{"id":26120,"date":"2024-01-25T15:22:11","date_gmt":"2024-01-25T14:22:11","guid":{"rendered":"https:\/\/enginsight.com\/?p=26120"},"modified":"2024-02-01T15:55:11","modified_gmt":"2024-02-01T14:55:11","slug":"security-trends-und-thesen-2024","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/security-trends-und-thesen-2024\/","title":{"rendered":"Security-Trends und -Thesen 2024"},"content":{"rendered":"<h2 class=\"wp-block-heading\">Was sagen die Experten zu besonderen Bedrohungen, m&#xF6;glichen Schutzmechanismen\/-technologien und den neuen Regularien?<\/h2>\n\n\n\n<p>2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes Jahr werden. Cyberkriminelle setzen auf KI. Politische Machtk&#xE4;mpfe werden auch im Cyberraum ausgetragen. Der Fachkr&#xE4;ftemangel in der Security bleibt ein Problem. Stecken wir deshalb den Kopf in den Sand? &#x2013; Nein! Stattdessen besch&#xE4;ftigen wir uns mit ein paar Trends, die wir sehen; haben einige Thesen aufgestellt und mal nachgefragt, was die Security-Experten aus unserem Netzwerk dazu sagen. Es handelt sich dabei um ein reines Meinungsbild. Im besten Fall regt es Sie dazu an, die eigene Security-Strategie auf den Pr&#xFC;fstand zu stellen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Die Bedrohungslage steigt weiter und trifft immer noch zu viele schlecht oder nicht vorbereitet<\/h3>\n\n\n\n<p>Eine entspanntere Bedrohungslage ist wohl illusorisch, da sind sich nicht nur unsere Experten, sondern auch alle Prognosen und Berichte einig. Es wird alles wohl noch bedrohlicher. &#x201E;Es wird nochmal deutlich spannender&#x201C;, meint Adrian Pusch zur Bedrohungslage. Das klingt irgendwie positiv, ist es nat&#xFC;rlich &#xFC;berhaupt nicht. Professor K&#xF6;hler dr&#xFC;ckt sich deutlich drastischer aus, er erwartet: &#x201E;massive Sch&#xE4;den&#x201C;. Laut <a href=\"https:\/\/commercial.allianz.com\/news-and-insights\/news\/allianz-risk-barometer-2024-press-de.html\" target=\"_blank\" rel=\"noreferrer noopener\">Allianz Risk Barometer 2024<\/a> sind Cyberangriffe eines DER Gesch&#xE4;ftsrisiken weltweit.<\/p>\n\n\n\n<p>Der unl&#xE4;ngst zu beobachte Trend von politisch motivierten Cyberattacken wird sich wohl fortsetzten. Olaf Classen prognostiziert hier: &#x201E;einen gewaltigen Anstieg, der zwei Ursachen hat, die Russland- Ukraine-Krise und den Konflikt pro oder kontra Israel&#x201C;. Laut Google Cybersecurity Forecast 2024 gehen die meisten Bedrohungen zu Lasten der &#x201E;big four&#x201C;: China, Russland, Nordkorea und Iran. Google erwartet mehr Zero-Day-Angriffe im Jahr 2024 sowohl durch staatliche Angreifer als auch durch Cyberkriminelle. Edge-Ger&#xE4;te und Virtualisierungssoftware seien f&#xFC;r Bedrohungsakteure besonders attraktiv, da sie schwer zu &#xFC;berwachen sind. (6) Bedrohungsakteure werden versuchen, Fehlkonfigurationen und Identit&#xE4;tsprobleme auszunutzen, um sich lateral zwischen verschiedenen Cloud-Umgebungen zu bewegen.<\/p>\n\n\n\n<p>Wie sch&#xF6;n seien doch die Zeiten gewesen &#x201E;als Cyberkriminelle &#x201E;nur&#x201D; auf Geld aus waren; sie waren einfacher&#x201C;, findet Martin Haunschmid. Sch&#xF6;n waren die Zeiten f&#xFC;r die Angegriffenen sicherlich auch nicht. Hoffen wir, dass sie daraus gelernt, sich besser aufgestellt und das Thema fortan auf dem Radar haben.<\/p>\n\n\n\n<p>IT-Security auf dem Radar haben inzwischen wohl die meisten Unternehmen, wenn man sich die neusten Studien so ansieht. &#x2013; So stelle 77,9% der Befragten fest, dass das Thema Cybersicherheit in ihren Unternehmen in den vergangenen Jahren ernster genommen wird (9).<\/p>\n\n\n\n<p>Und dennoch sind immer noch zu viele Unternehmen nicht oder zu schlecht vorbereitet, best&#xE4;tigen fast alle der befragten Fachleute. Von Adrian Pusch kam dazu ein lautes &#x201E;Ja!&#x201C;. Er sehe in der Praxis immer noch zu h&#xE4;ufig einen &#x201E;Flickenteppich aus L&#xF6;sungen&#x201C; in der Hoffnung &#x201E;Wenn ich diese L&#xF6;sung hinzukaufe, bin ich sicher.&#x201C; Was aus seiner Sicht h&#xE4;ufig fehle, sei eine durchgehende Strategie. Hier m&#xFC;ssten die meisten Unternehmen auch k&#xFC;nftig viel oder deutlich mehr Zeit und Ressourcen investieren, um Angriffe erfolgreich abwehren zu k&#xF6;nnen.<\/p>\n\n\n\n<p>&#x201E;Wo liegen die gr&#xF6;&#xDF;ten Probleme und was Unternehmen tun, um sich bestm&#xF6;glich abzusichern?&#x201C;, haben wir gefragt. Die erste H&#xFC;rde: die nicht vorhandene Lage. Wie jetzt&#x2026;?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wir haben weiterhin kein Lagebild<\/h3>\n\n\n\n<p>&#x201E;Wir brauchen schneller ein besseres Lagebild&#x201C;, so oder so &#xE4;hnlich klang es zuletzt oft bei der BSI-Pr&#xE4;sidentin, Claudia Plattner. Da hat sie sicherlich recht. Das BKA ist schwer handlungsf&#xE4;hig, wenn nicht alle Involvierten (Landeskriminal&#xE4;mter, ZAKs, Unternehmen) sauber und zeitnah &#xFC;ber Vorf&#xE4;lle reporten. Das Problem besch&#xE4;ftigt auch Immanuel B&#xE4;r: &#x201E;Wir haben keine Lage in Deutschland; wir wissen nicht, was los ist. F&#xF6;deralismus schl&#xE4;gt auch hier negativ zu.&#x201C; &#x201E;Auch hier&#x201C; spielt auf NIS2 an. Dazu sp&#xE4;ter mehr. <\/p>\n\n\n\n<p>Ein gutes Beispiel f&#xFC;r ein verzerrtes oder nicht ausreichendes Lagebild liefert die Zahl der Angriffe auf Kommunen. Die im BSI-Lagebericht aufgef&#xFC;hrte Zahl sei deutlich zu niedrig; es h&#xE4;tte allein bis Ende Oktober 2023 bereits einen Sachtatbestand von fast 200 gegeben, so Immanuel B&#xE4;r.