Cyber-Security Trends und Technologien

Nicht nur neue Regulierungen und Gesetzgebungen, sondern auch neue Trends und Technologien verändern die Cyber-Security-Branche und -Landschaft stetig. Im September 2022 hat die Europäische Kommission beispielsweise den 50-seitigen Entwurf des Cyber Resilience Act vorgelegt, mit dem sie die Cybersicherheit von Produkten mit digitalen Komponenten verbessern möchte. So zumindest der Grundgedanke.

Aber welche Auswirkungen hat dieser Entwurf auf unseren Arbeitsalltag, der mehr und mehr durch Digitalisierung geprägt ist? Insbesondere in Anbetracht des immer weiter zunehmenden Einflusses von Künstlicher Intelligenz. Und ist künstliche Intelligenz nun eigentlich Fluch oder Segen für die digitale Sicherheit? In diesem Beitrag gehen wir neben dem Cyber Resilience Act auch den aktuell wichtigsten Cyber Security Trends und Technologien auf den Grund.

Neue Gesetze & Regulierungen im Cyber-Security-Bereich

Der Cyber Resilience Act (CRA) - was hat es damit auf sich?

Technische und digitale Produkte, die von Unternehmen genutzt oder hergestellt und an Endkunden vertrieben werden, sind Bestandteil von Lieferketten. Diese wiederum sind gerne und oft Ziel von Cyberangriffen, da man hier nicht selten mehreren Parteien gleichzeitig schaden und somit mehr erbeuten kann. Man stelle sich manipulierte oder unsichere Chips vor, die letztendlich in Firmencomputer und -handys eingebaut werden … Die Folgen möchten wir uns lieber nicht vorstellen.

Der Gesetzentwurf sieht für diese Produkte vor, dass bereits in den Phasen Design, Entwicklung, Produktion und auch während der Inbetriebnahme und Nutzung entsprechende Cyber-Security-Maßnahmen implementiert werden, die dem jeweiligen Risiko angemessen sind. Hier wird zwischen sogenannten low-risk und high-risk Kategorien unterschieden. Allerdings befinden wir uns hier noch in der Phase der Umsetzung. Der Erfolg des CRA hängt nicht nur davon ab, dass seine Vorgaben praktikabel und umsetzbar sind, sondern auch davon, ob ein Unternehmen sich seiner Schwachstellen bewusst ist und das entsprechend geschulte Personal zur Verfügung hat - inklusive der nötigen Cyber-Security-Awareness.

Neben regulatorischen Entwicklungen wird die Cyber Security auch maßgeblich durch neue Trends und Technologien geprägt.

Die wichtigsten Cyber Security Trends und Bedrohungen

Social Engineering

Bei der Bedrohung des Social Engineerings steht der Mensch im Mittelpunkt, denn er ist die Schnittstelle zwischen privaten und beruflichen Informationen und somit ein beliebtes Ziel für zielgerichtete Attacken. Die Angreifer sammeln möglichst viele Informationen über ihre Opfer, um Vertrauen zu wecken und dann durch zwischenmenschliche Manipulation Zugang zu geheimen Daten, Passwörtern oder Räumlichkeiten zu erhalten. Für Unternehmen ist diese Bedrohung eine große Herausforderung, da selbst die sichersten Systeme keinen Schutz gegen Social Engineering bieten.

Den besten Schutz gegen solch perfide Angriffe bietet eine menschliche Firewall, die Sie durch eine effektive Cyber-Security-Sensibilisierung der Mitarbeitenden erreichen.

Cybersicherheit im Homeoffice

Seit der Covid-19-Pandemie ist das Arbeiten remote oder aus dem Homeoffice nicht mehr wegzudenken. Umso wichtiger ist es, sowohl die privaten Räumlichkeiten und Geräte, als auch die digitale Infrastruktur (Stichwort Cloud-Dienste) schnellstmöglich auf einen guten Cyber-Sicherheitsstand zu bringen. Nur so können Sie sich und Ihr Unternehmen ausreichend vor internen und externen Angriffen schützen kann. Das ist in der Praxis leider oftmals gar nicht so einfach, vor allem bei wechselnden Arbeitsorten mit öffentlichen WLAN-Netzen und Co.

