In der Welt der Cyberrisiken sieht man sich ständig mit neuen Herausforderungen konfrontiert, beispielsweise bei der Cloud-Sicherheit, durch Botnets oder durch Malware zum Schürfen von Kryptowährungen.
Umso wichtiger ist es, IT-Sicherheitstrends zu kennen und zu verstehen – nicht nur, um diese neuen Sicherheitsproblemen bewältigen zu können, wenn und falls sie auftauchen, sondern auch, um im eigenen Cybersicherheitsbudget für 2019 ausreichende Mittel bereitzustellen.
Unsere Untersuchungen deuten darauf hin, dass immer mehr Unternehmen in sicherheitstechnische Lösungen investieren, um sich vor Cyberangriffen zu schützen. Es wird erwartet, dass Cyberkriminalität, beispielsweise in Form von gezielten Ransomware-Angriffen, Spear Phishing oder Krypto-Jacking, 2019 weiter zunimmt. Unternehmen drohen Milliardenverluste durch Einnahmeausfälle, Lösegeldzahlungen und Schadensbegrenzung.
Um die Kosten für Datensicherheitsverletzungen zu minimieren und das Vertrauen ihrer Kunden und Geschäftspartner zu stärken, müssen auch kleine Unternehmen verstehen, wie sich Bedrohungslandschaft, Datenschutztechnologien und sicherheitsrelevante Gesetze und Vorschriften verändern.
Wir gehen davon aus, dass IoT-Risiken im Jahr 2019 stärker in den Vordergrund treten und gleichzeitig die Investitionen in den Datenschutz in der Cloud und in Technologien zur aktiven Bedrohungserkennung zunehmen werden. Die Sicherheit wird auch als Geschäftsfunktion an Bedeutung gewinnen.
In diesem Artikel möchten wir vier IT-Sicherheitstrends behandeln, die kleine Unternehmen kennen sollten, und aufzeigen, wie sie sich rüsten können.
Investitionen in Cloud-Datenschutztechnologien werden deutlich steigen
Unseren Vorhersagen zufolge werden kleine Unternehmen 2019 verstärkt in die Sicherung von Cloud-Daten investieren, beispielsweise in Technologien für Verschlüsselung, Data Loss Prevention, Autorisierung und Ähnliches. Zahlreiche kleine Unternehmen werden sich für die Verwaltung von Kundendaten mit vertrauenswürdigen, zuverlässigen Drittanbietern zusammentun, die im Bereich Datensicherheit über mehr Know-how verfügen als sie selbst. Wer sein Unternehmen schützen möchte, sollte sich diesem Trend nicht entziehen:
Dem Gartner-Bericht „ Predicts 2018: Security Solutions“ zufolge (der gesamte Bericht steht Gartner-Kunden auf Englisch zur Verfügung) werden bis 2020 über 60 Prozent der Unternehmen in mehrere parallele Datensicherheitstools investieren. Zum Vergleich: 2017 waren es noch nur 35 Prozent.
Unsere Umfrage unter kleinen und mittleren Unternehmen (KMUs) ergab außerdem, dass 47 Prozent der kleinen Unternehmen Datenschutztechnologien 2019 in ihrem Budget einplanen.
Zu steigenden Ausgaben für die Cloud-Datensicherheit führen u. a. folgende Faktoren:
Strengere Umsetzung von Datenschutzbestimmungen
Neue Gesetze und Vorschriften wie die DSGVO sowie die Angst vor hohen Bußgeldern, die bei einem Verstoß drohen könnten, bringen viele kleine Unternehmen dazu, in Datenschutzmaßnahmen und -tools zu investieren.
Durch die neuen Vorschriften bekommen Kund*innen eine direktere Kontrolle darüber, wie ihre Daten erhoben, gespeichert und verwendet werden. Um diesen neuen Vorgaben entsprechen zu können, sind Unternehmen zu Neuanschaffungen gezwungen.
Ein Großteil der Daten wird in der Cloud gespeichert
Die meisten kleinen Unternehmen speichern ihre Daten in der Cloud. Entsprechend kritisch wird es für die Gewährleistung der Datensicherheit sein, auch Cloud-Infrastrukturen zu sichern. 62 Prozent der kleinen Unternehmen speichern Finanzdaten ihrer Kunden in der Cloud und 54 Prozent speichern sensible medizinische Daten – und das oft ohne angemessene Sicherheitsvorkehrungen.