<\/p>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-28f84493 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<figure data-wp-context='{\"imageId\":\"69e778173a9a4\"}' data-wp-interactive=\"core\/image\" data-wp-key=\"69e778173a9a4\" class=\"wp-block-image size-large wp-lightbox-container\"><img fetchpriority=\"high\" decoding=\"async\" width=\"724\" height=\"1024\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-724x1024.jpg\" alt=\"\" class=\"wp-image-26126\" title=\"BSI-Lagebericht 2023\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-724x1024.jpg 724w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-212x300.jpg 212w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-768x1086.jpg 768w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-1086x1536.jpg 1086w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-1448x2048.jpg 1448w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-a-scaled.jpg 1810w\" sizes=\"(max-width: 724px) 100vw, 724px\"\/><button class=\"lightbox-trigger\" type=\"button\" aria-haspopup=\"dialog\" aria-label=\"Vergr&#xF6;&#xDF;ern\" data-wp-init=\"callbacks.initTriggerButton\" data-wp-on--click=\"actions.showLightbox\" data-wp-style--right=\"state.imageButtonRight\" data-wp-style--top=\"state.imageButtonTop\">\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewbox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\"><\/path>\n\t\t\t<\/svg>\n\t\t<\/button><figcaption class=\"wp-element-caption\"><em>Die Lage laut BSI-Lagebericht 2023<\/em> <br>(<a href=\"https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-Details-aus-BSI-Lagebericht-2023.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Download Grafik als pdf<\/a>)<\/figcaption><\/figure>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\">\n<figure data-wp-context='{\"imageId\":\"69e778173b604\"}' data-wp-interactive=\"core\/image\" data-wp-key=\"69e778173b604\" class=\"wp-block-image size-large wp-lightbox-container\"><img decoding=\"async\" width=\"724\" height=\"1024\" data-wp-class--hide=\"state.isContentHidden\" data-wp-class--show=\"state.isContentVisible\" data-wp-init=\"callbacks.setButtonStyles\" data-wp-on--click=\"actions.showLightbox\" data-wp-on--load=\"callbacks.setButtonStyles\" data-wp-on-window--resize=\"callbacks.setButtonStyles\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-724x1024.jpg\" alt=\"\" class=\"wp-image-26128\" title=\"BSI-Lagebericht 2023\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-724x1024.jpg 724w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-212x300.jpg 212w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-768x1086.jpg 768w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-1086x1536.jpg 1086w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-1448x2048.jpg 1448w, https:\/\/enginsight.com\/wp-content\/uploads\/Infografik-BSI-Lagebericht-2023-b-scaled.jpg 1810w\" sizes=\"(max-width: 724px) 100vw, 724px\"\/><button class=\"lightbox-trigger\" type=\"button\" aria-haspopup=\"dialog\" aria-label=\"Vergr&#xF6;&#xDF;ern\" data-wp-init=\"callbacks.initTriggerButton\" data-wp-on--click=\"actions.showLightbox\" data-wp-style--right=\"state.imageButtonRight\" data-wp-style--top=\"state.imageButtonTop\">\n\t\t\t<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"12\" height=\"12\" fill=\"none\" viewbox=\"0 0 12 12\">\n\t\t\t\t<path fill=\"#fff\" d=\"M2 0a2 2 0 0 0-2 2v2h1.5V2a.5.5 0 0 1 .5-.5h2V0H2Zm2 10.5H2a.5.5 0 0 1-.5-.5V8H0v2a2 2 0 0 0 2 2h2v-1.5ZM8 12v-1.5h2a.5.5 0 0 0 .5-.5V8H12v2a2 2 0 0 1-2 2H8Zm2-12a2 2 0 0 1 2 2v2h-1.5V2a.5.5 0 0 0-.5-.5H8V0h2Z\"><\/path>\n\t\t\t<\/svg>\n\t\t<\/button><\/figure>\n<\/div>\n<\/div>\n\n\n\n<p><strong>Welche Branchen stehen im Fokus und warum?<\/strong><\/p>\n\n\n\n<p>Hierzu &#xE4;u&#xDF;ert Adrian Pusch folgende Vermutung: &#x201E;Automotive ist gerade angeschlagen und k&#xE4;mpft brutal mit Marktherausforderungen (E-Auto-F&#xF6;rderung, Konkurrenz aus China).&#x201C; Nach einem Angriff w&#xE4;re ein Automotive-Unternehmen seiner Meinung nach: &#x201E;viel schneller tot als fr&#xFC;her&#x201C;. Deshalb m&#xFC;sse sich die Automobilbranche in Deutschland besser absichern.<\/p>\n\n\n\n<p>Die Angriffe auf &#xF6;ffentliche Tr&#xE4;ger scheinen sich gerade zu ver&#xE4;ndern: Wurden bisher einzelne angegriffen, erleben wir k&#xFC;nftig ganze Angriffsreihen. &#x2013; Der Trend zeigte sich 2023 bereits; es gab Angriffe auf Rechenzentrumsanbieter und IT-Dienstleister, an den zahlreiche &#xD6;ffentliche betroffen waren. Enginsight bzw. Mario Jandeck hatte deshalb in 2023 allen Neupartnern vorgeschlagen, sich selbst einem Security-Audit zu unterziehen (link zur promo). &#x201E;Insbesondere f&#xFC;r Managed Security Service Provider m&#xFC;sste dies ein Standard werden.&#x201C;, findet er.<\/p>\n\n\n\n<p><strong>Wer k&#xF6;nnte sonst noch im Fokus stehen und warum?<\/strong><\/p>\n\n\n\n<p>Weil die Erpressung nach Datendiebstahl so lukrativ ist, sieht Olaf Classen alle, die im Besitz sensibler Daten sind im Fokus der Angriffe. Explizit erw&#xE4;hnt er Unternehmen aus dem Gesundheitsbereich, aber auch Steuerberater und Rechtsanw&#xE4;lte. Letztere h&#xE4;tten sich: &#x201E;bisher viel zu wenig Gedanken gemacht &#xFC;ber Datenabsicherung&#x201C;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ransomware bleibt eine der gr&#xF6;&#xDF;ten Bedrohungen und nimmt weiter zu<\/h3>\n\n\n\n<p>&#x201E;Ransomware ist und bleibt der profitabelste Markt f&#xFC;r Cyberkriminelle. Unternehmen, Beh&#xF6;rden und andere Organisationen wurden und werden weiterhin reihenweise Opfer von Ransomware werden.&#x201C;, glaubt Mark Semmler. Dies sehen alle unsere Experten so; auch der BSI-Lagebericht 2023 nennt Ransomware als &#x201E;Hauptbedrohung&#x201C; (1).<\/p>\n\n\n\n<p>Mark Semmler geht davon aus, dass die Anzahl der Ransomware-Gruppen steigen wird und dass (weitere) Gruppen aus Europa, Asien und Afrika hinzusto&#xDF;en werden. &#x201E;Die Strafverfolgungsbeh&#xF6;rden werden einzelne Gruppen identifizieren und aus dem Spiel nehmen k&#xF6;nnen, der Markt wird aber weiterhin expandieren&#x201C;, bef&#xFC;rchtet er.<\/p>\n\n\n\n<p>Ein Trend, der dabei zuletzt aufkam, wird sich wohl fortsetzen: Ransomware kommt zunehmend ohne Extortion. D. h. nicht die Verschl&#xFC;sselung steht im Vordergrund, sondern der Diebstahl von Daten und die obligatorische L&#xF6;segeldforderung. Prof. Thomas R. K&#xF6;hler begr&#xFC;ndet dies wie folgt: &#x201E;Firmen haben dazugelernt und in puncto IT-Security nachger&#xFC;stet. Hacker haben es dadurch, zum Gl&#xFC;ck, inzwischen schwerer, Daten zu verschl&#xFC;sseln.