TÜV Rheinland Cybersecurity Trends 2015

Inhalt:

  1. Compliance: Der Druck auf Organisationen wächst
  2. APT: Unternehmen greifen verstärkt auf externe Experten zurück 
  3. Der internationale Patient: IT Security Medical Devices
  4. Internet der Dinge (IoT): neue Dimension von Sicherheitsrisiken
  5. Industrie 4.0: Sicherheit muss durchgesetzt werden
  6. Vernetztes Fahren: Wem gehören die Daten?
  7. Cloud: Public wächst, Private auch.

1. Compliance: Der Druck auf Unternehmen wächst

  • Die IT-Sicherheits-Budgets werden steigen, ebenso wie die Kosten für Datenpannen, Bußgelder und Klagen wegen Datenschutzverstößen. Denn die regulatorischen Anforderungen an Unternehmen auf nationaler wie europäischer Ebene nehmen weiter zu. Dazu zählen unter anderem das deutsche IT-Sicherheitsgesetz und die EU-Datenschutzreform, die eine Meldepflicht für Unternehmen, eine Stärkung der Kompetenzen nationaler  Datenschutzbehörden sowie bei Verstößen die Möglichkeit von Bußgeldern in Höhe von bis zu fünf Prozent des jeweiligen weltweiten Jahresumsatzes vorsieht.
     
  • Unternehmen investieren verstärkt in GRC-Systeme. Vor dem Compliance-Hintergrund und dem wachsenden Risiko, Opfer von Cyber-Attacken zu werden (siehe auch APT), werden Unternehmen in effektive und am Risiko orientierte Governance-Systeme für Informationssicherheit investieren und ihre Prozesse und Tools entsprechend anpassen – müssen, wenn sie zukunftssicher bleiben wollen. Notfallmanagement-Systeme werden immer häufiger in Business Continuity-Management-Systeme migriert.
     
  • Mobile vs. Privacy: Mobile Plattformen wie Telefone und Tablets werden künftig häufiger Sicherheits- und Privacy-Probleme aufwerfen und das teilweise bedingt durch ihr Design. Menschen, die gewöhnt sind, ihr Leben und ihre Familien von unterwegs aus per Mobile Device zu managen, legen zunehmend mehr Wert auf den Schutz persönlicher Daten. Organisationen, die dieses Problem nicht berücksichtigen, werden dafür abgestraft: Insbesondere über Multiplikatoren wie soziale Medien werden Leaks zunehmend öffentlich und Verbraucher ihren Frust abreagieren.

2. APT: Unternehmen greifen verstärkt auf externe Experten zurück  

  • Organisationen – überfallen, ahnungslos, überfordert. Mit den etablierten Werkzeugen und Methoden können Organisationen die Abwehr gezielter komplexer Angriffe nicht stemmen. Viele Organisationen sind kompromittiert, ohne es zu ahnen. Deshalb setzen Unternehmen verstärkt auf innovative analytische Tools. Daneben greifen sie auf externe Experten zurück, die diese innovativen Technologien beherrschen und über hochaktuelles Know-how verfügen, um APT zu erkennen und ihre Auswirkungen schnellstmöglich einzugrenzen. Dazu zählt, mögliche Bedrohungen zu erfassen, Sicherheitsvorfälle zu erkennen und sie einzuordnen, Maßnahmen zu priorisieren, Angriffe adaptiv abzuwehren und für die Organisation die richtigen Schlüsse daraus zu ziehen, z.B. Notfallprozesse neu zu designen. TÜV Rheinland rechnet damit, dass sein SIRT-Team (Security Incident Response Team) in 2015 noch häufiger gefragt ist als bisher und das nicht nur im Mittelstand, sondern auch in Großunternehmen.
     
