drittens prognostiziert Have, dass die Häufigkeit von Ransomware-Angriffen stark zunimmt und Unternehmen unterschiedlicher Größenordnungen betroffen sein werden, nicht zuletzt auch KMU. Der Grund: „Ransomware-as-a-Service (RaaS)-Plattformen bieten böswilligen Akteuren benutzerfreundliche Schnittstellen und Tools, um Ransomware-Angriffe mit minimalen technischen Kenntnissen durchzuführen.“ Die Verbreitung von RaaS-Plattformen erschwere die Bemühungen der Strafverfolgungsbehörden zusätzlich, da die Einstiegshürden für Cyberkriminalität sinken würden und eine größere Anzahl von Personen an illegalen Aktivitäten teilnehmen könne.
Anscheinend führt das bereits jetzt zu einem Preisverfall für geklaute Informationen – mit negativen Folgen für die Sicherheit der Unternehmen: „Es gibt bereits erste Anzeichen dafür, dass Initial Access Broker (IABs) unter Druck stehen, die Preise für Informationen zu senken, die sie über infizierte, angriffsbereite Umgebungen verkaufen. Dies wird zwangsläufig dazu führen, dass Bedrohungsakteure ihre Erpressungs- und Ransomware-Aktivitäten weiter kommerzialisieren, indem sie eine größere Anzahl kleinerer Organisationen ins Visier nehmen, um die gleichen Gewinne zu erzielen“, beschreibt Have den Effekt der RaaS-Plattformen.
„Ransomware-as-a-Service-Plattformen bieten böswilligen Akteuren benutzerfreundliche Schnittstellen und Tools, um Ransomware-Angriffe mit minimalen technischen Kenntnissen durchzuführen.“
Auf die Führungskräfte sieht Christian Have schwere Zeiten zukommen. „Die Vorstände von Unternehmen weltweit sehen sich einem beispiellosen Druck und Stress ausgesetzt, da sie in einem Umfeld agieren müssen, das von unerbittlichen Cyber-Bedrohungen, Budgetbeschränkungen und regulatorischen Anforderungen geprägt ist“, so der Logpoint-CTO. Die NIS-2-Vorschriften treten im Oktober 2024 in Kraft und viele Organisationen in der EU oder mit Aktivitäten in diesem Markt müssen sich daran halten. Diejenigen, die unter diese Vorschriften fallen, stehen Have zufolge künftig unter einem größeren Druck, Verstöße zu verhindern und zu bewältigen. Auch die persönliche Verantwortung werde zunehmen, da leitende Angestellte und Vorstandsmitglieder persönlich zur Rechenschaft gezogen werden sollen, wenn es zu einem Verstoß kommt und die Anforderungen nicht erfüllt wurden.
Angesichts der Angst vor Rufschädigung, finanziellen Verlusten und rechtlichen Konsequenzen müssen Vorstände laut Christian Have schwierige Entscheidungen über die Ressourcenzuweisung, strategische Partnerschaften und das Überleben ihres Unternehmens treffen. Der Fokus müsse dabei auf der Prüfung von Systemen und Prozessen zur Stärkung der Abwehrkräfte und zur Erfüllung der Sorgfaltspflichten liegen.
Lookout: Quanten, Hacker und Nationen
Lookout beschreibt sich als Data-Centric Cloud-Security-Unternehmen mit Schwerpunkt Zero-Trust-Konzept. Aaron Cockerill, Executive Vice President of Products, und Sundaram Lakshmanan, Chief Technology Officer, haben eine Reihe von Security-Prognosen für das Jahr 2024 formuliert.
