Durch die drastischen Veränderungen im Jahr 2020 wurde die Digitalisierung stark forciert, Netzwerkinfrastrukturen änderten sich und Clouds konnten weitere Zugewinne verzeichnen. Gerade, was Homeoffice angeht, musste zunächst einiges improvisiert werden. Jetzt geht es darum, diese neuen Architekturen nachhaltig zu konsolidieren, wozu auch ein umfassendes Sicherheitskonzept gehört. Mit Bring Your Own Key lässt sich auch bei Cloudnutzung verhindern, dass Hacker mit kompromittierten Accounts des Providers auf Daten zugreifen können. Bei diesem Verfahren erzeugen Unternehmen die zur Kryptographie benötigten Schlüssel selbst und haben über die dabei eingesetzten Hardware-Sicherheitsmodule eine weitergehende eigene Kontrolle. Hold Your Own Key erlaubt es Unternehmen dagegen, die gesamte Kryptographie in-house durchzuführen. Sie übertragen nur bereits verschlüsselte Daten in die Cloud, und der Provider hat selbst keine Möglichkeit der Entschlüsselung. Beim IIoT sind Systeme, die früher isoliert für sich existiert haben, nun vernetzt und damit auch verwundbar. Traditionell waren IT und OT klar voneinander abgegrenzt. Dadurch waren die OT-Systeme mit ihren langen Lebenszyklen vor Angriffen von außen geschützt. Kryptografie hilft hier, die verschiedenen Sicherheitsniveaus der Netze zu trennen, automatische Updates in der Produktionsumgebung abzusichern sowie die Integrität und Auditierbarkeit der Daten zu garantieren. Mittels Key Injection bei der Produktion sollen auch vernetzte Bauteile selbst vor Fälschungen geschützt werden. Eine weitere Herausforderung, die 2021 weiterhin bestehen wird, ist der Fachkräftemangel. In der IT tritt es noch einmal deutlicher zutage und besonders, wenn es um die IT-Sicherheit geht. Aktuell fehlen weltweit mehr als drei Millionen Cybersicherheitsexperten. Daher ist schon seit einiger Zeit der Trend zu beobachten, dass spezielle Sicherheitsfunktionen verstärkt in Plattformen und Services zusammengefasst werden. Unternehmen werden vor allem nach Partnern suchen, die ihnen alles aus einer Hand bieten. Hier ist es umso wichtiger, auf die Vertrauenswürdigkeit und einschlägigen Zertifizierungen der Anbieter zu achten. Im Bereich der rechtlichen Rahmenbedingungen wird es 2021 einige Neuerungen geben, dazu gehören etwa PCI 3.0 im Payment Bereich, Regelungen für den Automobilsektor der UNECE oder der EU Cyber Security Act. Besonders für Deutschland relevant ist das sogenannte IT-Sicherheitsgesetz 2.0. Es liegt in einem ersten Entwurf bereits seit 2019 vor. Nun wurde es nochmals modifiziert und man kann davon ausgehen, dass es im Laufe des Jahres 2021 verabschiedet wird. Eine der wichtigsten Implikationen des neuen Gesetzes ist die Bestimmung, dass in kritischen Infrastrukturen (KRITIS) nur noch Komponenten verbaut werden dürfen, die über ein vom BSI vergebenes IT-Sicherheitskennzeichen verfügen. Hersteller vernetzter Komponenten müssen zudem gegenüber KRITIS-Betreibern eine Garantieerklärung abgeben, die sich über die gesamte Lieferkette erstreckt. Bei Verstößen gegen das neue Gesetz sollen empfindliche Bußgelder drohen.
Bild: genua gmbH
Bild: genua gmbH
IT & Security Trends 2023
In unserer Interview-Reihe ‚IT & Security Trends 2023‘ befragen wir ausgewiesene Experten im Bereich Cybersicherheit zu ihrer Einschätzung aktueller Themen und Bedrohungen. An dieser Stelle befragen wir den CEO von Genua, Matthias Ochs.