  • Die gefährdetsten Branchen: Das Risiko, Opfer gezielter komplexer Angriffe (APT = Advanced Persistent Threats) zu werden, wächst weiter. Im Windschatten aktueller geopolitischer Konflikte und Unsicherheiten entfalten Hacker neue und innovative Aktivitäten. Bevorzugte Branchen sind Handel, Bankenwesen und Finanzmärkte sowie der Energiesektor, wobei zu betonen ist, dass inzwischen keine Branche mehr von Angriffen ausgenommen ist. Das Hacking ist zu einem schlagkräftigen Wirtschaftszweig geworden, mit gut organisiertem Vertrieb, der Angriffe und Sicherheitslücken systematisch vermarktet.
  • Verstärkt im Fokus von Angreifern: Lieferanten. Aufgrund der steigenden internationalen bzw. strukturellen Vernetzung werden Hersteller, Prüfdienstleister und Regulierungsbehörden verstärkt die Frage nach der Verwundbarkeit von Third Parties und deren Risikomanagement stellen. Vor allem bei Kleinst-Zulieferern und Mittelstand werden Angreifer nach dem schwächsten Glied in der Kette suchen, gefährdet allerdings sind alle. Es ist mit neuen Zero-Day-Exploits und weiteren erheblichen Mängeln in Internet-Infrastrukturen zu rechnen, die eine Reihe von Notfall-Patch-Zyklen nach sich ziehen werden.

3. Der internationale Patient: IT Security Medical Devices

  • Erheblicher Nachholbedarf bei wirksamen Schutzkonzepten: Funktionale Stillstände bzw. Betriebsunterbrechungen durch Angriffe auf Medizin-Geräte zählen auch in 2015  zu den Hauptrisiken. Für den Diebstahl und Verkauf sensibler Patienten-Daten gibt es noch begrenzte regionale Märkte wie etwa die USA. Motive der Kriminellen sind hier sowohl Versicherungsbetrug als auch der Zugang zu medizinischer Versorgung und verschreibungspflichtigen Medikamenten mittels Identitätsdiebstahl. Dem Schutz sensibler Patientendaten sowie den Bereichen Safety und Security und deren Harmonisierung im Gesundheitswesen wird künftig eine vergleichbar hohe Priorität einzuräumen sein wie in der industriellen Produktion – auch weil in Bezug auf den Einsatz von Informationssicherheits-Management-Systemen sowie Investments in wirksame Schutzkonzepte in der Branche national wie international noch erheblicher Nachholbedarf besteht.
  • Sicherheit von Medizingeräten wird verstärkt reguliert – Vorreiter USA: Angesichts der Bedrohungslage ist es wahrscheinlich, dass auch hier der regulatorische Druck seitens der Aufsichtsbehörden wächst. Vorreiter auf diesem Gebiet sind die USA. Hier herrscht zurzeit ein extrem hoher Druck, Medizintechnik sicherer zu machen. Ende 2014 veröffentlichte die amerikanische Regulierungsbehörde FDA (Food and Drug Administration) Leitlinien zur Sicherheit von Medizingeräten, die sowohl dem Bereich der Sicherheitsanalysen als auch der Applikationssicherheit weitere Dynamik verleihen werden. Gemeint ist die geplante und geprüfte Sicherheit für Anwendungen, Sicherheitsmanagement vom Projektstart über die Entwicklungsphase bis hin zur Abnahme und Zertifizierung.
  • IT Security wird zum Markt-Zulassungsmerkmal: Die neuen Leitlinien der FDA verpflichten Hersteller, IT-Sicherheit bereits in der Entwicklungsphase der Geräte und im Rahmen des Risikomanagements zu berücksichtigen, mögliche Bedrohungen und Schwachstellen zu benennen und die Wahrscheinlichkeit zu beschreiben, mit der diese Sicherheitslücken ausgenutzt werden können. Dienstleister wie TÜV Rheinland und die US-Tochter OpenSky begleiten Unternehmen hier verstärkt im Bereich Sicherheitsanalyse und Penetrationstests bereits in der Entwicklung der Software für Medizin-Geräte.
    Zudem sind Hersteller verpflichtet, wirksame Abwehrstrategien zu definieren. Auch hier gilt: Angesichts des hohen Risikos von Cyber-Attacken und der wachsenden Vernetzung zwischen medizinischen Einrichtungen, mobilen Kommunikationsmitteln und Therapiegeräten mit unmittelbarer Einwirkung auf den Menschen wird es immer wichtiger, die Sicherheit der IT im gesamten Lebenszyklus von Produkten, Systemen und der Software zu berücksichtigen und passende Sicherheitsarchitekturen aufzubauen. Das wird auch deshalb höchste Zeit, weil die Entwicklung des „Internet of Things“ dynamisch voranschreitet. Welche Auswirkungen das „IoT“ auf die Informationssicherheit im Medizinbetrieb der Zukunft haben wird, lässt sich heute in seinem ganzen Ausmaß noch kaum zuverlässig abschätzen. 