Empfohlene Maßnahmen
1. Datenschutztechnologien einsetzen
Kleine Unternehmen müssen sicherstellen, dass in der Cloud gespeicherte vertrauliche Daten gut geschützt sind. Dazu kommen verschiedene Technologien zum Einsatz, beispielsweise für die Verschlüsselung (sowohl während der Speicherung als auch bei der Übertragung der Daten), mehrstufige Authentifizierung und Zugangskontrollen. Kleine Unternehmen, die Cloud-Services nutzen, sollten außerdem Investitionen in Cloud Access Security Broker (CASB) in Betracht ziehen, um die Sicherheit der in der Cloud gespeicherten Daten zu verbessern.
2. Datensicherungs- und Wiederherstellungspläne erstellen
Kleine Unternehmen dürfen nicht übersehen, wie wichtig es ist, Daten regelmäßig zu sichern. Tools für kontinuierliche Backups helfen dabei, die eigene Arbeit zu sichern und bei Bedarf wiederherzustellen. Auch Investitionen in die Notfallwiederherstellung (Disaster Recovery) sowie Tools für die Geschäftskontinuität (Business Continuity) sind unverzichtbar, um im Falle von Unglücken oder Naturkatastrophen die Arbeit mit den gesicherten Daten wiederaufnehmen zu können.
3. Sich im Voraus auf gesetzliche Neuerungen vorbereiten
Datenschutzvorschriften werden ständig weiterentwickelt. Neue Regeln werden hinzugefügt, bestehende geändert. Unternehmen müssen sich vor Ablauf der Frist darauf vorbereiten, all diese Vorschriften einzuhalten. Wichtigstes Beispiel ist aktuell zweifellos die EU-Datenschutzgrundverordnung (DSGVO). Die DSGVO trat bereits im Mai letzten Jahres in Kraft, doch in Umfragen gaben zum Jahreswechsel nur rund 20 % der Unternehmen an, die Vorgaben bereits vollständig umgesetzt zu haben. Wer keine Strafen riskieren will, sollte sich lieber schon im Voraus genau mit neuen Gesetzesanforderungen auseinandersetzen und die nötigen Maßnahmen in die Wege leiten.
Bei der IoT-Sicherheit stehen 2019 und 2020 neue Herausforderungen bevor
Wir erwarten, dass 2019 die Zahl der IoT-Angriffe auf 300.000 steigt und mehr als 30 Prozent aller Cyberangriffe ausmacht.
2017 zielten 50.000 Cyberangriffe auf IoT-Geräte ab, was gegenüber dem Vorjahr einen Anstieg von 600 Prozent darstellte. Im Jahr 2018 gab es bereits über 121.000 IoT-getriebene Malware-Angriffe.
Immer mehr ungeschützte IoT-Geräte sind mit IT-Netzwerken verbunden und es ist zu erwarten, dass uns zukünftig immer häufiger größer dimensionierte Cyberangriffe bevorstehen, die von IoT-Botnetzen gesteuert werden.
Allmählich werden sich die Besitzer von IoT-Geräten der Bedrohungen durch ungesicherte IoT-Geräte immer deutlicher bewusst. Es ist zu hoffen, dass Verbraucher und Hersteller in den nächsten Jahren zunehmend Maßnahmen ergreifen, um Sicherheitskontrollen wie Authentifizierung, Verschlüsselung und Anti-Malware-Systeme in IoT-Geräten zu implementieren.
Faktoren, die diesen Trend deutlich machen, sind u. a.:
Die schnelle Verbreitung von (ungeschützten) IoT-Geräten
Schätzungen von Gartner zufolge werden bis 2020 mehr als 20 Milliarden IoT-Geräte mit dem Internet verbunden sein. Kleine Unternehmen verbinden viele ungeschützte physische Objekte mit ihren IT-Netzwerken, beispielsweise intelligente Schließ- und Beleuchtungssysteme, HLK-Systeme (Heizung, Lüftung und Klima), Überwachungskameras und mehr.Dabei entstehen ernsthafte Sicherheitsrisiken: Angreifer können IoT-Geräte unter ihre Kontrolle bringen und nutzen, um Malware zu verbreiten oder groß angelegte Distributed-Denial-of-Service-Angriffe (DDoS) durchzuführen. Trotz alledem haben 54 Prozent der Nutzer*innen für ihre IoT-Geräte keinerlei Sicherheitsmaßnahmen (wie Passwörter oder eine Verschlüsselung).