&#x201C; Er rechnet allerdings mit einer zunehmenden Ver&#xF6;ffentlichungswelle aufgrund zunehmender Angriffe. &#x2013; KI macht&#x2019;s m&#xF6;glich. Dazu sp&#xE4;ter mehr (Ankerlink).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Social Engineering Techniken werden fieser und erfolgreicher<\/h3>\n\n\n\n<p>Mit der fortschreitenden technischen Entwicklung, allen voran KI, werden Social-Engineering-Angriffe (Phishing, Vishing, Smishing, &#x2026;) nicht nur zunehmen, sondern auch deutlich erfolgreicher werden. Personalisierte und &#xFC;berzeugende Betrugsszenarien, die speziell auf ihre Opfer zugeschnitten sind, machen es selbst Experten schwer, sie zu erkennen. <\/p>\n\n\n\n<p>Immanuel B&#xE4;r spricht von &#x201E;komplexen Multi-Stage-Angriffen auf den Faktor Mensch&#x201C; und nennt mit der #dreamjob ein Beispiel. Die Methode wird von der ber&#xFC;chtigten Lazarus-Gruppe eingesetzt. Sie hebt Spear-Phishing auf ein neues Level. &#x2013; Wie? Sie nutzt gezielt die Karriereambitionen von Menschen aus, indem sie gef&#xE4;lschte Jobangebote in sozialen Netzwerken und per E-Mail verbreitet. Diese Angebote sind oft so aufw&#xE4;ndig und &#xFC;berzeugend gestaltet, dass sich selbst vorsichtige Nutzer t&#xE4;uschen lassen. Sie enthalten oft Malware, die, einmal aktiviert, dem Angreifer Zugang zu sensiblen Informationen und Netzwerken verschafft. Der Verfassungsschutz hatte bereits 2021 darauf hingewiesen (4). Doch scheinbar rollt die Methode jetzt richtig an. Laut Immanuel B&#xE4;r lie&#xDF;e sich oft beobachten, dass Themen, die schon vor Jahren besprochen wurden, deutlich sp&#xE4;ter in der Realit&#xE4;t ankommen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"625\" src=\"https:\/\/enginsight.com\/wp-content\/uploads\/DreamJob-1-1024x625.png\" alt=\"\" class=\"wp-image-26157\" srcset=\"https:\/\/enginsight.com\/wp-content\/uploads\/DreamJob-1-1024x625.png 1024w, https:\/\/enginsight.com\/wp-content\/uploads\/DreamJob-1-300x183.png 300w, https:\/\/enginsight.com\/wp-content\/uploads\/DreamJob-1-768x468.png 768w, https:\/\/enginsight.com\/wp-content\/uploads\/DreamJob-1.png 1520w\" sizes=\"(max-width: 1024px) 100vw, 1024px\"\/><figcaption class=\"wp-element-caption\"><em>Visualisierung Dreamjob-Methode (10)<\/em><\/figcaption><\/figure>\n\n\n\n<p>Google sieht auch im Bereich Mobile Cyber Crime neue Social-Engineering-Taktiken, z. B. die Simulation von Haushaltshilfen, Nachrichten von gef&#xE4;lschten Banken oder Regierungsbeamten sowie gef&#xE4;lschte Pop-up-Warnungen, um Opfer dazu zu bringen, b&#xF6;sartige Anwendungen auf ihren Mobilger&#xE4;ten zu installieren (6).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Supply-Chain-Angriffe nehmen weiter zu<\/h3>\n\n\n\n<p>Supply-Chain-Angriffe gab es in 2023 bereits einige, mit der der IHK, mit dem GFI, mit der S&#xFC;dwestfalen-IT, der ODAV &#x2026; Die Anforderung zur Absicherung der Lieferkette gibt es, nicht von ungef&#xE4;hr, auch in diversen Regularien (z. B. in NIS2, TISAX). Immanuel B&#xE4;r, Adrian und Pusch und Olaf Classen sehen Lieferkettenangriffe als ultraklaren Trend auch in 2024. Mario Jandeck bringt eine Begr&#xFC;ndung an, die hoffentlich die letzten Zweifler, die immer noch glauben, sie seien zu klein, um angegriffen zu werden, &#xFC;berzeugt: &#x201E;Kleine Unternehmen sind mindestens ein Sprungbrett f&#xFC;r gr&#xF6;&#xDF;ere Ziele.&#x201C;<\/p>\n\n\n\n<p>Olaf Classen ist fest der Ansicht, dass &#x201E;Unternehmen, die Cybersicherheit hoch halten einen klaren Wettbewerbsvorteil haben&#x201C;. Ein Nachweis dar&#xFC;ber, dass sich ein Unternehmen cybersicher aufgestellt habe, h&#xE4;tte eine gro&#xDF;e, positive Au&#xDF;enwirkung.<\/p>\n\n\n\n<p>Der Google Cybersecurity Forecast 2024 r&#xE4;t dazu, Software-Bibliotheken wachsam im Auge zu behalten. In den letzten Jahren h&#xE4;tten Supply-Chain-Angriffe auf NPM (den Node.js-Paketmanager) wie IconBurst gezeigt, wie Bedrohungsakteure Softwareentwickler angreifen. Die Art der Angriffe werde wahrscheinlich weiter zunehmen. Die Bedrohungsakteure werden auf andere, weniger &#xFC;berwachte Paketmanager wie PyPI (Python) und crates.io (Rust) ausweichen, so Google (6).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">KI bringt vorerst mehr Schaden als Nutzen<\/h3>\n\n\n\n<p>Neben NIS2 ist und bleibt KI wohl eines der wichtigsten Themen wie bereits in 2023. Cyberkriminelle scheinen beim Einsatz von KI schon deutlich weiter zu sein als so manche Hersteller und Unternehmen. Adrian Pusch findet auch daf&#xFC;r eine charmante Formulierung: &#x201E;KI funktioniert f&#xFC;r beide Seiten, f&#xFC;r eine aktuell noch deutlich besser. Mit KI Sch.. zu bauen geht viel leichter als sie f&#xFC;r einen sinnvollen Einsatz zu trainieren.&#x201C; <\/p>\n\n\n\n<p>Olaf Classen glaubt, dass der Hype um KI wieder abklingen wird. Er nennt es &#x201E;Katz-und-Maus-Spiel&#x201C;. &#x201E;Wir haben die Diskussion, wie wir KI regulieren, w&#xE4;hrend Cyberkriminelle sich darum &#xFC;berhaupt keine Gedanken machen m&#xFC;ssen. Wird immer noch untersch&#xE4;tzt, dass wir es nicht mehr mit einzelnen Hackern zu tun haben, sondern mit hochprofitablen Unternehmen zu tun.&#x201C; Er ist der Meinung, dass viele sich immer noch kein Bild davon machen, wie hoch professionell Cyberkriminelle arbeiten. F&#xFC;r, die wir uns t&#xE4;glich mit dem Thema IT-Sicherheit besch&#xE4;ftigen, ist das unbegreiflich.<\/p>\n\n\n\n<p>Gerade im Bereich Social Engineering wird das Gefahrenpotenzial durch KI gr&#xF6;&#xDF;er, die Detecion dramatisch schwieriger. Der Google Cybersecurity Forecast 2024 warnt vor verbesserten, professionalisierten und skalierbaren Social-Engineering-Operationen durch KI. (6) Generative KI und gro&#xDF;e Sprachmodelle (LLMs) k&#xF6;nnen Angreifern u a. dabei helfen, modifizierte Versionen echter Inhalte zu schaffen, die wie das Original aussehen. Nicht nur deshalb wagen wir die These, dass KI aktuell noch mehr schadet als nutzt. Doch wir haben auch Hoffnung. Google ebenso, das Technologieunternehmen sieht im Einsatz von KI eine der gr&#xF6;&#xDF;ten Herausforderungen f&#xFC;r Unternehmen in den n&#xE4;chsten Jahren, geht aber davon aus, dass sich damit die Bedrohungs&#xFC;berlastung bew&#xE4;ltigen und die wachsende Talentl&#xFC;cke schlie&#xDF;en l&#xE4;sst. (6)<\/p>\n\n\n\n<p>&#x201E;Die Schnittstelle zwischen generativer KI und Security tobt gerade auf allen Ebenen.