Fünf Gefahrenfelder

Expertenstimmen mit Security-Prognosen für 2023

München, Dezember 2022 - Für 2023 prognostizieren Experten verschiedener Unternehmen neue Entwicklungen im Bereich IT-Sicherheit und Datenschutz. Die wesentlichen Themen: Weiterentwicklung von Bring-Your-Own-Device-Richtlinien für optimale User Experience; Anstieg schwerwiegender Cyberangriffe aufgrund Fachkräftemangel in der Cybersecurity; KI- und Machine Learning-gestützte Governance-Lösungen; Zero-Trust-Netzwerke und E2EE in der Cloud-Kommunikation sowie die IT-Verwaltung in kleinen und mittelgroßen Betrieben.

Entlassungswelle führt zu erhöhten Sicherheitsrisiken durch Insider

 "Auch im Jahr 2023 werden die Sicherheitsrisiken für Unternehmen, die von Dritten ausgehen, nicht einfach verschwinden. Angesichts eines drohenden wirtschaftlichen Abschwungs verhängen viele Unternehmen Einstellungsstopps und entlassen in vielen Fällen sogar Mitarbeitende, was zu einem erhöhten Sicherheitsrisiko führen wird. Denn die dadurch entstehenden Lücken in der Personaldecke werden oftmals durch Berater und andere Externe gefüllt, die Zugang zu den Unternehmensnetzwerken und damit zu vertraulichen Informationen erhalten. Der Grad, zu dem sie hinsichtlich Sicherheit und Datenschutz geschult und in die Unternehmensprozesse eingebunden werden, ist dabei jedoch nicht mit dem von festen Mitarbeitenden vergleichbar. Wird beispielsweise das Endgerät eines Externen kompromittiert, so ist es für Malware vergleichsweise einfach, in Unternehmensnetzwerke einzudringen und von dort aus auch auf andere Endgeräte überzuspringen – so entsteht eine Gefahr für das gesamte Unternehmen.", konstatiert Fran Rosch von ForgeRock.

Er fährt fort: "Eine Lösung für diese Herausforderung ist eine zuverlässige Governance-Lösung, die Unternehmen einen besseren Überblick darüber verschafft, wer in den Unternehmensnetzwerken von welchem Gerät und welchem Standort aus auf welche Informationen zugreifen kann. Ein solche Lösung, KI- und Machine Learning-gestützt, ist für große Unternehmen die einzige Möglichkeit, dies effektiv zu erfassen und zu verwalten."

IT-Sicherheit darf die User Experience und Produktivität nicht schmälern

Oliver Hillegaart, Regional Manager DACH bei Jamf, äußert sich zur User Experience: "IT-Sicherheit und Datenschutz sind wichtig, sollten aber nicht auf Kosten der User Experience mit dem Holzhammer durchgesetzt werden. Diese Bemühungen erreichen sonst genau das Gegenteil. Wenn IT-Verantwortliche in Unternehmen die Funktionalität von Anwendungen und Geräten im Namen der Sicherheit so weit einschränken, dass sie ihren Zweck – den Arbeitsalltag zu vereinfachen – nicht mehr erfüllen, werden sich Mitarbeiter:innen über kurz oder lang Alternativen suchen, meist in Form von im Vergleich weniger geschützten, privaten Geräten.

Dementsprechend müssen sich sowohl Sicherheits- als auch Bring-Your-Own-Device-Richtlinien (BYOD) und -Angebote dahingehend weiterentwickeln, dass eine optimale, endverbraucherähnliche Nutzererfahrung möglich wird, zum Beispiel durch eine sinnvolle Partitionierung von privaten Geräten. Anbieter und IT-Verantwortliche in Unternehmen müssen gemeinsam überzeugende Lösungen finden und anbieten. Sie müssen an der Implementierung innovativer Technologien arbeiten, die sowohl Privatsphäre schützen als auch die Produktivität von Mitarbeitenden fördern, ohne dabei deren Arbeitsalltag zu beeinträchtigen."

