Worauf sich Security-Teams 2025 einstellen müssen

1. CISO halten sich bei der KI-Einführung zurück

KI war 2024 der Trend schlechthin, aber es ist nicht davon auszugehen, dass die Akzeptanz 2025 genauso stark sein wird – zumindest nicht bei Sicherheitsteams. Tatsächlich erwartet Forrester Research, dass die Akzeptanz von GenAI für Sicherheitsanwendungsfälle im kommenden Jahr um 10 Prozent zurückgehen wird.

Ein Hindernis für die Einführung, das von den Kunden des Analystenunternehmens genannt wurde, ist das unzureichende Budget. Cody Scott, Analyst bei Forrester, sagte, ein weiterer Grund, warum die Einführungsraten von CISOs herabgestuft werden, sei, dass die Kunden den Nutzen für die Sicherheit nicht erkennen und von der aktuellen KI-Erfahrung desillusioniert sind.

GenAI- und KI-Modelle werden für ihre Fähigkeit beworben, routinemäßige Produktivitätsaufgaben im Sicherheitsbereich zu automatisieren, wie zum Beispiel für die Berichterstattung und Analyse, aber sie bieten noch nicht viel Unterstützung bei der Reaktion auf Vorfälle.

2. Die Notwendigkeit, Schutzvorrichtungen für GenAI- und AI-Modelle zu schaffen

Die fortgesetzte Einführung von KI im gesamten Unternehmen wird zu einem Vorstoß der Branche zur Entwicklung von Vorschriften für die sichere Nutzung von KI führen, sagte Melinda Marks, Practice Director of Cybersecurity bei der Enterprise Strategy Group von Informa TechTarget.

„Sicherheitsteams möchten proaktiv handeln und der KI-Nutzung einen Schritt voraus sein, da sie – wie jede innovative Technologie – leicht außer Kontrolle geraten kann“, so Marks.

Der mit GenAI entwickelte Sicherheitscode ist entscheidend, um Anwendungen und sensible Daten zu schützen. Sicherheitsteams wissen das und müssen frühzeitig Sicherheitsvorkehrungen treffen, fügte Marks hinzu.

3. Der Trend zu Initial Access Broker

Das Cyber-Threat-Intelligence-Team von Deloitte gab an, einen Anstieg der Erstzugriffsvermittler (Initial Access Brokers, IABs) beobachtet zu haben – ein Trend, der sich nach Einschätzung des Teams auch 2025 fortsetzen wird.

Initial Access Broker sind Bedrohungsakteure oder Bedrohungsgruppen, die böswilligen Drittkunden Zugang zu den Netzwerken von Opferorganisationen verkaufen. Initial Access Broker sind darauf spezialisiert, in Netzwerke einzudringen, führen die eigentlichen Angriffe – Ransomware, Datenextraktion oder andere Angriffe – jedoch nicht selbst durch. Der Kauf von Zugang zu einer Organisation senkt die Eintrittsbarriere für Bedrohungsakteure, da sie so Angriffe durchführen können, ohne unbedingt über technisches Wissen verfügen zu müssen (siehe auch Ransomware as a Service: Die Rolle der Initial Access Broker).

Allein im Oktober 2024 gab es fast 400 Fälle, in denen IABs den illegalen Zugriff auf Unternehmen in Untergrundforen auflisteten, sagte Clare Mohr, Leiterin der US-Cyber-Intelligence bei Deloitte. In Zukunft ist mit weiteren Angriffskampagnen zu rechnen, die IAB-Angebote nutzen.

4. Die Nutzung von Security-Dienstleistern nimmt zu

Unternehmen werden im Jahr 2025 stärker in MSP (Managed Service Provider) und Managed Security Service Providers (MSSPs) investieren, um die Widerstandsfähigkeit ihrer Sicherheit zu verbessern, so Maxine Holt, Research Director of Cybersecurity bei Informa TechTargets Omdia.

„Organisationen verfügen nicht über die internen Ressourcen, die Fähigkeiten [oder] das Fachwissen“, sagte Holt. Sie erwartet, dass MSPs und MSSPs insbesondere bei der Verwaltung nichtmenschlicher Identitäten helfen, zu denen unter anderem Server, mobile Geräte, Microservices und IoT-Geräte gehören.

Die Zunahme nichtmenschlicher Identitäten erweitert die Identitätslandschaft – Omdia hat errechnet, dass es derzeit 50-mal mehr nichtmenschliche als menschliche Identitäten gibt. „Für die meisten Organisationen ist es einfach nicht realistisch, alles intern zu erledigen“, so Holt.

5. Zeit für technische Optimierung

Sicherheitsteams sehen sich mit einer zu großen Anzahl an Tools konfrontiert – laut Palo Alto Networks nutzen die meisten im Durchschnitt mehr als 30, was eher hinderlich als hilfreich sein kann.