&#x201C;, meint Prof. K&#xF6;hler. Er sieht aktuell &#x201E;keinen Anbieter, der hier schon wirklich performt&#x201C;, geht aber davon aus, dass &#x201E;wir sinnvolle Anwendungen im Lauf des Jahres sehen werden&#x201C;. &#x201E;Das werden wir auf jeden Fall&#x201C;, ist Mario Jandecks Antwort darauf: &#x201E;Wir arbeiten bereits dran.&#x201C; Mark Semmler sagt voraus: &#x201E;KI braucht noch eine Weile, bis sie sich wirklich im Security-Umfeld etabliert (auf beiden Seiten). 2025 vielleicht?!&#x201C;<\/p>\n\n\n\n<p>Carolin Desir&#xE9;e Toepfer erinnert der aktuelle Hype um KI an den, der Blockchain-Technologie von vor einigen Jahren. Man wisse bereits, dass erst Jahre nach dem &#xF6;ffentlichen Hype der tats&#xE4;chliche Nutzen einer Technologie sichtbar wird und diese als echte Werkzeuge zum Einsatz kommen. Aus Ihrer Sicht &#x201E;fehlt es uns in Europa und insbesondere &#xE4;lteren Unternehmen zu oft an der Datengrundlage UND einem guten Verst&#xE4;ndnis f&#xFC;r die rasante Entwicklung in entscheidenden Positionen.&#x201C; Sie merke dies gerade selbst hautnah im Rahmen ihres eigenen Cybersecurity-KI-Projekts WhiteHatBuddyAI und sch&#xE4;tze, dass es anderen Projekten &#xE4;hnlich gehe. &#x201E;Eigentlich k&#xF6;nnten wir KI auch zeitnah und Datenschutz-konform zur Pflege eines h&#xF6;heren IT Sicherheits-Levels nutzen.&#x201C;, findet sie.<\/p>\n\n\n\n<p>Die Angreifer haben keine Vorschriften in Sachen Compliance, Datenschutz etc. Wir gehen deshalb davon aus, dass sie auch k&#xFC;nftig im Vorteil sind beim Einsatz von KI. Auch f&#xFC;r Immanuel B&#xE4;r ist es &#x201E;nicht nachvollziehbar, wie jemals die gute Seite im Vorteil sein sollte, wenn sie sich einigerma&#xDF;en an Regeln h&#xE4;lt.&#x201C; So schlimm sei das jedoch nicht, meint er, denn kein Unternehmen m&#xFC;sse in 2024 mehr einen Hackingangriff erleben, der es ganz lahmlegt. Es g&#xE4;be gegen jedes Gift ein Gegengift. &#x201E;Wir haben den Werkzeugkoffer, um dem zu begegnen. In den meisten F&#xE4;llen scheitert es an Manpower, Budgets, Know-how.&#x201C;, erg&#xE4;nzt er.<\/p>\n\n\n\n<p>Martin Haunschmid ist der einzige &#x201E;unserer&#x201C; Experten, der KI\/AI auf lange Sicht als Vorteil auf der Verteidigerseite sieht. (3) Dr&#xFC;cken wir uns allen die Daumen, dass er recht beh&#xE4;lt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Der Ansatz &#x201E;Security Awareness first&#x201C; ist tot<\/h3>\n\n\n\n<p>Die Sensibilisierung der Menschen f&#xFC;r Cybersicherheitsbedrohungen und die Schulung in Gegen- und Vorsichtsma&#xDF;nahmen ist und bleibt wichtig; das stellen wir &#xFC;berhaupt nicht in Frage. Doch Menschen machen Fehler. &#x201E;Deshalb haben wir mit Enginsight eine L&#xF6;sung entwickelt, die den &#x201E;Human Factor&#x201C;, eliminieren und kontrollieren soll.&#x201C;, so Mario Jandeck.<\/p>\n\n\n\n<p>Prof. K&#xF6;hler ist auch der Ansicht, es m&#xFC;sse eine Abkehr von &#x201E;Awareness first&#x201C; geben. Wir m&#xFC;ssten uns eingestehen, dass dieser Ansatz versagt habe, weil heute selbst Fachleute ohne technische Hilfsmittel nicht mehr in der Lage seien, Angriffe zu erkennen. Er pl&#xE4;diert deshalb auch f&#xFC;r die richtige Technologie, die den Risikofaktor Mensch aus der Verantwortung nimmt.<\/p>\n\n\n\n<p>Carolin Desir&#xE9;e Toepfers sieht das &#xE4;hnlich: &#x201E;Sind wir ehrlich: die meisten Awareness-Angebote, die es derzeit am Markt gibt, sind Mist. Da werden halbgare Standard-L&#xF6;sungen mit viel Sales-Budget in die Unternehmen gedr&#xFC;ckt, CISOs von Vertrieblern fast schon gestalkt. Gleichzeitig sind Unternehmen verpflichtet, regelm&#xE4;&#xDF;ig zu schulen und kaum jemand hat Zeit, Plattform und Inhalte selbst zu bauen. Zu oft wird vergessen, dass alle drei Monate im Teammeeting dr&#xFC;ber sprechen, oder ein kleiner regelm&#xE4;&#xDF;iger Online-Workshop auch Awareness f&#xFC;r IT-Sicherheit schaffen kann.&#x201C; Sie weist darauf hin, dass Risikoschulung und Wissensmanagement trotzdem immer wichtiger w&#xFC;rden. Im Bereich IT Sicherheit &#x2013; und in vielen anderen &#x2013; m&#xFC;ssen sich Lerninhalte und Technologie erg&#xE4;nzen. Die Herausforderung f&#xFC;r die Verantwortlichen l&#xE4;ge ihrer Ansicht nach darin, das passende Potpourri zusammenzustellen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Das einfache Passwort ist tot<\/h3>\n\n\n\n<p>Viele Unternehmen haben, befeuert durch den Homeoffice-Trend, verstanden, dass Passworte allein nicht gen&#xFC;gen. Na immerhin. &#x201E;Einfache Passw&#xF6;rter d&#xFC;rfen nicht sein, 2-FA muss sein.&#x201C;, darauf besteht Olaf Classen. Aus seiner Sicht h&#xE4;tten das aber l&#xE4;ngst noch nicht alle verstanden. &#x201E;Die Basics werden immer noch ignoriert werden&#x201C;, &#xE4;u&#xDF;ert Martin Haunschmid in einem gr&#xF6;&#xDF;eren Kontext, die Aussage ist aber hier wirklich treffend. <\/p>\n\n\n\n<p>Angriffe auf Unternehmen, die Passwortmanager bereitstellen, gab es 2023 einige. Auch das st&#xFC;tzt den Zwei- oder Mehr-FA-Ansatz. Das Thema m&#xFC;sste auch deshalb forciert werden, weil es immer noch genug Leute g&#xE4;be, die sich ihre eigenen Regeln schaffen, so Olaf Classen.<\/p>\n\n\n\n<p>&#x201E;VPN und MFA sind erste Ans&#xE4;tze, die aber noch l&#xE4;ngst nicht gen&#xFC;gen.&#x201C;, so Prof. K&#xF6;hler. Er vermisse immer noch clevere L&#xF6;sungen, die mehr Datenpunkte ber&#xFC;cksichtigen. In Vereinbarkeit mit den geltenden Datenschutzbestimmungen seinen solche L&#xF6;sungen aber auch kaum umsetzbar.