Ein paar Tipps:

Halten Sie Ihr System und Anti-Virenscanner immer aktuell und speichern Sie keine dienstlichen Informationen auf privaten Geräten oder Netzwerken. Achten Sie außerdem darauf, Ihren Computer immer zu sperren, sensible Dokumente in einen Aktenschrank zu sperren, und bei Remote Work zudem Diebstahl Ihrer Geräte und unsichere, öffentliche WLAN-Netze zu vermeiden.

Infrastrukturen als Angriffsziel

Da Cyberkriminelle immer professioneller werden und auch vor virtueller Kriegsführung nicht zurückweichen, wird eine stabile und geschützte Infrastruktur zunehmend wichtiger. Und das nicht nur in hochsensiblen Sektoren wie dem Medizin-, Gesundheits- und Flugsicherheitssektor.

In der Politik ist man sich dessen weitestgehend bewusst und arbeitet an neuen Gesetzen und Regulierungen, an die sich Unternehmen halten müssen. In Deutschland gibt es beispielsweise das KRITIS-Dachgesetz, das für Anbieter kritischer Infrastrukturen Mindestvorgaben für das Gesamtsystem stellt und es somit widerstandsfähiger machen soll. Für Unternehmen, die Ihre Informationssicherheit unabhängig von gesetzlichen Vorgaben zertifizieren lassen möchten, gibt es z.B. die ISO 27001.

Multi-Faktor-Authentifizierung (MFA)

Diese Technologie können Unternehmen aktiv nutzen, um sich und ihre Mitarbeitenden zu schützen, denn es gilt aktuell als der höchste Authentifizierungsstandard. Doch auch hier ist Vorsicht geboten: nicht alle Methoden der MFA sind gleichermaßen sicher. Programm-basierte Tools wie Sicherheitsschlüssel und App-basierte Varianten haben einen höheren Schutz als Telefon-basierte, da sich hierbei kriminelle Akteure relativ schnell und einfach einschleichen können. Dies kann vor allem im Online-Banking oder bei der gemeinsamen Nutzung von Cloud-Services unangenehme Konsequenzen mit sich bringen.

Zudem schützt ein zweiter Faktor auch nicht vor Social Engineering oder gezielten Phishing Attacken. Hier kommt es wiederum auf die Sensibilisierung der Mitarbeitenden an.

Zunahme von Phishing & Co.

Wo wir gerade beim Thema Phishing sind: Mit einem Allzeithoch von rund 300.000 Angriffen - alleine in 2019 - hat sich das Phishing zu einer der weitverbreitetsten Formen der Cyberangriffe entwickelt. Dementsprechend war es nur eine Frage der Zeit, bis sich hier neue Varianten ergeben würden.

Beim Smishing werden zum Beispiel überzeugend echt aussehende SMS- und Textnachrichten versendet, zum Beispiel von vermeintlichen Postdiensten oder Banken. Damit möchten die Angreifer potenzielle Opfer dazu zu bringen, private Informationen preiszugeben oder schadhafte Links und Anhänge anzuklicken.

Eine weitere, neue Variante ist das Vishing (‘Voice Phishing’), bei dem durch automatisierte Telefonanrufe versucht wird, den Empfänger zur Herausgabe von Zugangsdaten etc. zu bewegen.

Noch perfider: Beim Spear-Phishing gehen Cyber-Kriminelle sogar so weit, dass sie ihren E-Mail-Betrug mit öffentlich zugänglichen Informationen (z. B. aus Social Media) anreichern und so gezielt einzelne Empfänger täuschen möchten. Damit werden aus diesen Attacken zum Teil gezielte Social Engineering Attacken. Mit jeder neuen Phishing-Methode nimmt auch die Bedrohung zu.

Sie möchten Ihr Unternehmen vor Phishing schützen?

Wir beraten Sie gerne.

Kontakt

Künstliche Intelligenz

Am Trend der künstlichen Intelligenz führt aktuell kein Weg vorbei - und auch keine Diskussion. Regelmäßig scheiden sich hier die Geister: Chance oder Gefahr? Das ist mit Blick auf die Cyber-Security nicht anders. Auch hier können KIs positiv und negativ betrachtet werden. Unternehmen, die künstliche Intelligenz zum erweiterten Schutz ihrer Daten, Infrastrukturen und Systeme einsetzen, können potenzielle Angriffe automatisiert abwehren oder zumindest schneller erkennen und frühzeitig stark eindämmen.