Max Shier, CISO beim Managed-Services-Unternehmen Optiv, sagte, er erwarte, dass CISOs im Jahr 2025 eine Straffung der Sicherheitstechnologie durchführen werden – ein Prozess, bei dem die Sicherheitsstruktur einer Organisation bewertet wird, um den Wert zu maximieren und Redundanzen und Ineffizienzen zu beseitigen. Eine Verschlankung der Technologie kann Organisationen dabei helfen, die Vielzahl an Tools in den Griff zu bekommen und Kosten zu senken.

Zu Beginn empfahl Shier den Unternehmen, ihre Anwendungsfälle zu bestimmen und die Produkt-Roadmaps im Rahmen des Ausschreibungsverfahrens zu prüfen, sei es als neue Tools oder bei der Unterzeichnung von Lizenzverlängerungsverträgen.

Zu den Fragen, die Organisationen beantworten müssen, gehören die folgenden:

• Tragen diese Tools oder Plattformen in einer für die Organisation relevanten Weise zur Datensicherheit bei?
• Sind Funktionen, die die Organisation in naher Zukunft benötigt, auf der Roadmap oder noch weit entfernt?
• Wie ausgereift ist der aktuelle Sicherheits-Stack und werden diese Tools ihn stärken?

Man sollte nicht mit einer schnellen Umstellung rechnen, fügte Shier hinzu. Je nach Lizenzvereinbarungen könnte es drei bis fünf Jahre dauern, bis sich die Anzahl der Tools ändert.

6. Angreifer lassen sich mehr Zeit, bevor sie zuschlagen

Angreifer sind nicht immer auf einen schnellen Erfolg aus. Einige führen langwierige Angriffe durch, wie die 2024 entdeckten „Volt Typhoon“-Angriffe auf US-Ziele zeigen. Die chinesische nationalstaatliche Bedrohungsgruppe hatte mindestens fünf Jahre lang anhaltenden Zugang zu kritischen Infrastrukturzielen, ohne Maßnahmen zu ergreifen.

Laut Phil Lewis, Senior Vice President für Marktstrategie und -entwicklung beim Netzwerksicherheitsanbieter Titania, ist im Jahr 2025 und darüber hinaus mit einer Zunahme dieser fortschrittlichen, hartnäckigen Bedrohungen zu rechnen. Angreifer hacken Ziele und bleiben über längere Zeiträume inaktiv und unentdeckt, bis der richtige Zeitpunkt für einen Angriff gekommen ist.

Diese ausgeklügelten Angriffe sind schwer zu erkennen und abzuwehren. Lewis sagte, dass sich Organisationen auf die Widerstandsfähigkeit gegenüber Cyberangriffen konzentrieren sollten, anstatt auf Prävention, da die Geschichte gezeigt hat, dass Angreifer nicht immer aufgehalten werden können. Er empfahl Organisationen außerdem, Mikro- und Makrosegmentierung zu implementieren, um laterale Bewegungen und Datenexfiltration für Angreifer zu erschweren.

7. Zunahme von Angriffen auf Open-Source-Software

Die Zahl der Angriffe auf Open-Source-Software ist rapide gestiegen. Der Anbieter für Lieferkettenmanagement Sonatype hat seit November 2023 mehr als eine halbe Million neuer schädlicher Pakete aufgespürt.

Die Open Source Security Foundation (OpenSSF), eine Gemeinschaft von Software- und Sicherheitstechnikern, prognostiziert, dass Angriffe auf Open-Source-Software im Jahr 2025 weiter zunehmen werden.

Ein Teil der Herausforderung besteht darin, dass Entwickler nicht immer in Sicherheit geschult sind, sagte Christopher Robinson, leitender Sicherheitsarchitekt bei OpenSSF. Und viele Organisationen prüfen ihre Anwendungen nicht ordnungsgemäß, fügte er hinzu. Vielmehr übernehmen sie einfach unkritisch Komponenten, die sie und ihre Kunden anfällig für Schwachstellen machen könnten.

Um Probleme zu entschärfen, empfahl Robinson, die Softwarestücklisten (SBOM) der Anbieter anzufordern, um die Komponenten ihrer Software zu verstehen, und Fuzzing, Quellcodeanalysen und Schwachstellenscans durchzuführen, um die Sicherheit der Software zu bewerten. Unternehmen und Anbieter sollten außerdem potenzielle Sicherheitsprobleme melden und weitergeben, um andere und die Open-Source-Community auf dem Laufenden zu halten, fügte er hinzu.

Da die Zahl der Angriffe auf die Open-Source-Lieferkette zunimmt, ist mit entsprechenden Vorschriften zu rechnen. Robinson sagte, dass OpenSSF bereits mit der Europäischen Kommission an einer Open-Source-Verordnung arbeitet und gehört hat, dass die japanische und die indische Regierung ähnliche Gesetze in Betracht ziehen.