4. Internet der Dinge (IoT): neue Dimension von Sicherheitsrisiken

  • Rasante Entwicklung. Das Internet der Dinge (Internet of Things – IoT) wirft seine Schatten deutlich voraus: Marktforscher wie Gartner rechnen damit, dass wir 2015 schon von 4,9 Milliarden vernetzter Gegenstände umgeben sein werden. Bis 2025 sollen es bis zu 30 Mrd. Geräte sein. Treiber für das IoT sind unter anderem die weitere Optimierung aktueller Businessmodelle wie das Marketing über Geolocation Services, Smart Home, das vernetzte Fahren und Industrie 4.0..
     
  • Der Fortschritt ist immer auch eine Sicherheitsfrage. Die Diskussion über die Sicherheit von Informationen, Daten und Privatsphäre hat in vielen relevanten Bereichen des IoT gerade erst begonnen. Ob Komfortdienste im Auto, intelligente Überwachungssysteme, kluge Thermostate und clevere Lichtanlagen zuhause oder vernetzte Produktionsanlagen: Was früher durch Mauern geschützt war, ist durch die zunehmende Vernetzung von Sensoren, Cloud Services und Mobile Devices heute ganz neuen Gefahren wie etwa Cyber-Angriffen ausgesetzt. Aktuelle Beispiele dafür sind die Angriffe mit Live-Feeds ins Netz, darunter auf Web-Sicherheitskameras, Mikrofone oder Bewegungsmelder in Wohnhäusern oder das Kappen der Stromversorgung in mehreren Haushalten über den unberechtigten Angriff von außen auf Smart Grids.
     
  • Safety & Security by Design: Das Bundeswirtschaftsministerium arbeitet derzeit daran, Deutschland zu einem Schlüsselmarkt für Smart Home zu entwickeln. Das wird allerdings nur dann Erfolg haben, wenn es gelingt, den gegenwärtigen Bedrohungsszenarien belastbare Sicherheitsstandards und Prüfverfahren für Netzwerke, Mobile Devices und Software entgegenzusetzen und aufzuerlegen. Denn nicht behobene Schwachstellen werden Auswirkungen ganz anderer Dimension haben. Dabei ist nicht erst in Netzwerken oder im Berechtigungsmanagement anzusetzen, sondern vor allem schon bei Safety & Security by Design.
     
  • Ohne Druck des Gesetzgebers geht es nicht: Die US-Aufsichtsbehörde im Bereich Medizin-Geräte-Sicherheit macht es gerade vor. Ohne regulatorischen Druck auf die Hersteller von IoT-Geräten, die Betreiber von Netzwerken bzw. WLANs sowie Cloud Service Provider wird es vermutlich auch beim Internet der Dinge keine echte Entwicklung in punkto Informationssicherheit geben. Sobald die ersten nennenswerten Sicherheitsvorfälle auftreten, wird der Hype stagnieren, effektives Marktpotenzial wird vernichtet. Das Vertrauen von Verbrauchern wie Entscheidern wieder aufzubauen wird aufwändig und teuer. Angesicht der allgemeinen Bedrohungslage und der noch fehlenden Regularien ist es mehr als unwahrscheinlich, dass es nicht dazu kommt.