Verbesserte IoT-Sicherheitsfunktionen
Viele Softwareanbieter versehen IoT-Sicherheitstechnologien mit erweiterten Funktionen wie Analytik und künstlicher Intelligenz (KI). Außerdem werden IoT-Geräte bereits mit integrierten Sicherheitsfunktionen entwickelt und produziert. Auch Technologien für Netzwerkschutz, Authentifizierung, Patch-Management und Systementwicklung, die zur Lösung von IoT-Sicherheitsproblemen erforderlich sind, werden verbessert, um eventuell bevorstehenden Sicherheitsproblemen entgegenzutreten.
Empfohlene Maßnahmen
1. Einen IoT-Sicherheitsplan erstellen
Überprüfe dein IoT-Netzwerk und entwickle einen Plan oder eine Strategie zum Schutz deiner IoT-Systeme. Dabei sind technische Lösungen wie intelligente Firewalls und Authentifizierungssysteme genauso zu berücksichtigen wie Standardverfahren und -prozesse für die Installation vernetzter Geräte. Nimm Anbieter von IoT-Sicherheitssoftware in die engere Wahl, deren Lösungen nicht nur aktuell passend sind, sondern auch Upgrade-/Update-Optionen bieten.
2. Die Sicherheit in der IoT-Entwicklungs- und Implementierungsphase einbeziehen
IoT-Geräte kommen in unterschiedlichster Gestalt daher und sind oft schwer als solche zu erkennen, da es sich praktisch um jedes physische Gerät handeln kann. Wer denkt schon daran, dass ein Toaster oder eine Glühbirne möglicherweise ein Sicherheitsrisiko für das Netzwerk ist? Wer plant, IoT-Geräte zu installieren, sollte daher ihre Sicherheitsmerkmale mit Experten besprechen und die notwendigen Vorkehrungen treffen, beispielsweise indem schon bei der Entwicklung und Implementierung auch eine Firewall oder Anti-Malware-Software eingebunden wird.
3. Vorhandene IoT-Geräte mittels Softwarelösungen sichern
Kleine Unternehmen müssen auf bestehende Sicherheitstechnologien zurückgreifen, beispielsweise erweiterte Antivirus-Lösungen, intelligente Firewalls, Zugriffskontrollsysteme (Privileged Access Management) und Anti-Malware-Systeme für vernetzte Geräte. Auch die Investition in IoT-Sicherheitslösungen mit Funktionen zur Geräteerkennung oder zur Verhinderung von Brute-Force-Angriffen lohnt sich, um IoT-Geräte und andere Endgeräte zu schützen.
Mehr kleine Unternehmen werden in aktive Sicherheitsmaßnahmen investieren, die bei der Bedrohungserkennung helfen
„Vorsicht ist besser als Nachsicht“: Dieses Motto wird 2019 maßgeblich sein, was Sicherheitsvorfälle betrifft. Kleine Unternehmen werden in aktive Sicherheitstechnologien wie die Bedrohungserkennung investieren, um Risiken frühzeitig zu erfassen und zu minimieren.
Für kleine Unternehmen mit begrenztem IT-Personal bietet sich die Zusammenarbeit mit Drittanbietern für Managed Detection and Response (MDR) an, die Netzwerkdaten analysieren, um Anomalien zu erkennen und auf Bedrohungen zu reagieren.
Passive vs. aktive Sicherheit
Die passive Sicherheit ist der Startpunkt und die Grundlage jeder Sicherheitsinfrastruktur. Dazu gehört der Einsatz von Antivirusprogrammen, Anti-Spam-Software und Firewalls, um die Anwendungs- und Netzwerknutzung zu überwachen und zu kontrollieren.
Bei der aktiven Sicherheit geht es darum, Anomalien im IT-System zu erkennen, auf sie zu reagieren und Cyberangriffe zu unterbinden, bevor sie ernsthaften Schaden anrichten. Dabei sollten erfahrene Sicherheitsexpert*innen einbezogen werden, die Informationen sammeln und neuralgische Punkte durch geeignete Abwehrmechanismen schützen können.
Diesen Trend treiben u. a. folgende Marktbedingungen voran:
Bedrohungen müssen abgewehrt werden, bevor es zu Datensicherheitsverletzungen kommt
Eine Datensicherheitsverletzung kostet kleine Unternehmen in den USA durchschnittlich 117.000 $, in Deutschland dürfte die Zahl kaum niedriger sein. Derartige Verluste können kleine Unternehmen schnell in Bedrängnis bringen.Sie setzen daher zunehmend aktive Sicherheitsmaßnahmen ein und nutzen beispielsweise Dienste und Technologien zur Bedrohungserkennung, um die Zahl der Sicherheitsvorfälle zu verringern.