<\/p>\n\n\n\n<p>Hinzu kommt, dass neue Passwortkonzepte nicht per se sicherer sind bzw. sogar neue Angriffsvektoren schaffen. Am Beispiel: Videobasierte Identifikationsprozesse erscheinen zun&#xE4;chst als charmant und clever. Doch da sie online genutzt werden, gibt es Sicherheitsrisiken, in dem Fall Identit&#xE4;tsdiebstahl. Das BSI und die franz&#xF6;sische Beh&#xF6;rde f&#xFC;r IT-Sicherheit (ANSSI) gaben just dazu eine Publikation heraus &#x201E;Remote Identity Proofing&#x201C;, in der sie eine l&#xE4;nder&#xFC;bergreifende Harmonisierung, Standards und Zertifizierung fordern. Die Zusammenarbeit verschiedener Stakeholder im Kampf gegen Cyberangriffe ist definitiv richtig und wichtig, in allen Themenbereichen.<\/p>\n\n\n\n<p>Auch f&#xFC;r Adrian Pusch hat das einfache Passwort l&#xE4;ngst ausgedient. Er setzt auf passwortlose Passwortmanager (z. B. Yubikey), und w&#xFC;nscht sich ebenfalls &#x201E;neue Ideen, wie wir mit Passw&#xF6;rtern und Berechtigungen umgehen&#x201C;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Etwas weniger Datenschutz bringt &#xFC;berproportional mehr Sicherheit<\/h3>\n\n\n\n<p>Mehr Datenpunkte schaffen &#xFC;berproportional mehr Sicherheit. Eine Neubesinnung in Sachen Datenschutz w&#xE4;re deshalb gar nicht schlecht. Professor K&#xF6;hler nennt es den &#x201E;kreativeren Umgang im Rahmen der DSGVO mit dem, was uns an Freiheitsgraden erlaubt ist&#x201C;.<\/p>\n\n\n\n<p>Carolin Desir&#xE9;e Toepfer von Cyttraction spannt den Bogen noch gr&#xF6;&#xDF;er. &#x2013; Deutschland verschwende Datenpotenziale durch Datenschutzanforderungen und verliere durch die stockende digitale Transformation zus&#xE4;tzlich. Sie blickt hoffnungsvoll in Nachbarl&#xE4;nder: &#x201E;Estland und andere baltische und nordische Staaten, auch &#xD6;sterreich machen bereits in einigen Verwaltungsakten vor, wie sich Digitalisierung, Authentifizierung und europ&#xE4;ischer Datenschutz unter einen Hut bringen lassen. Solange es in Deutschland an umfassenden digitalen Beh&#xF6;rden-Prozessen mangelt, an die Unternehmen und Verbraucher ankn&#xFC;pfen k&#xF6;nnen, ist jede Daten&#xFC;bertragung ein Risiko und f&#xFC;r Kriminelle eine Einladung zu Manipulation, Datendiebstahl und Betrug. W&#xE4;hrend Sicherheitsexperten aufgrund fehlender Daten-Strukturen und zu vielen Variablen die H&#xE4;nde gebunden sind.&#x201C;<\/p>\n\n\n\n<p>Olaf Classen hingegen habe das Gef&#xFC;hl, dass Datenschutz aktuell sogar vernachl&#xE4;ssigt wird. Ansonsten w&#xFC;rden nicht so gro&#xDF;e Abfl&#xFC;sse passieren. &#x201E;Nein, ich w&#xFC;rde den Datenschutz sogar noch erh&#xF6;hen.&#x201C;, &#xE4;u&#xDF;ert er. Ja, es sei ein Hemmschuh, aber: &#x201E;Wir m&#xFC;ssen Wege und Mittel finden, Datenschutz und Datensicherheit zu verbinden. Wenn wir anfangen, Grenzen wieder herabzusetzen, haben irgendwann ein Problem.&#x201C;<\/p>\n\n\n\n<p>Immanuel B&#xE4;r findet: &#x201E;Man sollte der IT-Sicherheit Priorit&#xE4;t geben vor dem Datenschutz.&#x201C; Warum? Wenn ein IT-Sicherheitsproblem vorl&#xE4;ge, l&#xE4;ge in den meisten F&#xE4;llen auch ein Datenschutzproblem vor, umgekehrt gelte das nicht. Ein IT-Sicherheitsproblem f&#xFC;hre schneller zu einem (Total)Ausfall als ein Datenschutzproblem. Deshalb m&#xFC;sse IT-Sicherheit immer eine leichte Priorit&#xE4;t haben. Nachvollziehbar, oder?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">NIS2 wirft noch viele Fragen auf, wird untersch&#xE4;tzt und verschlafen, analog DSGVO<\/h3>\n\n\n\n<p><a href=\"https:\/\/enginsight.com\/de\/nis2\/\" target=\"_blank\" rel=\"noreferrer noopener\">NIS2<\/a> soll die Cyber- und Informationssicherheit regulieren und mehr Sicherheit schaffen. Auf die Umsetzung der EU-Richtlinie in deutsches Recht warten viele gespannt. NIS2 wurde deshalb schon 2023 viel diskutiert. Die Umsetzung wirft bei vielen Betroffenen aber auch noch viele Fragen auf, zum Geltungsbereich, zu Haftungs- und Regressfragen oder ganz konkreten Ma&#xDF;nahmen. Unsere Experten haben da ganz eigene Meinungen zu und hoffen auf mehr Klarheit in den n&#xE4;chsten Monaten.<br>Mark Semmler glaubt: &#x201E;Viele Organisationen werden erstaunt feststellen, dass sie von NIS2 betroffen sind.&#x201C; Olaf Classen ist fest der Ansicht, dass NIS2 und ebenso DORA im Zeichen des Fachkr&#xE4;ftemangels bei vielen Akteuren zu Problemen f&#xFC;hren werden.<\/p>\n\n\n\n<p>&#x201E;Dass viele Punkte nicht abschlie&#xDF;end gekl&#xE4;rt sind, nutzen meines Erachtens nach noch zu viele Betroffene als Ausrede, um sich noch nicht ernsthaft mit dem Thema befassen zu m&#xFC;ssen.&#x201C;, erkl&#xE4;rt Adrian Pusch. Aus seiner Sicht sei der Wunsch nach ganz konkreten Handlungsvorschl&#xE4;gen sehr gro&#xDF;. Aufgrund der Komplexit&#xE4;t der IT bei mangelnden Ressourcen und Know-how zum Thema, sei das auch absolut nachvollziehbar. Wir, und damit meine er die gesetzgebenden Institutionen, aber auch alle Security-Dienstleister und Hersteller, m&#xFC;ssten gemeinsam anpacken und Unternehmen dabei helfen, mit L&#xF6;sungen und Antworten auf Frage wie: Welche Ma&#xDF;nahmen sind sofort zu treffen? Welche davon sind am wichtigsten? Welche &#xDC;bergangsfristen haben betroffene Unternehmen? Wie stelle ich ein Risikomanagement auf? Er sieht ansonsten die Gefahr, dass: &#x201E;Unternehmen mit Hektik versuchen, Bullshit zu produzieren, um das Thema irgendwie vom Tisch zu kriegen&#x201C;.<\/p>\n\n\n\n<p>W&#xE4;hrend die einen sich schon l&#xE4;ngst den Kopf zerbrechen, warten andere ab und nutzen die offene Gesetzlage als Ausrede zum Verschieben des Themas. Immanuel B&#xE4;r kann sich nicht entscheiden, ob zu wenig Klarheit geschaffen ist und deshalb viele abwarten oder ob es andersherum ist. Das Problem im Umgang mit NIS2 ist seiner Ansicht nach eine Mischung aus Unklarheiten und Erfahrungen aus der DSGV. Olaf Classen glaubt, dass sich viele an dem Punkt ausruhen, weil sie glauben, es w&#xFC;rde, analog DSGVO, lange Schon- und &#xDC;bergangsfristen geben. Er spricht sogar von einer &#x201E;gro&#xDF;en Sorglosigkeit in dem Bereich&#x201C; und einem &#x201E;riesigen Irrtum&#x201C;. Er geht davon aus, dass Cyberversicherer nach einem erfolgreichen Angriff nicht zahlen werden, wenn Unternehmen, die gesetzlichen Vorgaben nicht umgesetzt haben. <\/p>\n\n\n\n<p>Nebenbei dazu: Google glaubt, Cyberversicherer werden die Deckung systemischer Risiken weiter einschr&#xE4;nken (6). Olaf Classen erg&#xE4;nzt noch eine Gefahr, die Unternehmen bedenken sollten: &#x201E;Es wird bestimmt auch den einen oder anderen Investor geben, der Unternehmer pers&#xF6;nlich haftbar macht, im Falle angriffsbedingter Verluste durch mangelnde Absicherung bzw. Nichteinhaltung der Regularien.