Das müssen Unternehmen für die IT-Sicherheit wissen
Der TÜV Süd erklärt, was Betriebe in Sachen Cybersicherheit für das Jahr 2019 wissen müssen. Hier sind die Cyber-Security-Trends 2019, wie arbeitsschutz-portal.de dazu ausführte.
1. Datenschutz und DSGVO: Einmal ist keinmal
Immer noch haben viele Firmen damit zu tun, die EU-Datenschutz-Grundverordnung (DSGVO), die seit 25. Mai 2018 in Kraft ist, umzusetzen. Im November 2018 wurden erste Bußgelder verhängt – damit steigt auch der Druck auf Unternehmen, stärker in IT-Sicherheit zu investieren. Der TÜV Süd empfiehlt für die Umsetzung der DSGVO ein ganzheitliches Monitoring mithilfe von Systembetrachtungen. Punktuelle, interviewbasierte Datenschutz-Audits reichen nicht mehr aus.
"Nachhaltiger Datenschutz erfordert kontinuierliche Investitionen in IT-Sicherheit."
2. Social Engineering: Schwachstelle Mensch
Das "Social Engineering" gehört mittlerweile zum Standardrepertoir von Cyberkriminellen. Laut dem TÜV Süd investieren Unternehmen viel zu wenig in die Schulung und Sensibilisierung von Mitarbeitern, damit sie im Zweifelsfall nicht darauf hereinfallen. Ein Beispiel für Social Engineering ist der sogenannte "CEO Fraud": Dabei wird der CEO als vermeintlicher Absender einer meist täuschend echt wirkenden Phishing-E-Mail benutzt. Die Aufklärung von Beschäftigten sowie Schulungen können helfen.
"Angriffe durch Social Engineering stellen einen vergleichsweise geringen Aufwand dar und werden 2019 weiter zunehmen",
erklärt der TÜV Süd.
3. The rise of "Shadow IT": Alte Geräte vom Netz nehmen
Oft wird vergessen, alte oder nicht mehr benötigte Geräte tatsächlich vom Netz zu nehmen. Besonders wenn neue IT-Landschaften angeschafft werden oder Unternehmen zugekauft werden. Diese vergessenen Geräte nennt man "Shadow IT". Sie sind ein beliebtes Angriffsziel, weil veraltete Betriebssysteme und fehlende Sicherheitsupdates ein bequemes Einfallstor ins Unternehmensnetzwerk darstellen. Risiken lassen sich laut TÜV Süd minimieren, indem man die IT-Infrastruktur kontinuierlichen Sicherheitsüberprüfungen unterzieht und Altlasten aufräumt.
4. Vernetzte Industrieanlagen: Sicherheit von Anfang an mitdenken
Immer mehr Unternehmen investieren in vernetzte Industrieanlagen, um die Chancen des Industrial Internet of Things (IIoT) zu nutzen. Hier sollte Sicherheit von Anfang an mitgedacht werden, denn es ist sehr aufwändig und teuer, vernetzte Industrieanlagen nachträglich gegen Cyberangriffe abzusichern. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, wurden im Jahr 2017 etwa 70 % aller Unternehmen in Deutschland Ziel eines Hackerangriffs. Der TÜV Süd empfiehlt hier Schwachstellenscans und tiefergehende Security Assessments, um einschätzen zu können, wie der Sicherheitsstatus der eigenen Industrieanlage ist.
5. Sprachbarrieren überwinden: Fach- und Führungskräfte müssen die gleiche Sprache sprechen
Cyber Security wird in immer mehr Unternehmen zur Chefsache erklärt. Doof nur, wenn das C-Level-Management und die für Cyber-Security notwendige IT-Abteilung sich nicht verstehen – und zwar im wahrsten Sinne des Wortes, weil sie einfach zwei unterschiedliche Sprachen sprechen. Verständigungsprobleme können notwendige Investitionen in die IT-Sicherheit verzögern. Zielgruppengerechte Kommunikation ist hier die Lösung!
6. Kryptomining vs. Ransomware: Schürfen statt schädigen
Laut dem Branchenverband Bitkom verursachte Schadsoftware in den Jahren 2016 und 2017 einen Wirtschaftsschaden von 43 Milliarden Euro. 2019 wird der Trend zu Kryptomining noch zunehmen, ist sich der TÜV Süd sicher:
"Dabei werden zwar keine Daten beschädigt oder gestohlen, die eigene IT-Infrastruktur wird aber ohne Wissen des Besitzers zum Schürfen von Kryptowährung genutzt."
Soft- und Hardware muss durch mittels "Security by Design" schon den Sicherheitsanforderungen entsprechend entwickelt werden.
7. Auch Cyberkriminelle nutzen KI
Cyberangriffe werden immer häufiger mit Machine Learning und Künstlicher Intelligenz (KI oder auch Artificial Intelligence (AI)) durchgeführt. Wer sich nur mit "Pattern Matching", dem Abgleich mit bekannten Mustern, zu wehren versucht, wird nicht viele Chancen haben. Stattdessen empfiehlt der TÜV Süd Unternehmen, auf das Erkennen von Anomalien zu setzen und selber Künstliche Intelligenz für die Cyber Security einsetzen, um ungewöhnliche Aktivitäten früh erkennen zu können.
8. Cloud Security: Sicher verschlüsselt
57 % der befragten Geschäftsführer und IT-Verantwortlichen denken laut einer Bitkom-Umfrage, dass ihre Unternehmensdaten in der Public Cloud "sehr sicher" oder "eher sicher" sind. Der TÜV Süd empfiehlt eine verschlüsselte Cloud als sicherste und datenschutzkonformste Lösung.
9. Nationstate Attacks
"Großangelegte, professionelle Cyberangriffe durch staatliche Akteure werden 2019 weiter zunehmen",
erklärt der TÜV Süd. Bei der Auswahl von Cyber-Security-Software sollte deshalb auch die Herkunft der Anbieter berücksichtig werden.
Weiterführende Links:
TÜV SÜD: Das sind die Cyber-Security-Trends 2019
arbeitsschutz-portal.de: Cyber-Security-Trends 2019