Security-Trends 2015

IT-Sicherheit im neuen Jahr

19.01.2015 von Simon Hülsbömer
Welche IT-Security-Trends erwarten die Anwender 2015? Ziemlich sicher ist, dass das Thema IT-Sicherheit zunehmend eines fürs Business wird, dass die globale Vernetzung im Internet der Dinge viele neue Risiken mitbringt und dass Cloud sowie Mobile Treiber fürs Geschäft bleiben werden.

Die Ausgaben für IT-Sicherheit in deutschen Unternehmen wachsen unaufhörlich - seien es klassische On-Premise-Lösungen oder Security-Services als Software as a Service aus der Cloud. Für erstere erwarten die Marktforscher von Techconsult laut ihrer "Security-Bilanz Deutschland 2014" im neuen Jahr rund vier Prozent höhere Investitionen im Vergleich zu 2014 - die für Cloud-Dienste sollen sogar um rund 30 Prozent steigen. Somit erreicht der Markt für On-Premise-Security 2015 ein Gesamtvolumen von 2,546 Milliarden Euro - der für Cloud-Security eines von 282,4 Millionen Euro.

Die Schwerpunkte der von Techconsult befragten, in großen Teilen mittelständischen Anwender liegen klar im Mobile-Bereich, im Feld des Unified Threat Managements und bei den VPN-Lösungen.

Deutsche Security-Anbieter und ihre Marktaussichten
T-Systems
Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert.
T-Systems
Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom.
G Data
G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite.
G Data
Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen.
antispameurope
Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope.
antispameurope
antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt.
Avira
Avira sichert speziell Endgeräte, Server und die Internetnutzung ab.
Avira
Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten.
gateprotect
gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung.
gateprotect
Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen.
genua
genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert.
genua
Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen.
NCP
Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich.
NCP
NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways.
secunet
secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle.
secunet
SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt.
Steganos
Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden.
Steganos
Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät.
Zertificon
Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden.
Zertificon
Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen.
Secomba
Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten.
Secomba
Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.

Vorausschauende Überwachung führt zu Business-Aufmerksamkeit

Auf der globalen Ebene sind die Fokusthemen für 2015 ähnlich gelagert - die Marktforscher von IDC gehen davon aus, dass sich insbesondere die vorausschauende Erkennung von Bedrohungen (Threat Intelligence) zu einer zentralen Kategorie der IT-Sicherheit entwickeln wird. Anwender beziehen demnach immer häufiger und maßgeschneiderter Informationen über die Bedrohungslandschaft und versuchen, Risiken von Vornherein zu minimieren. Das Ganze ist eine Form von Data Analytics. Es geht nicht mehr nur darum, auf Angriffe oder Datenverluste zu reagieren oder sie in dem Moment abzuwehren, in dem sie geschehen würden. Es soll erst gar nicht zu einer Situation kommen, in der unmittelbar Gefahr droht, wenn die Sicherheitslösung oder die Sicherheitsstrategie nicht richtig greifen könnte - Netzwerküberwachung lautet das Stichwort.

Das amerikanische Security-Unternehmen Blue Coat, das eben solche Sicherheitslösungen vertreibt, blickt voraus: "Um sich gegen diese neuen Angriffsmethoden zu verteidigen und die Lücke zu den schon bestehenden Tools zu schließen, sind Lösungen vonnöten, die einen Kontext herstellen, Visibility und Advanced Threat Protection bieten. Angriffe auf IT-Infrastrukturen werden innerhalb weniger Sekunden, Minuten oder Stunden erfolgreich durchgeführt." Und weiter: "Viele der Angriffe bleiben eine lange Zeit danach unentdeckt; es vergehen teilweise Wochen, Monate oder gar Jahre, bis der Schaden bemerkt wird. Es ist jedoch von größter Wichtigkeit Angriffe so früh wie möglich zu erkennen und es gibt heute keinen Grund mehr, wieso Unternehmen nicht einen vollen Ein- und Überblick über den Angriff erhalten können sollten. Der Kontext oder die Integration ermöglichen einen effektiven Weg, aus eingehenden Advanced Threats operative Erkenntnisse zu ziehen."