&#x201C;<\/p>\n\n\n\n<p><strong>NIS2 im &#xF6;ffentlichen Sektor<\/strong> ist fast ein separates Thema, das die Gem&#xFC;ter unserer Experten erhitzt. Zu Recht, meinen wir. Hintergrund: Der IT-Planungsrat hatte im November 2023 beschlossen, L&#xE4;nder, Kommunen, Bildungseinrichtungen nicht NIS2 zu unterstellen (5). Ist das nachvollziehbar, wenn wir doch genug Angriffe auf Kommunen gesehen haben, zuletzt in Baden-W&#xFC;rttemberg und in Nordrhein-Westfahlen? Sehen die Zust&#xE4;ndigen die Gefahrenlage nicht oder worin liegt die Begr&#xFC;ndung?, fragen wir unsere Experten.<\/p>\n\n\n\n<p>Olaf Classen nennt die Entscheidung: &#x201E;Ein Unding und ignorant gegen&#xFC;ber der Bedrohungslage&#x201C;. Man ziehe sich hier raus, weil im staatlichen Bereich das ben&#xF6;tigte Budget und Personal fehlen. Die Politik greife so die B&#xFC;rger an, f&#xFC;r die sie verantwortlich sei. Klare Worte.<\/p>\n\n\n\n<p>Immanuel B&#xE4;r war ebenso fassungslos &#xFC;ber die Entscheidung des Planungsrates. Seine Worte dazu: &#x201E;Ich habe gedacht, in Deutschland lernt man durch Schmerz. Scheinbar nicht, Kommunen &#xFC;ber Kommunen, St&#xE4;dte &#xFC;ber St&#xE4;dte, Rath&#xE4;user &#xFC;ber Rath&#xE4;user sind bereits Opfer geworden &#x2026;&#x201C;. Die Begr&#xFC;ndung der Entscheidung sieht er wie Olaf Classen monet&#xE4;r bedingt: Nach dem Konnexit&#xE4;tsprinzip m&#xFC;sse der Bund f&#xFC;r seine Vorgaben auch die n&#xF6;tigen Gelder zur Verf&#xFC;gung stellen. Was Risikomanager wohl dazu sagen w&#xFC;rden? &#x1F609;<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Physische Sicherheitsma&#xDF;nahmen sind im Aufwind<\/h3>\n\n\n\n<p>Zum Gl&#xFC;ck werden die Security-L&#xF6;sungen und -ma&#xDF;nahmen immer besser. Wenn sie es Angreifern schwer machen, erfolgreich zu sein, suchen diese sich jedoch neue Wege, z. B. physische. Adrian Pusch r&#xE4;t deshalb dazu, auch physichen Sicherheitsma&#xDF;nahmen (neu) zu betrachten. Er merke in seinem Kundenkreis, dass immer mehr Angriffe, gerade in Richtung Wirtschaftsspionage, physisch stattfinden. &#x201E;Es ist leichter, mit einer Hermesjacke in ein Unternehmen zu gelangen und Hardware zu stehlen als die Firewall zu umgehen.&#x201C;, meint er. Wir wollen gar nicht wissen, ob er das schon ausprobiert hat&#x2026;<\/p>\n\n\n\n<p>Physische Sicherheitspr&#xFC;fungen m&#xFC;ssten demnach ein fester Bestandteil eines manuellen Pentests werden. Oder? Was meinen die beiden Pentester, Adrian und Immanuel dazu? &#x2013; Beide stimmen zu. <\/p>\n\n\n\n<p>Immanuel B&#xE4;r erg&#xE4;nzt: &#x201E;Pentests sind viel aufw&#xE4;ndiger und in gewisser Weise auch kreativer als mancher glaubt.&#x201C; Da ist was dran; der Aufwand und die Kreativit&#xE4;t seitens der Angreifer kennt ja auch keine Grenzen. #Dreamjob als bestens Beispiel hatten wir ja bereits erw&#xE4;hnt. Zu physischen Methoden und Systemen, die die guten wie die b&#xF6;sen Hacker f&#xFC;r ihre Zwecke nutzen k&#xF6;nnen, z&#xE4;hlen: RFID-Cloning, Radio-Frequency-Hacking, WLAN-Hacking, Schlie&#xDF;-, Brandmelde- und Einbruchschutzsysteme.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Security Services finden noch mehr Zuspruch<\/h3>\n\n\n\n<p>In der Security-Servicewelt bewegt sich was. Immer mehr Anbieter bieten neue Managed Security Services, allen voran MDR. Ob sich Unternehmen gerne drauf einlassen? Wahrscheinlich nicht. Es ist wohl eher die reine Not, bedingt durch die bekannten Security-H&#xFC;rden (Ressourcen, Komplexit&#xE4;t). Denn ehrlich gesagt, ist es doch absolut verst&#xE4;ndlich, dass Unternehmen\/Admins bei einem so sensiblen Thema wie IT-Sicherheit, die Kontrolle behalten m&#xF6;chten. Dass die meisten dazu gar nicht ernsthaft in der Lage sind, ist ein anderes Thema. Umso wichtiger scheint es, dass L&#xF6;sungen die volle Flexibilit&#xE4;t bieten aus 24\/7-Komplettservice oder Kontingentbetreuung in Kombination mit Eigenbetrieb. &#x201E;An einem flexiblen MDR-Service arbeiten wir gerade, zusammen mit ausgew&#xE4;hlten Enginsight-Partnern. In wenigen Wochen werden wir die Services vorstellen&#x201C;, so Mario Jandeck.<\/p>\n\n\n\n<p>Alle Abwehrma&#xDF;nahmen d&#xFC;rfen nicht dar&#xFC;ber hinwegt&#xE4;uschen, dass es Angreifer doch gelingen kann, ins Netzwerk einzudringen. Assume Breach muss deshalb die Devise sein. Jeder muss sich damit auseinandersetzen, was im Fall eines erfolgreichen Angriffs passiert (Stichwort Notfallkonzept). <a href=\"https:\/\/enginsight.com\/de\/incident-response-service\/\" target=\"_blank\" rel=\"noreferrer noopener\">Incident Response<\/a> ist deshalb ein Service, der wichtig und gefragt ist und es bleiben wird. Denn Unternehmen haben intern daf&#xFC;r keine Ressourcen. Adrian Pusch sieht im Ausbau der IR-Services: &#x201E;eine Herausforderung der n&#xE4;chsten zwei Jahre&#x201C;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Konsolidierung ist der einzige Weg<\/h3>\n\n\n\n<p>Wir meinen hiermit nicht die Konsolidierung bei den Herstellern und Dienstleistern, sondern die Konsolidierung der IT-Security-Software. Gardner hatten den Trend schon f&#xFC;r 2023 vorausgesagt. (4)<br>Mark Semmler argw&#xF6;hnt, Kunden w&#xFC;rden L&#xF6;sungen deshalb konsolidieren, weil der Zoo an Security-Software die Personaldecke &#xFC;berfordere. Mario Jandeck sieht andere Gr&#xFC;nde, warum der Ansatz richtig ist: &#x201E;Die Fragmentierung von Infrastrukturen tr&#xE4;gt zum Anstieg von Cyber-Kriminalit&#xE4;t und Datenschutzverletzungen bei. Ein Flickwert aus punktuellen Security-L&#xF6;sungen in verschiedenen Unternehmenseinheiten macht es Security-Verantwortlichen schwer, eine klare, einheitliche &#xDC;bersicht zu bekommen. Eine Konsolidierung des Tool-Zoos ist der einzig sinnvolle Ausweg, braucht aber auch die entsprechenden L&#xF6;sungen.