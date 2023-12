Standards und Verantwortliche für die Rechenschaftspflicht bei Cyberangriffen dringend gesucht

Nach dem Vorfall bei SolarWinds wird die Rolle der Sicherheitsverantwortlichen in Unternehmen im kommenden Jahr auf dem Prüfstand stehen. Börsennotierte Unternehmen werden nun von der SEC in den USA und anderen Behörden nach Vorfällen zur Rede gestellt. Führungskräfte werden sich intern Gedanken darüber machen, wie die IT-Sicherheit in Zukunft gehandhabt werden soll. Wo die Verantwortlichkeiten für Compliance und IT-Sicherheit ursprünglich getrennt waren, wird eine stärkere Harmonisierung stattfinden. Nur dann können Unternehmen sicherstellen, dass sowohl bewährte Verfahren als auch rechtliche Anforderungen erfüllt werden – und viele werden sich an Audit-Unternehmen und -Zertifizierer wenden, um Entschädigung und Schutz zu erhalten.

Dennoch wird der Ruf nach einem Mandat oder einem nationalen Standard laut werden, an dem sich diese Anbieter messen lassen können. Und dies, obwohl es die Bausteine für bewährte Praktiken gibt – ISO-Normen, SOC2, CSA – gibt es immer noch nicht genug solide Grundlagen, um Audits zu einem einfachen Prozess für Unternehmen zu machen. Diejenigen, die auf Vorstands- und Aufsichtsratsebene für Cybervorfälle verantwortlich gemacht werden, werden auf nationaler und internationaler Ebene auf klarere Anforderungen drängen.

Die Ransomware-Waage verschiebt sich weiterhin zu Gunsten der Cyberkriminellen

Die Ransomware-Bedrohung nimmt immer noch zu. Ebenso steigt die Zahl der Zero-Days, die ausgenutzt werden, deutlich an – ein Trend, der sich 2024 aufgrund von zwei wichtigen Faktoren fortsetzen wird. Unternehmen haben immer noch Schwierigkeiten, ihr eigenes Risiko einzuschätzen, und die meisten haben keinen ausreichenden Überblick über ihren digitalen Fußabdruck. Sie verfügen nicht um die nötigen Mittel, um Bedrohungen richtig zu erkennen und darauf zu reagieren.

Sanktionen gegen Cyberkriminelle könnten zwar verschärft werden, aber es gibt noch viele Fragen in Bezug auf Gefängnisstrafen, finanzielle Forderungen und andere rechtliche Konsequenzen, die mit der Kriminalisierung von Ransomware-Zahlungen verbunden sind. Diese Unsicherheiten machen es schwierig, die Cybersicherheit innerhalb eines rechtlichen Rahmens zu gewährleisten. In der Folge werden auf Ransomware spezialisierte Kriminelle weiterhin von dieser Lücke profitieren.

Secrets-Management

Das Secrets-Management wird im Jahr 2024 ein zentrales Element des Developer-Ökosystems sein. Mit den großen Fortschritten bei der Einführung von DevOps, Cloud-Technologien und Automatisierung ist die Anzahl der Secrets massiv gestiegen. Oft werden sie während des Softwareentwicklungsprozesses nicht geschützt und in öffentlichen Code-Repositories gespeichert. Diese Geheimnisse – z. B. Passwörter, API-Schlüssel und Zertifikate – sind wertvolle Informationen für Angreifer.

Unternehmen müssen sich auf Quantencomputing vorbereiten

Um dieses Ziel zu erreichen, müssen Standards vereinbart werden, die für das Jahr 2024 erwartet werden. Das Interesse am Quantencomputing wird aus den eher technischen Kreisen ausbrechen und im Jahr 2024 auf der Tagesordnung der Entscheidungsträger in den Unternehmen stehen. Public-Key-Infrastruktur, TLS-Verschlüsselung, Browser und Code-Signierung sind die vier wesentlichen Bereiche, in denen das Interesse an Post-Quantum-Kryptografie zunehmen wird. Intensiviert wird die Diskussion nicht nur im Hinblick auf die Risikominderung, sondern auch als geschäftliches Unterscheidungsmerkmal.

Die Umsetzung einer quantensicheren Kryptografie wird sich durchsetzen

Mit der erneuten Verabschiedung des Quantum Initiative Act und der voraussichtlichen Veröffentlichung der endgültigen NIST-Standardveröffentlichungen wurden wichtige Rahmenbedingungen gesetzt. Das gesteigerte Bewusstsein für Quanteninitiativen rückt die quantensichere Technologie für die meisten Unternehmen in den Vordergrund. 2024 ist das Jahr, in dem die praktische Umsetzung der quantensicheren Kryptografie in der realen Welt ansteht.

Unternehmen werden Post Quantum Cryptography (PQC)-Technologie in Systeme integrieren, die kritische Software wie Kommunikation, Handel und Datenschutz untermauern und die seit Jahrzehnten unangetastet geblieben sind. Es wird jedoch auch einige Stolpersteine geben. Das Entscheidende ist jedoch, dass es endlich Fortschritte bei der Umstellung der PKI-Großhandelssysteme von den alten auf die neuen Systeme geben wird. Unternehmen werden nur noch in Hardware investieren, die für die Post-Quantum-Technologie geeignet ist. Die wahren Quantendurchbrüche werden vielleicht erst in fünf, zehn oder mehr Jahren kommen, aber der neue Standard wird sein, dass Investitionen von Anfang an quantensicher sind.