Anwender müssen ihre gesamte IT-Landschaft inklusive aller Netzwerkbestandteile im Blick behalten und zunehmend "agieren statt nur zu reagieren".
Foto:

Diese "operativen Erkenntnisse" schlagen nun auch eine Brücke zwischen den oft noch in der IT-Abteilung angesiedelten IT-Security-Experten und den Vorständen, die sich um das Risiko-Management des Unternehmens kümmern müssen. Sind Risiken frühzeitig erkenn- und messbar, fließen die früher eher abstrakten und selten realisierten Bedrohungen zunehmend in die Budgetplanungen des Vorstands ein. Zumindest in den großen Unternehmen und Konzernen lässt sich diese Entwicklung schon seit einiger Zeit beobachten - IT-Sicherheit kommt quasi aus ihrer Nische heraus auf den Radar der strategischen Business-Entscheider. Ob diese Entwicklung bereits 2015 auf alle Unternehmensgrößen durchschlägt, lässt sich indes noch nicht abschätzen. Zumindest die zunehmende Zahl an bekannt gewordenen Sicherheitsvorfällen, die diversen Spionage-Enthüllungen über staatliche Geheimdienste und auch die geplante Meldepflicht im Rahmen des IT-Sicherheitsgesetzes sprechen aber für eine weitere Entwicklung in diese Richtung.

"CISOs bekommen allmählich endlich einen Platz auf Vorstandsebene", sagt auch Brendan Hannigan, General Manager bei IBM Security. Er empfiehlt: "Security-Verantwortliche müssen ihren wachsenden Einfluss jetzt darauf verwenden, bessere Ergebnisse zu erreichen: die Absicherung wichtiger Unternehmenswerte priorisieren, Investitionen auf Security Intelligence fokussieren und Toptalente rekrutieren, um die betriebsinternen Anstrengungen zu verbessern."

Das Internet der Dinge treibt digitale Geschäftsmodelle

Das Internet der Dinge haben wir bereits für 2014 als einen Top-Security-Trend ausgerufen. An dieser Einschätzung hat sich nichts geändert - die Vernetzung von Maschinen und Geräten via IPv6 schreitet voran, gerade die Automobilbranche ist hier zu nennen. Auch wenn das "Connected Car" laut der Capgemini-Studie "Cars online 2014" noch nicht ganz so beliebt ist, wie es sich Hersteller, Händler und Marktforscher wünschen würden, sind die einhergehenden Sicherheitsfragen ein großes Thema für 2015. Auch mobile medizinische Geräte, Wearables wie Google Glass oder Drohnen bringen einige Security-Aspekte mit, über die sich alle Seiten bewusst sein müssen.

Capgemini über vernetzte Autos (Connected Cars)
Capgemini über vernetzte Autos
Das vernetzte Auto - inwieweit theoretische Möglichkeiten und praktische Umsetzung auseinanderklaffen, haben die Analysten von Capgemini untersucht.
Besuch beim Händler
So schnell dürfte der stationäre Autohandel nicht aussterben. Schließlich wollen die Kunden das Auto "in echt" sehen und eine Probefahrt unternehmen. Das motiviert jedenfalls 72 Prozent beziehungsweise 61 Prozent der Befragten zu einem Besuch beim Händler, wie die Studie "Cars online 2014" zeigt.
Beliebte Services
Offenbar lassen sich Kunden in den aufsteigenden Märkten stärker von den neuen Services begeistern als Konsumenten in den reifen Märkten. Ob es um Sicherheit, Services oder Infotainment geht - überall ist das Interesse der Verbraucher in den aufsteigenden Ländern größer.
Daten teilen
Die Verbraucher wurden gefragt, wem sie Einblick in ihre Daten gewähren würden. Dabei liegen Hersteller und Händler vorn. Der Versicherung dagegen möchten noch nicht einmal vier von zehn Befragten Einblick geben.
Investitionen: Hersteller versus Händler
Ein anderer Aspekt ist die unterschiedliche Vorgehensweise von Herstellern und Händlern. Während 56 Prozent der Hersteller aktuell in ihre IT investieren wollen, sind es nur elf Prozent der Händler. Die Frage bezog sich auf den Einsatz von Smartphones und Tablets sowie Apps (Quelle: Studie "Neue Technologien im Autohaus).
Gründe für Investitionen in Apps
Motivation zum Investieren ist für Hersteller der Blick nach vorne. Sie nennen Zukunftsorientierung als wichtigsten Grund. Händler wollen vor allem die Kundenbindung stärken.
Auswirkungen der Smartphones
Hersteller schreiben Smartphones und Tablets stärkere Auswirkungen auf ihre Aktivitäten zu als Auto-Händler.

IDC blickt voraus: "In der Ära der dritten Plattform ist das Internet der Dinge einer der wichtigsten Innovationstreiber für Wachstum und Expansion des Wertbeitrags der IT. Die Erfindung immer intelligenterer und vernetzter ‚Dinge‘ beflügelt die Entwicklung tausender neuer Lösungen auf Basis der dritten Plattform. Ein Drittel der Ausgaben für das Internet der Dinge wird sich 2015 auf intelligente Embedded-Geräte außerhalb der IT- und TK-Branche konzentrieren." Einbezogen in diese Menge an Geräten sind Produktionsanlagen, die zunehmend miteinander vernetzt werden. Das Thema "Industrie 4.0" als Teilbereich des Internets der Dinge, gerade in Zusammenhang mit Security-Fragen, steht noch ganz am Anfang und ist sicher noch kein Megatrend für 2015, sollte von Anwendern, Herstellern und Betreibern aber im Auge behalten werden.