&#x201C;<\/p>\n\n\n\n<p>Olaf Classen glaubt ebenfalls, Toolkonsolidierung sei ein Weg. Vorweg w&#xFC;rde er noch einen anderen Ansatz &#x201E;viel lieber sehen&#x201C;. N&#xE4;mlich, die Trennung von IT-Sicherheit und Cybersicherheit. Beides w&#xFC;rde immer noch in einen Topf geworfen, dabei seien es zwei ganz unterschiedliche Ansatzpunkte: IT-Sicherheit beziehe sich auf Firewalls, Virenscanner, Netze. Cybersicherheit gehe weiter und w&#xE4;re letztlich ein &#xDC;berwachungsorgan der IT. &#x201E;IT kann sich nicht selbst &#xFC;berwachen.&#x201C;, sagt er, sie brauche das &#x201E;Vier-Augen-Prinzip&#x201C;. Die IT sei in vielen Bereichen schon komplett &#xFC;berlastet und h&#xE4;tte weder die Zeit noch das Know-how, sich mit Sicherheit zu besch&#xE4;ftigen. Er empfiehlt au&#xDF;erdem, bestehende Netzwerke und Einstellungen nochmal neu zu denken, unter der Fragestellung: &#x201E;M&#xFC;ssen s&#xE4;mtliche Anwendungen von au&#xDF;erhalb erreichbar sein?&#x201C; IOT, also die reine Produktions-IT, wurde in seinen Augen in den letzten Jahren str&#xE4;flich vernachl&#xE4;ssigt. Dies w&#xFC;rde einigen noch auf die F&#xFC;&#xDF;e fallen, prognostiziert er.<\/p>\n\n\n\n<p>Auch Google erwartet in 2024 eine weitere Konsolidierung im Bereich SecOps, da Kunden zunehmend integrierte Risiko- und Bedrohungsinformationen in ihren Sicherheitsl&#xF6;sungen verlangen. Sie w&#xFC;rden ein integriertes &#xD6;kosystem fordern, das den gesamten Netzwerkbestand abdeckt &#x2013; Cloud, Multi-Cloud, On-Premises und hybride Umgebungen &#x2013; und gleichzeitig Workflows, Anleitungen etc. anbietet, um Sicherheit out-of-the-box zu starten. (6)<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Security-by-Design muss Standard sein<\/h3>\n\n\n\n<p>In einer vernetzen Welt, mit Smart Home und -City ist es wichtig, dass die eingesetzten Ger&#xE4;te so konzipiert werden, dass sie Angriffen standhalten. Mit dem Cyber-Resilience-Act wird Security-by-Design auf der Produktebene auch gesetzlich geregelt. Die Amerikaner machten dies f&#xFC;r medizinische Ger&#xE4;te bereits vor, erz&#xE4;hlt Olaf Classen. Den Ansatz, Cybersicherheit von der ersten Entwicklungsschritten an zu bedenken, h&#xE4;lt er f&#xFC;r absolut sinnvoll. Mario Jandeck stimmt zu: &#x201E;Bei Enginsight sehen wir das genauso und haben von Anfang an den Ansatz Security-by-Design verfolgt.&#x201C;<\/p>\n\n\n\n<p>Intuitive und benutzerfreundliche Sicherheitssysteme verringern die Wahrscheinlichkeit menschlicher Fehler, die oft zu Sicherheitsverletzungen f&#xFC;hren. Die Forschungsagenda &#x201C;Human-Centered Systems Security &#x2013; IT-Sicherheit&#x201D; um Prof. Dr. Norbert Pohlmann bezeichnet den Menschen als &#x201E;eines der Grundprobleme in der IT&#x201C;. Menschen seien &#x201E;heutzutage auf allen Ebenen der Wertsch&#xF6;pfungskette mit den ihnen anvertrauten Sicherheitsmechanismen &#xFC;berfordert&#x201C;, hei&#xDF;t es in der Studie. Spannend: Die Forscher sehen die gr&#xF6;&#xDF;ten Auswirkungen nicht durch Fehler der Enduser. Entwickler und Kryptographen w&#xFC;rden eine &#x201E;viel wichtigere Rolle f&#xFC;r die IT-Sicherheit spielen als Endnutzer&#x201C;, ihre Fehler h&#xE4;tten &#x201E;viel gr&#xF6;&#xDF;ere Auswirkungen&#x201C;, hei&#xDF;t es (8). In Security-by Design muss deshalb auch Human-Centric-Design mit rein spielen. Menschenzentriertes Design stellt den Menschen in den Mittelpunkt bei der Entwicklung von IT-Systemen, aber auch Sicherheitsstrategien in Unternehmen, mit all&#x2018; ihren Bed&#xFC;rfnissen, Verhaltensweisen und Vorlieben. Gartner geht davon aus, dass bis zum Jahr 2027 die H&#xE4;lfte aller CISOs menschenzentrierte Designpraktiken in ihre Cybersicherheitsprogramme einbauen werden (2).<\/p>\n\n\n\n<p>&#x201E;Die besten Cybersecurity-Unternehmen und Produkte sind die, die Basics schaffen und nachhaltig in Unternehmen zu bringen. Und die es schaffen, dass alle Mitarbeiter:innen bei diesen Basics bleiben.&#x201C;, bringt Martin Haunschmid das Thema kurz und knapp auf den Punkt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Bilanz 2024: Das Kr&#xE4;ftemessen in der Cybersecurity geht weiter<\/h2>\n\n\n\n<p>Das kontinuierliche Wettr&#xFC;sten in der Cybersicherheit geht weiter. Die Komplexit&#xE4;t und Raffinesse der Angriffe nehmen zu, und die Verteidiger m&#xFC;ssen alles in ihrer Macht Stehende tun, um nicht nur aufzuholen, sondern auch proaktiv zu agieren. In diesem Kontext bleibt die Welt der Cybersicherheit spannend und herausfordernd, insbesondere f&#xFC;r die, die auf der guten Seite der Macht stehen. Ein gro&#xDF;es Danke an der Stelle an alle, die t&#xE4;glich daran arbeiten, die Integrit&#xE4;t und Sicherheit digitaler Infrastrukturen zu gew&#xE4;hrleisten.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\">Quickinfo zu den zitieren Experten<\/h1>\n\n\n\n<p><strong>Dickes Danke f&#xFC;rs kurzfristige Mitmachen, ihr lieben!<\/strong><\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/prosec-networks\/\" target=\"_blank\" rel=\"noreferrer noopener\">Immanuel B&#xE4;r<\/a> besch&#xE4;ftigt sich schon seit seinem 14. Lebensjahr mit dem Thema Hacking, allerdings auf der guten Seite. Der Ethical Hacker ist Co-Founder der ProSec GmbH, Speaker und &#x2026; (bitte erg&#xE4;nze mal selbst, Immanuel). Auf LinkedIn postet er regelm&#xE4;&#xDF;ig &#xFC;ber seine Ideen und Erfahrungen zur Cybersecurity.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/olaf-classen-4b403321\/\" target=\"_blank\" rel=\"noreferrer noopener\">Olaf Classen<\/a> ist Selbst&#xE4;ndiger Berater im Bereich Informations- und Cybersicherheit und Vertriebspartner bei der Deutor Cyber Security Solutions GmbH, au&#xDF;erdem bekannt durch seinen w&#xF6;chentlichen Security-Newsletter &#x201E;Cybernews&#x201C;.