Der Markt für Software zur Bedrohungserkennung wächst
Marketsandmarkets zufolge wird der Markt für Bedrohungserkennungssysteme voraussichtlich von 48 Mrd. $ im Jahr 2015 auf 119 Mrd. $ im Jahr 2022 wachsen. Gartner erwartet, dass Investitionen in Software zur Erkennung und Reduzierung von Bedrohungen bis 2020 bei Käufer*innen ganz oben auf der Liste stehen werden.
„Der neue Fokus auf Früherkennungs- und Reaktionsmöglichkeiten umfasst Personen, Prozesse und Technologien gleichermaßen. In den nächsten fünf Jahren wird er einen Großteil des Wachstums des Sicherheitsmarkts darstellen“, sagt Sid Deshpande, leitender Forschungsanalytiker bei Gartner.
Empfohlene Maßnahmen
1. Aktive Sicherheitstechnologien einsetzen
Investiere in Technologien, die Bedrohungen frühzeitig erkennen und automatisch reagieren. Die durch einen Sicherheitsvorfall entstehenden Kosten sind viel höher als die Präventivausgaben – ganz zu schweigen von den damit verbundenen Ausfallzeiten und der Rufschädigung. Es gibt zahlreiche Sicherheitslösungen, die dazu beitragen können, aktive Abwehrmechanismen zu verbessern, beispielsweise SIEM (Security Information and Event Management), Intrusion-Prevention-Systeme und Sicherheitsanalysetools. Auch Tools zur Bedrohungserkennung mit KI- und Machine-Learning-Funktionen sollten gegebenenfalls geprüft werden, auch wenn sie noch in der Entwicklung befindlich und entsprechend nicht weit verbreitet sind.
2. Das Personal schulen und qualifizierte Sicherheitsanalyst*innen einstellen
Zu einer aktiven Sicherheitsstruktur gehört nicht nur der Einsatz von Software, sondern auch von geschultem Personal, das Systeme aktiv überwacht und darauf trainiert, Bedrohungen zu erkennen und zu minimieren. Je nach Budget kannst du eigene IT-Teammitglieder in der Bedrohungserkennung weiterbilden oder qualifizierte Fachleute einstellen.
Wachsende Bedeutung der Sicherheitslage bei der Auswahl von Geschäfts- und Fusionspartnern
Ab 2019 werden Unternehmen von Partnerfirmen, Lieferanten und Zwischenhändlern strengere Sicherheitskontrollen verlangen. Sicherheitsprüfungen und -ratings werden als objektive Indikatoren für die Sicherheitslage eines Unternehmens genutzt werden. Auf dieser Grundlage wird bewertet, wie es bei potentiellen Anbietern, Fusions- und Übernahmepartnern, Kunden und allgemein in der Wertschöpfungskette um die Sicherheit bestellt ist.
Diesen Trend begünstigen u. a. folgende Marktbedingungen:
Hacker haben es auf kleinere Unternehmen abgesehen, um Zugang zu größeren Partnerfirmen zu erhalten
Kleine Unternehmen sind für Angreifer ein attraktives Ziel, weil sie sich über diese Zugang zu deren größeren Geschäftspartnern und schlecht gesicherten vertraulichen Daten verschaffen können oder wollen.Nicht wenige berüchtigte Sicherheitsverletzungen bei Großunternehmen wurden durch unzureichende Sicherheitsvorkehrungen bei Lieferanten und Partnern verursacht.
- So konnte beispielsweise ein Hacker Zugriff auf Zahlungsdaten von Kunden des US-Einzelhandelsgiganten Target erlangen, indem er die Zugangsdaten eines HLK-Vertragspartners des Unternehmens ausnutzte.
- Vertrauliche Daten von Fahrern des amerikanischen Einzelhandelsunternehmens Lowe‘s, darunter Sozialversicherungs- und Lizenznummern, wurden kompromittiert, als eine Sicherheitsfirma unabsichtlich ein Backup auf einem ungesicherten, mit dem Internet verbundenen Server erstellte.