5. Industrie 4.0: Sicherheit muss durchgesetzt werden

  • Die Revolution pocht an die Tür – wesentliche Sicherheitsfragen ungeklärt: IT-Lösungen zur Fernwartung von Anlagen und Maschinen, intelligente Produktionsanlagen und sich selbst steuernde Prozesse, eine noch stärkere Verknüpfung von kaufmännischen mit produktionsnahen Systemen, modernere Automatisierungslösungen: Der Mensch wird in Produktionshallen immer seltener gefragt sein. Maschinen und Werkstücke übernehmen bald viele Entscheidungen selbständig, indem sie Daten austauschen. In punkto Automatisierungsgrad liegt Deutschland heute schon europaweit an der Spitze und belegt weltweit Platz 3.  Wenn es um die „Innovation Readyness“ für Industrie 4.0 geht, ist die Automobilindustrie in Deutschland klar der Motor der Entwicklung.
  • Doch wenn sich der Produktionsbetrieb selbst organisiert, wenn das Auto, ausgestattet mit einem RFID-Chip, sich selbst über die Produktionsstraße navigiert und Informationen über seinen Endzustand und seinen nächsten Fertigungsschritt an Maschinen und die Logistik kommuniziert, dann entstehen neue Verwundbarkeiten. Die damit verbundenen Sicherheitsfragen sind ungelöst, das Vertrauen in die Sicherheit innovativer Lösungen in Deutschlands Mittelstand und im produzierenden Gewerbe noch gering. Die Gründung eines Bündnisses der Bundesregierung „Zukunft der Industrie“ ist ein richtiger, aber eben nur ein Schritt in die richtige Richtung.
  • Informationssicherheit „Made in Germany“ als Vertrauensturbo: Deutschland wird mit der weltweiten Wirtschaft in punkto 4. Industrielle Revolution nur Schritt halten können, wenn es gelingt, das Vertrauen in die Cyber-Sicherheit von Grundlagentechnologien wie dem Internet der Dinge und der Cloud weiter zu stärken und zwar auf der Grundlage von Informations-sicherheit „Made in Germany“. Die Schaffung und Durchsetzung verlässlicher regulatorischer Standards auf nationaler wie europäischer Ebene und mutige strategische Initiativen seitens der Privatwirtschaft sind wichtiger denn je. Doch auch hier gilt: Die Informationssicherheit muss nicht neu erfunden werden. Vorhandene Konzepte und Lösungen sind vorhanden, sie müssen allerdings auch angewendet werden.

6. Vernetztes Fahren: Wem gehören die Daten?

  • Connectivity wichtiger als PS: Echtzeit-Wartungsinformationen, ortsbasierte Empfehlungen, dynamische Stauprognosen oder Musikstreaming –  2015 werden Connectivity-Car-Angebote für Autokäufer zu einem zentralen Kaufargument. Die Vernetzung wird wichtiger als die Leistung des Fahrzeugs, so eine aktuelle McKinsey-Studie. Und das ist erst der Anfang: Der weltweite Markt für Connectivity-Komponenten und -Dienste wird sich bis zum Jahr 2020 von heute 30 Milliarden Euro auf dann 170 Milliarden Euro mehr als verfünffachen.
  • Datensammler auf vier Rädern: Das Auto als intelligente Leitzentrale für Straßenzustände, Wetter, Gefahrenpunkte, Infotainment: Alle gesammelten Daten lassen sich auswerten und für andere bereitstellen. Big Data wird auch durch die Car-to-X-Kommunikation getrieben. Die Umsätze sollen sich in den nächsten fünf Jahren weltweit vervierfachen: auf rund 113 Mrd. Euro. Das Auto wird zur Datenkrake. Wesentliche Fragen des Datenschutzes sind allerdings ungeklärt: Wem gehören die Daten? Dem Besitzer, dem Staat oder dem Hersteller, der diese Daten sammelt? Unter anderem eine Selbstverpflichtung der Hersteller steht im Raum, doch angesichts der übergeordneten Bedeutung von Privatsphäre und Datenschutz einerseits und der Sicherheit von Mensch und Straßenverkehr ist hier der Gesetzgeber gefragt. Es muss verhindert werden, dass Bewegungsprofile der Fahrzeuge oder Halterinformationen gespeichert oder verarbeitet werden. Daneben muss die komplette Wertschöpfungskette in der Industrie mit Hochdruck an Lösungen arbeiten, die verhindern, dass gefährliche Eingriffe in die Fahrzeug-IT von außen überhaupt möglich sind.
  • Alle Partner sind gefragt: Denn in punkto End-to-End-Absicherung des vernetzten Fahrzeugs ist 2015 nicht mit ganzheitlichen Sicherheitslösungen zu rechnen. Der intelligente Pkw ist verwundbar, ob durch Angriffe auf das WLAN im Fahrzeug, Eingriffe in die Motorsteuerung per Bluetooth oder per Malware, eingeschleust über Kommunikationsschnittstellen. Die Herausforderung, die Sicherheit ständig und über den gesamten Lebenszyklus aktuell zu halten, ist sicher nicht trivial und erfordert intelligente Lösungen, die  vereinte interdisziplinäre Anstrengungen aller erfordern, die Partner sind entlang der Wertschöpfungskette: Automobilhersteller, Zulieferer, IT-  und IT Security-Experten, für das Internet der Dinge und für Cyber-Sicherheit.