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/martin-haunschmid\/?originalSubdomain=at\" target=\"_blank\" rel=\"noreferrer noopener\">Martin Haunschmid<\/a> ist Pentester und Gesch&#xE4;ftsf&#xFC;hrer der Adversary GmbH; er schreibt auf LinkedIn regelm&#xE4;&#xDF;ig zu IT-Security-Themen und ist, ab und an, auch als Speaker auf Events anzutreffen.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/mario-jandeck\/\" target=\"_blank\" rel=\"noreferrer noopener\">Mario Jandeck<\/a> vereint die Rolle Gesch&#xE4;ftsf&#xFC;hrer und Techi aus Leidenschaft in einer Person. Als einer der beiden Enginsight-Gr&#xFC;nder, hat er sich das Ziel gesetzt, die Welt ein St&#xFC;ck sicherer zu machen durch eine All-in-one Security-Software, die den menschlichen Faktor eliminiert.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/thomasrkoehler\/\" target=\"_blank\" rel=\"noreferrer noopener\">Prof.Thomas R. K&#xF6;hler<\/a> bringt mehr als 20 Jahre Erfahrung in Digital-Themen mit: als Unternehmer, Autor (u. a. &#x201E;Chefsache Cybersicherheit&#x201C; CAMPUS), als Forschungsprofessur, als Vortragsredner, Fachmoderator und als Verwaltungsrat in einem Schweizer Technologie-Unternehmen.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/mark-semmler-65bb8618\/\" target=\"_blank\" rel=\"noreferrer noopener\">Mark Semmler<\/a> arbeitet seit mehr als 25 Jahren weltweit f&#xFC;r die Absicherung von Informationen und IT-Infrastrukturen. Er ist ausgewiesener Experte der Informationssicherheit und auf Sicherheitsuntersuchungen, Highlevel-Consulting, organisatorische Sicherheit und auf die Unterst&#xFC;tzung bei Sicherheitsvorf&#xE4;llen spezialisiert, au&#xDF;erdem wirkt(e) er an der Entwicklung verschiedener VdS-Richtlinien mit.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/adrian-pusch\/\" target=\"_blank\" rel=\"noreferrer noopener\">Adrian Pusch<\/a> nimmt viele Rolle ein: CEO Pusch Innovation, Security-Berater, Datensch&#xFC;tzer und Enginsight-Fan. Inzwischen ist er auch regelm&#xE4;&#xDF;ig als Experte auf diversen Security-Events unterwegs, nicht nur f&#xFC;r Enginsight.<\/p>\n\n\n\n<p><a href=\"https:\/\/www.linkedin.com\/in\/cyttraction\/\" target=\"_blank\" rel=\"noreferrer noopener\">Carolin Desir&#xE9;e T&#xF6;pfer<\/a> ist Gr&uuml;nderin von Cyttraction &amp; WhiteHatBuddyAI. Ihr Motto 2024 lautet &bdquo;From Zero to Secure&ldquo;. Als Chief Information Security Officer as a Service, mit ihren neuen B2B Kursen und dem AI-Tool hat sie sich zum Ziel gesetzt, so viele Unternehmen wie m&ouml;glich angstfrei in Richtung strategische IT Sicherheit, sichere Datenverarbeitung und neue Umsatz-Potentiale zu &bdquo;schubsen&ldquo;.<br><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p class=\"has-small-font-size\"><strong><em>Quellen:<\/em><\/strong><br>(1) https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Lageberichte\/Lagebericht2023.html<br>(2) https:\/\/www.gartner.com\/en\/articles\/top-strategic-cybersecurity-trends-for-2023<br>(3) https:\/\/www.linkedin.com\/pulse\/ai-bis-cloud-meine-gedanken-zur-nahen-zukunft-der-martin-haunschmid\/?trackingId=4Eyfas2sSR6DspppZOwI6w%3D%3D<br>(4) https:\/\/www.verfassungsschutz.de\/SharedDocs\/publikationen\/DE\/wirtschafts-wissenschaftsschutz\/2021-11-spoc-wirtschaft-und-wissenschaft-schuetzen.pdf?__blob=publicationFile&amp;v=9<br>(5) https:\/\/www.it-planungsrat.de\/beschluss\/beschluss-2023-39<br>(6) https:\/\/cloud.google.com\/blog\/products\/identity-security\/google-cloud-cybersecurity-forecast-2024-a-look-at-the-cyber-landscape-in-the-year-ahead?hl=en<br>(7) https:\/\/www.cisa.gov\/sites\/default\/files\/2024-01\/Personal%20Security%20Considerations%20Action%20Guide%20Critical%20Infrastructure%20Workers_508.pdf<br>(8) https:\/\/norbert-pohlmann.com\/it-strategien\/human-centered-systems-security-sicherheit-von-menschen-fuer-menschen\/<br>(9) GData Cybersicherheit in Zahlen 2023\/2024, S. 11<br>(10) https:\/\/www.welivesecurity.com\/deutsch\/2023\/04\/20\/linux-malware-liefert-beweis-lazarus-steckt-hinter-der-3cx-supply-chain-attacke\/#article-2<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p class=\"has-small-font-size\">*Wir verzichten zugunsten der Lesbarkeit auf die gendergerechte Schreibweise; weisen aber an dieser Stelle ausdr&#xFC;cklich darauf hin, dass &#x201E;Kunde&#x201C;, &#x201E;Mitarbeiter&#x201C; etc. alle Geschlechtsidentit&#xE4;ten einbezieht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was sagen die Experten zu besonderen Bedrohungen, m&#xF6;glichen Schutzmechanismen\/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes Jahr werden. Cyberkriminelle setzen auf KI. Politische Machtk&#xE4;mpfe werden auch im Cyberraum ausgetragen. Der Fachkr&#xE4;ftemangel in der Security bleibt ein Problem. Stecken wir deshalb den Kopf in den Sand? &#x2013; [&#x2026;]<\/p>\n","protected":false},"author":30,"featured_media":26123,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"content-type":"","_eb_attr":"","footnotes":""},"categories":[10,174,171,245],"tags":[],"class_list":["post-26120","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-endpoint-netzwerksicherheit","category-use-case","category-fallstudien","category-regularien"],"_links":{"self":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/26120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/users\/30"}],"replies":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/comments?post=26120"}],"version-history":[{"count":0,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/posts\/26120\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media\/26123"}],"wp:attachment":[{"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/media?parent=26120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/categories?post=26120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enginsight.com\/de\/wp-json\/wp\/v2\/tags?post=26120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}