Mobil und sicher?!

In der bereits erwähnten Techconsult-Studie "Security-Bilanz Deutschland" wird dem Thema Mobile Security als der Bereich der IT-Sicherheit beschrieben, in den deutsche Anwender 2015 besonders viel investieren wollen.

Die Notwendigkeit, mobile Geräte abzusichern, werde weiterhin schneller wachsen, als Unternehmen dies kontrollieren könnten, prognostiziert unter anderem der israelische Security-Spezialist Check Point. Er untermauert dies mit den Ergebnissen einer eigenen Befragung von 700 Unternehmen weltweit: Demnach hatten 42 Prozent der Befragten im Jahr 2014 mobile Sicherheitsvorfälle zu beklagen, deren Korrektur mehr als 250.000 Dollar gekostet hat - 82 Prozent der befragten Anwender erwarteten eine Zunahme der Vorfälle im neuen Jahr.

Ähnlich sehen das Björn Haan und Olaf Siemens vom TÜV Rheinland i-sec. In ihrer Vorschau auf 2015 schreiben sie: "Mobile Plattformen wie Telefone und Tablets werden künftig häufiger Sicherheits- und Privacy-Probleme aufwerfen und das teilweise bedingt durch ihr Design." Mobilgeräte sind letztlich nicht aus Sicherheitsgründen heraus entstanden, sondern vielmehr aus Gründen der Bequemlichkeit und Bedienbarkeit.

Gefahr droht auch vermehrt von anderer Seite: der der mobilen Bezahlsysteme. Spätestens mit Apple Pay beim iPhone 6 könnte Mobile Payment von der "kritischen Masse" akzeptiert werden und zusammen mit konkurrierenden mobilen Zahlsystemen klassischen Bezahlwegen zunehmend den Rang ablaufen. Aber nicht alle der Systeme sind bereits ausreichend auf mögliche Gefahren geprüft und somit für Cyber-Kriminelle attraktiv. Lässt sich hier doch noch mit relativ geringem Aufwand relativ viel Kasse machen. Wir sollten also gewarnt sein.

Apple Pay
Apple Pay in Websites
...einbinden, können Shopbetreiber seit Sommer 2016. Der Anwender kann die Webseite auch via Mac besuchen, bezahlen muss er dann aber mit seinem iPhone.

Über den Wolken…

Bleibt zum Schluss noch die Cloud, die sich zu einem Dauerbrenner in Sicherheitsfragen entwickelt hat. TK-Dienstleister Verizon sagt voraus, dass die Unternehmens-IT 2015 von Cloud-Deployments kontrolliert werde. Die IT-Abteilung werde zu einer Art "Broker für Cloud-Lösungen", helfe bei der Offenlegung von Bedarf, beschreibe technische Anforderungen und verwalte die verschiedenen Technologie- und Service-Provider im Einsatz. Verizon prognostiziert, dass Cloud-Lösungen immer zielgerichteter wichtige geschäftliche Initiativen unterstützen würden - beispielsweise die Verbesserung der Kundeneinbindung, den operativen Wandel und Technologie-Compliance.

Herausforderung Cloud Security
Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services.
Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers.
Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software.
Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Sollten diese Vorhersagen eintreten, werden die sichere Speicherung und Verarbeitung von Daten innerhalb von Cloud-Infrastrukturen zum elementaren Bestandteil einer jeden IT-Strategie entwickeln.

Dass das Thema Cloud-Sicherheit im neuen Jahr höchste Priorität besitzt, zeigen auch die Ergebnisse der aktuellen IBM-Umfrage "What’s Top of Mind for Today’s CISO" unter 138 Sicherheitsverantwortlichen und CISOs (Chief Information Security Officers) weltweit: 90 Prozent der befragten Anwender haben mittlerweile Cloud-Lösungen eingeführt oder befassen sich zumindest konkret mit deren Planung. Aus dieser Gruppe wiederum gehen 75 Prozent davon aus, dass ihr Cloud-Sicherheits-Budget in den nächsten drei bis fünf Jahren steigen oder sogar erheblich steigen wird.

Geld ist also wohl weiter da für IT-Security, sogar mehr als vorher. Und das sind durchaus gute Nachrichten.