7. Cloud: Public wächst, Private auch.

  • Fortschritt braucht Sicherheit. Nutzer wollen heute jederzeit auf ihre Daten zugreifen können. Die Cloud ist nicht nur eine wichtige Säule für das Ubiquitous Computing, sondern auch für das Internet der Dinge, für neue Formen der Zusammenarbeit, für Industrie 4.0, für den technologischen Fortschritt im Medizinwesen, für Big Data, für die Verarbeitung riesiger Datenmengen …, kurz: Der Trend zur Datenwolke ist unumkehrbar. Schon aufgrund ihrer vermeintlichen Unverzichtbarkeit wird die Diskussion um ihre Sicherheit weiterhin anhalten. Cloud Service Provider werden sich verstärkt fragen lassen müssen, wie resilient ihre eigene, cloudbasierte Sicherheitsarchitektur gegenüber Cyber-Angriffen tatsächlich ist.
  • Unternehmen nehmen Private Cloud in den Fokus: Cloud verspricht Innovation und Fortschritt, aber beides gibt es nur mit dem Vertrauen der Cloud-User. Vertrauen aber kann nur wachsen, wenn die Lösungen auch sicher sind. Die Debatte um die Sicherheit in der Cloud wird 2015 reifer. User lernen stärker zu differenzieren, für welche Services die Public Cloud genutzt werden kann und welche Orientierungshilfen es für die Sicherheit von Cloud Services am Markt gibt (Zertifikate). Neben dem weiter wachsenden Markt für Public Cloud Computing ist auch die Private Cloud auf dem Vormarsch, denn Unternehmen erkennen, dass sie in unternehmenskritischen Bereichen umsteigen müssen, um ihre digitalen Kronjuwelen zu schützen.
     
  • Revolution der Geschäftsmodelle durch Social Login: Die immer häufigere Kombination von Consumer-Cloud-Lösungen mit mobilem Zugang und sozialer Authentifizierung (Social Login, z.B. über ein soziales Netzwerk wie Facebook) birgt weitere Herausforderungen. Wenn am Arbeitsplatz häufiger Consumer-Cloud-Services zum Einsatz kommen, dann wird dies auch Sicherheitsfragen mit Blick auf das geistige Eigentum der betroffenen Unternehmen aufwerfen. Denn insbesondere Digital Natives stellen kaum einen Zusammenhang zwischen Sicherheitsfragen und frei zugänglichen Internet-Services her. Zugleich zeichnet sich bereits jetzt ab, dass dieser Trend bei Unternehmen mit einem eher traditionelleren Marktzugang – etwa aus dem Bankenwesen – ein Umdenken erzeugt: Im Wettbewerb um neue Märkte und Kunden kann die Einführung eigener Mehrwertdienste in Verbindung mit Social-Media-Aktivitäten ein Weg in die Zukunft sein. Wesentlich wird sein, dass diese Unternehmen den Vertrauensvorschuss in die Sicherheit, den sie im Vergleich zu sozialen Plattformen genießen und z.B. durch Zertifizierungen auch belegen können, auch tatsächlich ausspielen.