Cockerill sagt folgende Entwicklungen voraus:
- Quantencomputing wird das nächste Y2K erzeugen
- KI kann ein leistungsfähiges Werkzeug zum Auffinden und Beheben von Fehlern sein – solange die Angreifer sie nicht zuerst finden
- Ausgefeilte Social-Engineering-Angriffe erfordern stärkere Konzentration auf individuelle Sicherheit
- Immer raffiniertere Angriffe von Hackergruppen und Nationalstaaten
Bemerkenswerterweise ganz an die Spitze seiner Prognosen stellt Aaron Cockerill die von Quantencomputern ausgehende Bedrohung. „Sobald selbst einfache Quantencomputer in größerem Umfang zur Verfügung stehen, kann auf verschlüsselte Daten leicht zugegriffen werden, und es besteht die Gefahr, dass riesige Mengen gestohlener Daten, die bisher nie ein großes Problem darstellten, offengelegt werden,“ begründet Cockerill diese Entscheidung. Er fordert deshalb: „Die heute üblichen Verschlüsselungsmethoden grundlegend zu überarbeiten, um sicherzustellen, dass sie quantensicher sind und die Informationen auf der Datenebene geschützt werden. Dies wird entscheidend sein, um Schwachstellen der Verschlüsselung am Ort des Zugriffs zu reduzieren.“
Cockerill veranschaulicht die Konsequenzen dieser Entwicklung mit einem Verweis auf die vielen staatlichen Gesetze, die es Unternehmen heute (noch) erlauben, Sicherheitsvorfälle als bloßen „Vorfall“ einzustufen, wenn die gefährdeten Daten verschlüsselt waren, anstatt eine schwerwiegendere „Verletzung“ melden zu müssen.
„Die heute üblichen Verschlüsselungsmethoden müssen grundlegend überarbeitet werden, um sicherzustellen, dass sie quantensicher sind.“
Gleich nach Quantencomputing kommt bei Aaron Cockerill die Gefahr durch Künstliche Intelligenz. Er macht zunächst einmal darauf aufmerksam, dass Angreifer die gleichen KI-Tools ausnutzen können, die Unternehmen dazu nutzen, um Fehler und Schwachstellen zu identifizieren und zu beheben. Als Beispiel nennt er „moderne Kill-Chain-Techniken“ wie Lapsus$, Oktapus und Scattered Spider. „Im Jahr 2024 wird es für Sicherheitsteams in Unternehmen wichtig sein, KI-gestützte Sicherheitslösungen zu implementieren, die schnell und präzise auf potenzielle Sicherheitsvorfälle reagieren können. In der modernen Kill-Chain ist die Verweildauer erheblich kürzer. Es läuft darauf hinaus, dass automatisierte Reaktionen nötig sein werden, während diese in der Vergangenheit von SOC-Mitarbeitern durchgeführt wurden“, so Cockerill.
Große Bedeutung misst Cockerill auch dem Mobiltelefon als Sicherheitsrisiko zu. „Das Mobiltelefon hat sich zu einer wachsenden Angriffsfläche entwickelt und wird immer mehr zum bevorzugten Einstiegspunkt für Angreifer“, konstatiert Cockerill. Er stellt eine Zunahme fortschrittlicher Social-Engineering-Angriffe fest und zieht daraus die Lehre, dass sich die Unternehmenssicherheit verstärkt auf Einzelpersonen – und ihr Mobiltelefon – konzentrieren müsste, vor allem, weil Kriminelle zunehmend die Verflechtung von Privat- und Arbeitsleben auszunutzen versuchten. Cockerill prognostiziert deshalb einen wachsenden Fokus auf Mobile Device Management (MDM) und Technologien der Mobile Threat Defense.„Das Mobiltelefon wird immer mehr zum bevorzugten Einstiegspunkt für Angreifer."
Von einem Verbot einzelner mobiler Anwendungen, wie sie 2023 öfters diskutiert worden ist, hält Cockerill nicht nur im Fall von TikTok wenig. Das sei bestenfalls eine kleine, kurzfristige Lösung. Er fordert: „Die Unternehmen sollen lieber die Ursache bekämpfen, anstatt ein Pflaster auf das Symptom zu kleben“. In diesem Fall sei die Grundursache das Problem, dass Apps Daten an Orte senden dürften, an die sie nicht gelangen sollten.
Das erhöhte Risiko durch mobile Geräte hat laut Cockerill auch Folgen für die mehr und mehr gefragten Versicherungen gegen Cyberangriffe und Datenschutzverletzungen. Er erwartet nämlich, dass diese Policen immer spezifischer auf die mobile Sicherheit Bezug nehmen und mobile Sicherheitsmaßnahmen zu einer Voraussetzung für den Abschluss machen.