8. Mangelnde Transparenz der Cloud-Nutzung ist ein Risiko

Cloud-Dienste sind in heutigen Unternehmen gang und gäbe. „Ich wage zu behaupten, dass viele Kunden in die Cloud migriert sind, nur um von Capex zu Opex zu wechseln und sich ihre Infrastruktur besser finanziell leisten zu können“, so Jim Broome, CTO und President bei MSP DirectDefense.

Die Migration in die Cloud hat für Unternehmen zu Transparenzproblemen geführt, die ihnen im Jahr 2025 schaden könnten, insbesondere in Multi-Cloud-Umgebungen. „Leider haben Unternehmen in 99 Prozent der Fälle Daten nicht ordnungsgemäß von vor Ort in die Cloud verschoben – insbesondere während der Pandemie“, so Broome. Als die COVID-19-Pandemie ausbrach, durften Mitarbeiter ohne viel Transparenz und Kontrolle durch ihre Unternehmen auf sensible Daten zugreifen und diese nutzen, und das Problem wurde nie beigelegt.

Organisationen sollten das Management der Cloud-Sicherheitslage (CSPM, Cloud Security Posture Management) in ihr Budget einplanen, um sensible Daten in mehreren Clouds sicher zu halten, so Broome. Die Beteiligten sollten auch prüfen, wie sicher die Daten in den Clouds sind, und die Einführung von Transparenz- und Reaktionsfunktionen in Betracht ziehen, entweder über vorhandene Tools oder Plattformen oder über neue, fügte er hinzu.

9. Zunahme der vCISOs und CSO-Berater

2025 könnte das Jahr sein, in dem leitende IT-Sicherheitsbeauftragte (CISO) virtuelle CISO- (vCISO) oder CSO-Beraterrollen Vollzeitstellen im eigenen Unternehmen vorziehen.

„Wir haben gehört, dass der CISO der „Chief Scapegoat Officer“ ist, richtig?“, sagte Jeffrey Wheatman, Senior Vice President und Cyber-Risk-Stratege beim Risikomanagement-Anbieter Black Kite. So wurde beispielsweise der CISO von SolarWinds, Tim Brown, in der jüngsten Klage der US-Börsenaufsichtsbehörde gegen den Anbieter genannt.

„Sie haben das Gefühl, dass sie nicht die nötige Unterstützung erhalten oder dass sie nach einem Verstoß den schwarzen Peter zugeschoben bekommen. Plötzlich wollen sie nicht mehr Vollzeit arbeiten“, fügte Wheatman hinzu.

Wheatman sagte, dass viele seiner Freunde, die CISO und ehemalige CISO sind, sich in letzter Zeit nach vCISO- und CSO-Beraterstellen umsehen.

Der virtuelle CISO ist eine beliebte Option für Organisationen, die nicht über die Ressourcen verfügen, um einen Vollzeit-CISO einzustellen. Einige Organisationen benötigen möglicherweise auch nur Unterstützung auf Abruf, beispielsweise die Bereitstellung einer Jahresstrategie zu Beginn des Jahres und eine vierteljährliche Rückkehr, um bei Bedarf zu helfen – etwas, das ein CSO-Berater, der mit Wheatman befreundet ist, derzeit tut.

10. KI-Agenten werden zur Zielscheibe von Kompromittierungen

KI-Agenten sind KI-fähige Software, die autonome Entscheidungen treffen und Aktionen ausführen. Als fortschrittliche Chatbots können diese Agenten Kunden dabei helfen, Antworten auf Fragen zu erhalten, die sie zuvor an Kundendienst- oder Helpdesk-Mitarbeiter gestellt hätten, oder sie können Arbeitsabläufe verwalten und Recherchen durchführen, um Hypothesen und Analysen zu erstellen.

Da immer mehr Organisationen KI-Agenten einsetzen, ist damit zu rechnen, dass auch Bedrohungsakteure diese ins Visier nehmen, so Shimon Modi, Vizepräsident für Produktmanagement beim Anbieter für Echtzeit-Risikoerkennung Dataminr.

Tatsächlich richten einige Angreifer bereits KI-Agenten gegen die Unternehmen, die sie einsetzen, und zwar häufig in Form von Prompt-Injection-Angriffen. So wurde beispielsweise ein KI-Agent dazu gebracht, einen absurd niedrigen Preis für einen Chevy-Truck zu nennen, und ein anderer wurde dazu verleitet, jemandem 47.000 US-Dollar in Kryptowährung zu überweisen. Im Jahr 2025 könnten Bedrohungsakteure KI-Agenten dazu bringen, sensible Daten preiszugeben oder das Passwort eines Benutzers zurückzusetzen.

Um KI-Agenten vor solchen Angriffen zu schützen, sollten Organisationen laut Modi konventionelle Sicherheits- und Governance-Prinzipien anwenden und bestehende Leitfäden anpassen, um KI-Sicherheit zu integrieren. Beispielsweise können Organisationen Schwachstellenbewertungen und -tests auf KI-Agenten anwenden und mithilfe der Datenklassifizierung steuern, auf welche Daten KI-Agenten zugreifen können und welche Anfragen sie somit ausführen können.