Mehr digitale Lösungen fordern verstärkte Sicherheitsmaßnahmen

Flächendeckendes Homeoffice wurde zur neuen Normalität, die Zahl der IoT-Produkte steigt stetig. Die TÜV TRUST IT hat sich angesehen, welche Auswirkungen die verstärkte Abhängigkeit von digitalen Prozessen hat. [...]

Andreas Köberl ist gemeinsam mit Detlev Henze Geschäftsführer der TÜV TRUST IT. (c) TÜV AUSTRIA
Andreas Köberl ist gemeinsam mit Detlev Henze Geschäftsführer der TÜV TRUST IT. (c) TÜV AUSTRIA

Es haben sich zehn Trends für das heurige Jahr herauskristallisiert.

Abhängigkeit von digitalen Prozessen steigt exponentiell

Industrie 4.0 ist und bleibt auf dem Vormarsch. Viele industriell tätige Unternehmen setzen bereits auf eine Optimierung ihrer Produktion dank intelligent vernetzter Systeme. Digitale Wertschöpfungsketten bestimmen zunehmend die wirtschaftliche Stärke sowie Sicherheit und punkten durch hohe Effizienz und optimierte Erträge. Zudem erlauben digitale Lösungen eine höhere Flexibilität.

Gefragt wie noch nie: Vertrauensdienste und elektronische Geschäftsprozesse

Seit Frühjahr 2020 werden im geschäftlichen Umfeld ganze Prozesse neu strukturiert und voll elektronisch umgesetzt – Tendenz 2021 steigend. Hier werden Aspekte wie die nahtlose Integration in existierende Systemlandschaften einen hohen Stellenwert erhalten. Prominentes Beispiel: Die medienbruchfreie Abbildung von Geschäftsvorfällen, die – mithilfe sogenannter Vertrauensdienste – rechtsverbindlich abgewickelt werden müssen.

Dienstleister für elektronisches Identitätsmanagement stehen in den Startlöchern

Ein weiteres Beispiel sind elektronische Identitäten (eID). Hier geht der Trend zu vollständig auf künstlicher Intelligenz (KI) basierenden biometrischen Verfahren, welche vergangenes Jahr bereits in einigen EU-Mitgliedsstaaten zugelassen wurden. Es ist zu erwarten, dass die anstehende Novellierung der EU eIDAS-Verordnung auch die notwendigen Regelungen für nicht-staatliche Anbieter von Lösungen für das Identitätsmanagement umfassen wird.

Stärkung der Informationssicherheit per Gesetz

Im Bereich Kritischer Infrastrukturen rückt die technische Sicherheit wieder mehr in den Fokus der Aufmerksamkeit. Gesetze wie das IT-SiG 2.0 in Deutschland fordern von KRITIS-Unternehmen künftig explizit den Einsatz eines Systems zur Angriffserkennung, beispielsweise in Form eines Security Operation Centers (SOC). Neben dem Betrieb eines ISMS sollten darüber hinaus ein BCMS implementiert und regelmäßige Penetrationstests durchgeführt werden.

Im Fall der Fälle: Notfallpläne & Business Continuity Management Systeme

Die stetige Zunahme von Cyberangriffen fordert schnelle und effektive Sicherheitskonzepte mit eingeübten Reaktionswegen. Ein strukturiertes BCMS bündelt alle Maßnahmen, die im Ernstfall notwendig sind und ermöglicht damit eine sichere und konsequente Reaktion in Krisensituationen.

„Awareness“ & der Faktor Mensch

Menschliches Fehlverhalten ist oft die Ursache für Cyber-Angriffe. Gerade in Zeiten von dezentralen Arbeitsformen ist die entsprechende „Awareness“ für etwa Phishing Mails, durch die sich Angreifer Zugang zu Systemen und Daten verschaffen, enorm wichtig. Viele Unternehmen setzten 2020 verstärkt auf entsprechende Mitarbeiter-Schulungen. Aufgrund der wachsenden Bedeutung solcher Maßnahmen zeichnet sich diese Tendenz auch für das Jahr 2021 klar ab.

ISMS-Ausbau wächst weiter

Der Aufbau von ISMS-Systemen wird – gerade bei KRITIS-Unternehmen – weiter zunehmen. Ein solches System bietet neben der offensichtlichen Risikominimierung auch mehr Transparenz aller IT-Systeme. Zudem optimiert eine entsprechende Zertifizierung, z.B. gemäß ISO 27001, die Außenwirkung eines Unternehmens, welches sich so von Wettbewerbern abhebt und das Vertrauen von Kunden und Vertragspartnern steigern kann.

Integrierte Managementsysteme

Managementsysteme sind vielseitig einsetzbar und für eine Zertifizierung nach ISO 27001 unumgänglich. Um die Effektivität zu optimieren, empfiehlt sich eine Bündelung verschiedener Inhalte in einem integrierten Managementsystem.

Aufbau einer Zero Trust Umgebung

Mitarbeiter nutzen heute in der Regel zwei bis drei Endgeräte für den Zugriff auf Unternehmensdaten – die Aufrechterhaltung einer Endpoint-Security wird dadurch immer komplexer. Eine mögliche Lösung bietet die Zero Trust Network Betrachtung, wo bei jedem internen oder externen Zugriff von einem Angriff ausgegangen und nur über eine erfolgreiche Authentifizierung durch den Mitarbeiter eine Berechtigung erteilt wird.

Durchführung von Red Teaming Assessments

Durch das schnelle Wachstum heterogener IT-Infrastrukturen (Konzernstrukturen, Anbindungen an Töchter und Partner etc.) bildeten sich immer mehr Unternehmenszweige, die bislang nicht das Schutzniveau der Kern-IT erreichen konnten. Zur Sicherheitsüberprüfung komplexer Strukturen werden im kommenden Jahr vermehrt Red Teaming Assessments in den Vordergrund rücken, da diese mit zukunftsweisenden Methoden aus den Bereichen des Penetration-Testing und Social Engineering Angriffsmöglichkeiten zuverlässig identifizieren und Schwachstellen ermitteln können.

*Detlev Henze und Andreas Köberl sind Geschäftsführer der TÜV TRUST IT.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*