Sundaram Lakshmanan, der Chief Technology Officer von Lookout, beschäftigt sich speziell mit dem Thema Cloud-Sicherheit beschäftigt und wagt folgende vier Prognosen für diesen Bereich:
- Im Jahr 2024 werden sich CISOs von VPNs abwenden und eine sicherere Infrastruktur bevorzugen
- Die Kompetenzlücke bei der Cloud-Sicherheit wird weiterwachsen
- Die Skalierbarkeit der Cloud wird für Unternehmen sowohl eine wachsende Bedrohung als auch eine Chance darstellen
- Sicherheitslösungen werden sich weiterentwickeln, um mit den Produktinnovationen in der Cloud Schritt zu halten
Lakshmanan sagt voraus, dass sich CISOs von VPNs abwenden, weil VPNs einen uneingeschränkten Zugang zur gesamten Unternehmensinfrastruktur ermöglichen, was sie zu einem häufigen Ziel für Cyberangriffe und zu einem perfekten Werkzeug für die seitliche Bewegung von Angreifern in den IT-Infrastrukturen mache. Lakshmanans Alternative zu VPN heißt Zero Trust: „Wenn es um den Schutz sensibler Unternehmensdaten geht, bietet Zero Trust Network Access (ZTNA) im Vergleich zu herkömmlichen VPNs einen weitaus sichereren Ansatz, da eine granulare Zugangskontrolle die Benutzer auf bestimmte Anwendungen beschränkt. Dadurch wird die gesamte Angriffsfläche reduziert und die seitliche Bewegung von Bedrohungen verhindert, wodurch das Risiko, dass kompromittierte Konten oder Geräte die gesamte Infrastruktur gefährden, minimiert wird“, so Lakshmanan.
„Wenn es um den Schutz sensibler Unternehmensdaten geht, bietet Zero Trust Network Access (ZTNA) im Vergleich zu herkömmlichen VPNs einen weitaus sichereren Ansatz“
Eine weitere Beobachtung von Lakshmanan ist, dass viele IT-Organisationen Schwierigkeiten haben, mit dem Tempo der Veränderungen Schritt zu halten, wenn es um die Sicherung ihrer Daten in Cloud-Umgebungen geht. Als Grund führt der Lookout-CTO an, dass es dazu oft Fachwissen brauche – zum Beispiel über bestimmte Cloud-Anbieter, hybride Cloud-Systeme und Sicherheitstools zur Überwachung und Steuerung dieser Systeme –, Fachwissen, über das die Firmen aber nicht verfügen würden. Das mache Unternehmen anfällig für Bedrohungen, die sich aus Konfigurationsfehlern in der Cloud und Netzwerkschwachstellen ergäben.
Lakshmanan sagt deshalb voraus: „Im Jahr 2024 wird die Schließung der Cloud-Sicherheitslücke eine Priorität für diese Unternehmen sein, da sie sonst Gefahr laufen, das beschleunigte Tempo der Cloud-getriebenen Innovation zu bremsen.“
Zwischen der von Aaron Cockerill konstatierten wachsenden Angriffsfläche bei mobilen Geräten und der Cloud-Sicherheit sieht Lakshmanan einen interessanten Zusammenhang. Er schreibt: „Da die Zahl der kompromittierten Mitarbeiteridentitäten über mobile Geräte zunimmt, führt diese Verschmelzung von Insider- und Outsider-Bedrohungen zu einer neuen Welle von Sicherheitsinnovationen. Infolgedessen werden Sicherheitsteams in Unternehmen zunehmend integrierte Cloud-Sicherheitsplattformen im Gegensatz zu isolierten Einzellösungen einsetzen, um die Vorteile von Sicherheitsinnovationen zu nutzen, die den Produktinnovationen in der Cloud entsprechen, wie zum Beispiel kontinuierlich aktualisierte und automatisierte Sicherheitsfunktionen.“„Im Jahr 2024 wird die Schließung der Cloud-Sicherheitslücke eine Priorität für Unternehmen sein.“