Von Cloud-Sicherheit bis zu neuen Regularien
Utimaco: Vier Security-Trends für 2021
Die drastischen Veränderungen im Jahr 2020 haben die Digitalisierung stark forciert. Vor diesem Hintergrund nennt der deutsche Security-Anbieter Utimaco vier Bereiche, die es im Jahr 2021 besonders im Auge zu behalten gilt.
1. Cloud-Sicherheit: Zwar gilt Deutschland bei neuen Technologien eher als konservativ, doch der Siegeszug der Cloud ist auch hierzulande nicht mehr aufzuhalten. Gerade bei verteiltem Arbeiten spielen Cloud-basierte Infrastrukturen ihre großen Vorteile aus. Dennoch haben Unternehmen laut Utimaco immer noch durchaus gerechtfertigte Bedenken bezüglich Datenschutz und Informationssicherheit. Dies müsse man auch vor dem Hintergrund von Gesetzen wie dem US Cloud Act sehen, die dazu geführt haben, dass der oberste EU Gerichtshof die Datenübertragung zwischen Europa und den USA für datenschutzrechtlich unsicher erklärt hat. Um die eigenen Daten sowie die Daten ihrer Kunden zu schützen, setzen daher immer mehr Unternehmen auf flächendeckende Verschlüsselung.
Mit Bring Your Own Key (BYOK), so Utimaco, lasse sich auch bei Cloud-Nutzung verhindern, dass Angreifer mit kompromittierten Accounts des Providers auf Daten zugreifen können. Bei diesem Verfahren erzeugen Unternehmen die zur Kryptografie benötigten Schlüssel selbst und haben über Hardware-Sicherheitsmodule (HSMs) eine weitergehende eigene Kontrolle. Die Verschlüsselung geschieht allerdings immer noch beim Provider, was bedeutet, dass zum Beispiel staatliche Stellen die Entschlüsselung und Herausgabe von Daten erzwingen könnten. Hold Your Own Key (HYOK) erlaube es Unternehmen dagegen, die gesamte Kryptografie im Hause durchzuführen: Man überträgt nur bereits verschlüsselte Daten in die Cloud, und der Provider hat selbst keine Möglichkeit der Entschlüsselung.
2. Größere Angriffsfläche: Traditionell waren IT und OT (Operational Technology) klar voneinander abgegrenzt. Dadurch waren die OT-Systeme mit ihren langen Lebenszyklen vor Angriffen von außen geschützt. Doch bei der Umsetzung von Smart-Factory-Konzepten müssen Unternehmen nun verhindern, dass plötzlich kaum oder gar nicht geschützte OT-Systeme über das Internet angreifbar werden. Dazu benötige man sichere Schnittstellen zwischen den beiden Systemen, wie Utimaco betont. Kryptografie helfe hier, die verschiedenen Sicherheitsniveaus der Netze zu trennen, automatische Updates in der Produktionsumgebung abzusichern sowie die Integrität und Auditierbarkeit der Daten jederzeit zu garantieren. Key Injection bei der Produktion schütze auch vernetzte Bauteile vor Fälschungen.
3. Fachkräftemangel: Das Fehlen gut ausgebildeter Fachkräfte ist ein Problem für die gesamte deutsche Wirtschaft. In der IT tritt es, wie Utimaco feststellt, noch einmal deutlicher zutage – besonders im Bereich der IT-Sicherheit. Aktuell fehlen weltweit mehr als drei Millionen Security-Experten, so der Hersteller. Gleichzeitig müssen sich durch die beschleunigende Digitalisierung immer mehr Unternehmen und Organisationen mit diesen Fragen befassen. Angriffe durch Hacker sind längst nicht mehr nur ein Problem großer Konzerne, auch kleine und mittelständische Firmen müssen sich mit dieser Bedrohung auseinandersetzen. Die beschleunigte Digitalisierung von Gesundheitswesen, öffentlicher Verwaltung und Schul- wie Hochschulwesen vergrößert den Bedarf nach IT-Sicherheit und die damit einhergehende Expertise.
Doch gerade dort, warnt Utimaco, sei die einschlägige Erfahrung bisher gering ausgeprägt. Daher sei schon seit einiger Zeit der Trend zu beobachten, dass spezielle Sicherheitsfunktionen verstärkt in Plattformen und Services zusammengefasst werden. Die Nachfrage werde auch im neuen Jahr weiter zunehmen und ein Unternehmen werde vor allem auch nach Partnern suchen, die alles aus einer Hand bieten. Hier sei es umso wichtiger, auf die Vertrauenswürdigkeit und einschlägigen Zertifizierungen der Anbieter zu achten.
4. Regularien: Im Bereich der rechtlichen Rahmenbedingungen wird es 2021 einige Neuerungen geben, darunter PCI 3.0 im Zahlungsverkehr, Regelungen für den Automobilsektor der UNECE oder der EU Cyber Security Act. Besonders für Deutschland relevant ist das IT-Sicherheitsgesetz 2.0. Es liegt in einem ersten Entwurf bereits seit 2019 vor. Nun wurde es nochmals modifiziert. Man kann also laut Utimacos Einschätzung davon ausgehen, dass es im Laufe des Jahres 2021 verabschiedet wird.
Eine der wichtigsten Implikationen des neuen Gesetzes ist die Bestimmung, dass in kritischen Infrastrukturen (Kritis) nur noch Komponenten verbaut werden dürfen, die über ein vom BSI (Bundesamt für Sicherheit in der Informationstechnik) vergebenes IT-Sicherheitskennzeichen verfügen. Hersteller vernetzter Komponenten müssen zudem gegenüber Kritis-Betreibern eine Garantieerklärung abgeben, die sich über die gesamte Lieferkette erstreckt. Bei Verstößen gegen das neue Gesetz sollen empfindliche Bußgelder drohen, bis zu 20 Millionen Euro oder vier Prozent des weltweit im vergangenen Geschäftsjahr erzielten Jahresumsatzes. Unternehmen von „besonderem öffentlichen Interesse“ müssen zudem ein IT-Sicherheitskonzept beim BSI vorlegen, wofür sie nach Veröffentlichung zwei Jahre Zeit haben. Welche Unternehmen dazu zählen, so Utimaco, müsse aber erst noch spezifiziert werden.
Weitere Informationen finden sich unter www.utimaco.com.
Lesen Sie mehr zum Thema