Personalmangel in der Cybersicherheit erreicht Höhepunkt und hat schwerwiegende Angriffe zur Folge

Seine Befürchtungen drückt Marcin Kleczynski, CEO von Malwarebytes, folgendermaßen aus: "Der IT-Fachkräftemangel ist schon lange kein Geheimnis mehr. Laut einer aktuellen Bitkom-Studie zum Arbeitsmarkt für IT-Fachkräfte fehlen in Deutschlands Unternehmen derzeit 137.000 IT-Expertinnen und Experten, rund 10 Prozent mehr als 2019. Im Bereich Cybersicherheit ist die Personallücke in Deutschland im Vergleich zu 2021 sogar um 52,8 Prozent gewachsen, so ein Ergebnis der (ISC)2 Cybersecurity Workforce Study 2022.
Diese Lage wird sich in 2023 noch weiter zuspitzen. Ich gehe daher stark davon aus, dass wir im kommenden Jahr vermehrt schwerwiegende Angriffe erleben werden, die direkt in Verbindung mit dem Mangel an Cybersicherheitsfachkräften gebracht werden können. Denn überlastete, unterbesetzte IT-Sicherheitsteams machen zwangsläufig Fehler. Sie sind nicht mehr in der Lage, angemessen auf die aktuelle Menge und Raffinesse an Cyberbedrohungen zu reagieren.
Als Branche müssen wir uns dieses Risiko bewusst machen und es präventiv angehen. Zum einen müssen wir neue Talente für IT-Sicherheit ausbilden, um die Personallücke möglichst schnell zu schließen. Zum anderen brauchen wir neue Tools und Ressourcen, um dünn besetzte Teams zu entlasten. Eine Managed Detection und Response-Lösung kann Unternehmen und Managed Service Providers beispielsweise bei der kontinuierlichen Überwachung, Analyse und Reaktion auf Cyberbedrohungen unterstützen. Das eigene Team kann auf diese Weise durch externe Sicherheitsexperten erweitert werden."

Zero-Trust und E2EE sind entscheidend für die Sicherheit im UCaaS-Bereich

"Sicherheit bedeutet nicht mehr einfach nur eine möglichst undurchdringliche Firewall aufzustellen. Um mit der Dynamik – und den Risiken – des technologischen Wandels und der digitalen Transformation der Arbeitswelt von heute mithalten zu können, müssen Unternehmen aktiv daran arbeiten, ihre Angriffsflächen für Cyberbedrohungen zu reduzieren. Im Bereich Unified Communications as a Service (UCaaS) bedeutet dies, auf ein Zero-Trust-Modell zu setzen, idealerweise mit Ende-zu-Ende-Verschlüsselung (E2EE). Eine entsprechende UCaaS-Kommunikationslösung ermöglicht es Unternehmen, potenzielle Sicherheitslücken schneller und einfacher zu erkennen und zu beheben, Updates zu implementieren und ihre IT-Abteilung zu entlasten.", erläutert Marco Meier, Area Vice President for Global Service Providers in der DACH-Region bei RingCentral.

"E2EE fungiert dabei als leistungsstarke Sicherheits- und Datenschutzkontrolle, da sie dafür sorgt, dass unbefugte Dritte – einschließlich des UCaaS-Anbieters selbst – nicht auf die in der Kommunikationslösung hinterlegten und genutzten Daten zugreifen können. So entsteht ein in sich geschlossenes Sicherheitsökosystem, das alle Anforderungen eines Zero-Trust-Modells erfüllt."

Brennpunkt Cybersicherheit: Kleine und mittelgroße Betriebe im Fokus

Die Gefahr für KMU schätzt Helmut Semmelmayer, Vice President Revenue Operations bei tenfold Software GmbH folgendermaßen ein: "Die verschärfte Bedrohungslage der vergangenen Jahre, die sich infolge der pandemiebedingten Umstellung von Arbeitsmodellen entwickelt hat, gewinnt 2023 durch globale Konflikte und Krisen im Energiesektor zusätzlich an Brisanz. Experten beobachten neben den bekannten kriminellen Gruppierungen auch vermehrt Versuche staatlicher Akteure, in Netzwerke einzudringen und kritische Systeme zu unterwandern. Vor diesem Hintergrund ist eine Verschärfung gesetzlicher Sicherheitsstandards gerade im Bereich der öffentlichen Versorgung wahrscheinlich. Der Schutz wesentlicher Infrastrukturen vor digitalen Bedrohungen gewinnt weiter an Bedeutung.
In dieser angespannten Lage führt auch für kleine und mittelgroße Betriebe längst kein Weg mehr am Thema der sicheren IT-Verwaltung vorbei. Trotz steigender Investitionsbereitschaft kämpfen viele Organisationen hier bei der Suche nach geeigneten Systemen, da gängige Plattformen sich ganz auf die Anforderungen von großen Unternehmen konzentrieren. Damit die Automatisierung wesentlicher Kontroll- und Verwaltungsfunktionen rund um die IT-Sicherheit auch in mittelständischen Organisationen gelingt, ist die Auswahl von richtig zugeschnittenen Software-Lösungen entscheidend. Den optimalen Schutz bieten Systeme, die sich schnell und nahtlos in Unternehmensabläufe integrieren lassen."