Laut dem "2025 Data Threat Report: Critical Infrastructure Edition" von Thales treten Betreiber in den Bereichen Energie, Versorgungsunternehmen, Telekommunikation und Transport in eine neue Ära der Cybersicherheitsrisiken ein. Sich schnell verändernde KI-Ökosysteme und zukünftige Kompromittierung der quantengestützten Verschlüsselung zählen zu den größten Herausforderungen. [...]
Die Studie, die auf einer weltweiten Umfrage unter 513 KRITIS-Fachleuten basiert und von S&P Global Market Intelligence’s 451 Research durchgeführt wurde, zeigt, dass die gemeldeten Sicherheitsvorfälle in den letzten Jahren zwar stark zurückgegangen sind, neue Technologien jedoch die Bedrohungslage verändern.
KI-Disruption rückt ganz oben auf die Tagesordnung
Wie viele andere Branchen setzen auch Betreiber kritischer Infrastrukturen auf fortschrittliche KI-Systeme, um deren Effizienz und Widerstandsfähigkeit zu steigern. Diese Umstellung bringt jedoch neue Herausforderungen mit sich. Laut dem Bericht investieren bereits 74 Prozent der Unternehmen in generative KI-spezifische Sicherheitstools. Allerdings sind die Bedenken hinsichtlich der Modellintegrität (64 Prozent) und der Vertrauenswürdigkeit von Datenquellen Dritter (53 Prozent) nach wie vor groß.
Das Tempo des Wandels im KI-Ökosystem ist selbst eine Risikoquelle. Fast drei Viertel (73 Prozent) der Befragten nannten die rasante Entwicklung der KI als ihre Hauptsorge – ein höheres Maß als im globalen Durchschnitt über alle Branchen hinweg.
Quantenbedrohungen zeichnen sich am Horizont ab
Quantencomputing wird zunehmend als eine drohende Herausforderung angesehen. Mehr als die Hälfte (58 Prozent) der KRITIS-Befragten gaben an, dass sie bereits Prototypen entwickeln oder Post-Quanten-Kryptografie-Algorithmen evaluieren, um sich gegen das Risiko von „Harvest now, decrypt later”-Angriffen zu schützen, bei denen heute erfasste sensible Daten in Zukunft durch Quantenfähigkeiten entschlüsselt werden könnten.
Das Vertrauen in die aktuellen Verschlüsselungsstrategien ist ebenfalls gemischt. Viele Unternehmen wünschen sich mehr regulatorische Klarheit und stärkere Sicherheitsvorkehrungen, während sie prüfen, wie sie langlebige Daten am besten schützen können.
Die Anzahl der Sicherheitsvorfälle verringert sich, aber die Risiken bleiben bestehen
Ein Bereich, in dem Fortschritte erzielt wurden, ist die Reduzierung von Sicherheitsverletzungen. Nur 15 Prozent der KRITIS-Organisationen meldeten im vergangenen Jahr eine Sicherheitsverletzung, was einen deutlichen Rückgang gegenüber 37 Prozent im Jahr 2021 darstellt. Diese Verbesserung ist zum Teil auf die zunehmende Einführung der Multi-Faktor-Authentifizierung (MFA) zurückzuführen, die seit 2021 stark zugenommen hat. Drei Viertel der KRITIS-Organisationen setzen MFA mittlerweile für mehr als 40 Prozent ihrer Mitarbeiter ein – allerdings liegt die Akzeptanz immer noch um neun Prozentpunkte unter dem globalen Durchschnitt.
Trotz dieser Verbesserung sind Fehlkonfigurationen, ausgenutzte Schwachstellen und Identitätsdiebstahl nach wie vor die häufigsten Ursachen für Vorfälle. Dies zeigt, dass sich die Abwehrmaßnahmen zwar verbessern, die operative Disziplin jedoch nach wie vor von entscheidender Bedeutung ist.
Datenhoheit und Reifegrad der Cybersicherheit weiterhin uneinheitlich
Die digitale Souveränität bleibt ein entscheidendes Thema. Über die Hälfte (52 Prozent) der KRITIS-Organisationen gaben an, dass die Einhaltung von Kunden-, regionalen oder globalen Vorschriften ihre Bemühungen um Datensouveränität vorantreibt. Allerdings haben nur zwei Prozent der Befragten 80 Prozent oder mehr ihrer sensiblen, in der Cloud gespeicherten Daten verschlüsselt, was weit unter dem globalen Durchschnitt von acht Prozent liegt.
Während fast neun von zehn Befragten angaben, dass sie mindestens die Hälfte ihrer Daten klassifizieren können, führt der weit verbreitete Einsatz mehrerer Discovery-Tools zu Inkonsistenzen und widersprüchlichen Richtlinien. Diese Diskrepanz birgt die Gefahr, dass die Fortschritte beim Schutz sensibler Datensätze untergraben werden.
Die nächste Welle an Risiken
„Anbieter kritischer Infrastrukturen haben große Fortschritte bei der Reduzierung von Sicherheitsvorfällen erzielt, aber die nächste Welle von Störungen steht bereits bevor“, sagt Todd Moore, Vice President Data Security Products bei Thales. „KI- und Quantenrisiken entwickeln sich schneller als herkömmliche Abwehrmaßnahmen. KI-gestützte Angriffe lassen sich immer leichter durchführen und werden effektiver. Quantencomputing droht unterdessen, bestehende Verschlüsselungsprotokolle komplett auf den Kopf zu stellen – und das noch bevor wir überhaupt die Möglichkeiten einer Kombination beider Technologien für die Cyber-Bedrohungen der Zukunft in Betracht ziehen.“
Todd Moore ist Vice President Data Security Products bei Thales. (c) Thales
„Anbieter kritischer Infrastrukturen können es sich einfach nicht leisten, unvorbereitet zu sein. Um langlebige, sensible Daten zu schützen und wichtige Dienste aufrechtzuerhalten, müssen Betreiber jetzt handeln: Sie müssen stärkere Verschlüsselung einführen, in KI-spezifische Schutzmaßnahmen investieren und sich dringend auf die Post-Quanten-Ära vorbereiten“, ergänzt Moore.
Die Ergebnisse zeigen sowohl Fortschritte als auch Schwachstellen auf: KRITIS-Organisationen haben die Zahl der Sicherheitsverletzungen reduziert, sind aber weiterhin Risiken ausgesetzt, die durch rasante technologische Umbrüche verursacht werden. Angesichts zunehmender regulatorischer Kontrollen und verschärfter geopolitischer Spannungen ist es heute von entscheidender Bedeutung, ein Gleichgewicht zwischen Innovation und Widerstandsfähigkeit zu finden.
Be the first to comment