- Auch das Kassensystem der Baumarktkette Home Depot wurde über die Zugangsdaten eines Drittanbieters gehackt, der Diebstahl von Kreditkartendaten von Kunden war die Folge.
Entstehung und Wachstum von Sicherheitsrating-Services
Das Bewerten der Sicherheitslage von Unternehmen wird als Konzept immer beliebter, ganz ähnlich wie Bewertungen zur Kreditwürdigkeit, die die finanzielle Stabilität von Personen und Firmen beurteilen.
Im Gartner-Bericht „ Innovation Insight for Security Rating Service“ heißt es (eigene Übersetzung, Original für Gartner-Kunden auf Englisch verfügbar):
„Bis 2022 werden Cybersicherheitsratings genauso wichtig wie Bonitätsprüfungen, wenn es darum geht, das Risiko von Geschäftsbeziehungen zu beurteilen.“
Gartner gibt außerdem an, Cybersicherheitsbewertungen würden in den nächsten sechs Jahren zu einer zwingenden Voraussetzung für die Aufnahme von Geschäftsbeziehungen, die sich sogar auf die Kosten der Cyberversicherung auswirkt.
Empfohlene Maßnahmen
1. Bei Unsicherheit in Bezug auf Sicherheitsstrategien mit einem Managed Security Service Provider zusammenarbeiten
Wer eingeschränkte Sicherheitsmaßnahmen implementiert hat und unsicher ist, wie die Sicherheitslage bewertet oder weiter verbessert werden kann, sollte die Dienste eines Managed Security Service Providers (MSSP) in Anspruch nehmen. MSSPs sind Drittanbieter, die Unternehmen beim Überwachen und Verwalten von Sicherheitsfunktionen wie Bedrohungsüberwachung, Risikobewertung, Bereitstellung von Technologielösungen und Intrusion Management unterstützen. Wähle bekannte MSSPs, die Erfahrung mit kleinen Unternehmenskunden in deiner Branche haben.
2. Regelmäßige Sicherheitsbewertungen und Penetrationstests durchführen
Regelmäßige Sicherheitsbewertungen durch interne Teams oder externe Anbieter helfen, neue Schwachstellen zu erkennen und schneller zu beheben. Sicherheitsbewertungen und Penetrationstests bieten ein umfassendes Bild der Sicherheitslage im Unternehmen.
3. Sicherheitskompetenz werbewirksam nutzen
Stelle im Gespräch mit potentiellen Kunden deine Kompetenz in Sicherheitsfragen heraus, um sie davon zu überzeugen, dass du die Vertraulichkeit und Integrität ihrer Daten gewährleisten kannst. Natürlich muss auch die Einhaltung aller wichtigen gesetzlichen Vorschriften garantiert sein. Dies trägt dazu bei, das Vertrauen der Kunden und Geschäftspartner zu gewinnen.
Eine verbesserte Sicherheitslage als guter Vorsatz fürs Jahr 2019
Je mehr sich Angreifer neuer Technologien wie KI und Botnets bedienen und Unternehmen aller Größen ins Visier nehmen, desto stärker muss die Sicherheit für alle Unternehmen im Fokus stehen. Weltweit führen Regierungen stärkere Datenschutz- und Cybersicherheitsvorschriften ein, um Nutzer zu schützen.
Kleine Unternehmen müssen stärker in die IT-Sicherheit investieren und sie als strategische Geschäftsfunktion betrachten, bei der alles funktionieren muss – sonst steht die Existenz des Unternehmens auf dem Spiel.
Du suchst nach zusätzlichen Ressourcen, um die IT- und Cloud-Sicherheit im Griff zu behalten? In unserem Softwareverzeichnis findest du die verschiedensten sicherheitsrelevanten Softwarelösungen, beispielsweise Antivirus- und Anti-Spam-Lösungen, Tools für Cloud-Sicherheit, Verschlüsselung und mehr. Lies dir die Bewertungen durch und vergleiche unterschiedliche Produkte, um eine fundierte Kaufentscheidung zu treffen.
Unsere Daten entstammen einer von Juli bis September 2018 online unter 715 Inhabern kleiner Unternehmen in den USA durchgeführten Umfrage. Die Befragten waren als Manager*innen oder in höheren Positionen tätig und wurden danach ausgewählt, inwieweit sie in Kaufentscheidungen für Unternehmenssoftware involviert sind. Die ausgewählten Unternehmen haben 2 bis 249 Angestellte und einen Umsatz von weniger als 100 Millionen US-Dollar.