Gleichzeitig sind aber natürlich auch Kriminelle auf den Trichter gekommen, KI-Technologie für ihre Zwecke zu nutzen, z. B. für bessere Ransomware-E-Mails dank ChatGPT. Egal, aus welcher Perspektive man Künstliche Intelligenz betrachtet - eines ist sicher: Sie wird in Zukunft großen Einfluss auf die Entwicklungen in der Cybersicherheit haben.

Das ‘Internet der Dinge’ (Internet of Things)

Wie sieht es eigentlich mit Geräten aus, die weder Computer, Telefon, noch Server sind, aber trotzdem mit dem Internet verbunden sind? Smartwatches, Sprachassistenten, SmartCars, intelligente Kühlschränke, um nur ein paar Beispiele zu nennen. Diese Geräte machen uns das Leben einfacher, dank Digitalisierung und Smart Home.

Leider bergen auch diese Geräte immer ein gewisses Sicherheitsrisiko, da sie die Angriffsfläche für Cyberattacken deutlich erhöhen. Erschwerend kommen diverse Schwachstellen dieser Geräte hinzu - zum Beispiel durch mangelnde Speicherkapazität, die kaum genug Platz für Firewalls und Antivirensoftware aufbringt.

Cloud-Services

Sie haben sich - besonders während der Pandemie - als extrem nützlich erwiesen, da mehrere Benutzer von verschiedenen Standorten aus auf Daten zugreifen können. Das macht die Cloud effizient, kosten- und platzsparend. Allerdings müssen Cloud-Services gut konfiguriert werden.
Aber nicht nur das: Mitarbeitenden muss auch klar sein, welche Cloud-Services genutzt werden dürfen. Wenn User anfangen, selbst Cloud-Software im Internet zu nutzen, können unsichere Schnittstellen oder fehlerhaft konfigurierte Cloud-Einstellungen schnell zum Einfallstor für Cyber-Bedrohungen werden.

Die Implementierung sicherer Cloud-Schutz-Maßnahmen ist für Unternehmen unverzichtbar und setzt ein gewisses IT-Know-How und ein Verständnis für international variierende Gesetzesvorgaben voraus.

Was nun? Zielgruppengerechte Awareness-Trainings für mehr Sicherheit

Technik und Prozesse sind nur so gut wie diejenigen, die sie erarbeiten, betreuen und schlussendlich nutzen. Während anfänglich der Fokus ausschließlich auf breit angelegte Schulungen zum Thema Cyber-Security-Awareness lag, wird sich der Trend zukünftig zusätzlich auf Trainings für konkrete Zielgruppen und ihre Bedürfnisse konzentrieren. Denn die Finance Abteilung wird eine andere Form der Schulung benötigen als ein IT-Admin oder Vorstandsassistenten, und diese wiederum eine andere als die Produktionsmitarbeitenden.

Denn: Sie alle haben verschiedene Admin- und Zugriffsrechte mit unterschiedlichen Sicherheitsfreigaben. Es gibt Bedrohungen, wie z.B. den CEO-Fraud, von denen aus Imagegründen nicht so viel berichtet wird. Und das, obwohl sich die Fälle auch im deutschsprachigen Raum häufen. Ganz gleich bei welcher Unternehmensgröße, es ist absolut unerlässlich, alle Mitarbeiter für solche Gefahren zu sensibilisieren und zu schulen.

Unser Fazit

Insgesamt gibt es viele Cyber-Security-Trends und -Technologien, die Unternehmen dabei helfen können, sich gegen Angriffe zu schützen. Doch trotz aller technischer Maßnahmen ist die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter unerlässlich. Denn viele Bedrohungen können nur durch ein entsprechendes Bewusstsein und entsprechendes Verhalten abgewehrt werden. Deshalb ist es wichtig, dass Unternehmen ihre Mitarbeiter regelmäßig und intensiv schulen und das Bewusstsein für Cyber-Security stärken. Nur so kann ein umfassender Schutz gewährleistet werden. Wir bei IS-FOX unterstützen Unternehmen dabei gerne und bieten umfassende Cyber Security E-Learnings und Trainings an, um die Mitarbeiter-Sensibilisierung zu erhöhen.

Beratung? Preise? Referenzen?

Holen Sie sich einen Demozugang und lassen Sie uns in einem Webmeeting über Ihren Bedarf sprechen. Wir zeigen Ihnen, welche Mitarbeiter-Schulungen wir in vergleichbaren Kundensituation erfolgreich umgesetzt haben.