beebright - stock.adobe.com
Security-Herausforderungen für das Jahr 2023
Risiken in der Lieferkette, Fachkräftemangel, Verantwortlichkeit von CISOs, überlastete SOC-Teams – auf Security-Verantwortliche kommen 2023 vielfältige Herausforderungen zu.
Man kann nicht behaupten, dass das Thema Security Unternehmen wie CISOs schon bislang nicht ausreichend beschäftigt hat. Auch im Jahr 2023 müssen sich Unternehmen Herausforderungen stellen die keineswegs nur technischer Natur sind oder sich aus Bedrohungen ergeben. Nachfolgend sieben Security-Prognosen für das Jahr 2023.
Prognose Nr. 1: Die CISOs werden stärker in die Verantwortung genommen werden
Im Jahr 2022 wurde der frühere CISO von Uber verurteilt, weil er eine Sicherheitsverletzung aus dem Jahr 2016 vertuscht hatte. Der Fall rückte die Frage nach der Rolle und Verantwortung des CISOs ins Rampenlicht und wird im Jahr 2023 zu Veränderungen für die Unternehmen im Allgemeinen und die CISOs im Besonderen führen.
Laut Gartner werden bis 2026 den Arbeitsverträgen von mindestens 50 Prozent aller C-Level-Führungskräfte Leistungsanforderungen hinzugefügt werden, die die Cybersecurity-Risiken betreffen. Damit wird die Cybersicherheit zu einem Thema, das jeder im Unternehmen im Blick hat. Doch wie effektiv ein CISO arbeiten kann, hängt von den Befugnissen ab, die ihm übertragen werden. Und selbst bei größten Anstrengungen kann es immer noch passieren, dass Hacker über einen simplen Phishing-Link ins Netzwerk eindringen, den ein unaufmerksamer Mitarbeiter angeklickt hat.
Wenn die CISOs stärker zur Rechenschaft gezogen werden sollen, müssen sie zunächst Kontrolle über ihre Finanzen und ihr Personal erhalten. Viele haben zwar einen Sitz im Vorstand, aber kein Budget, über das sie frei verfügen können. Wenn CISOs jedoch nicht eigenständig Maßnahmen ergreifen und in Lösungen investieren können, kann man sie auch nicht zur Verantwortung ziehen.
Eine große Veränderung im Jahr 2023 wird sein, dass die CISOs messen und berichten müssen, was sie im Hinblick auf das Management der Geschäftsrisiken und den Schutz der IT-Ressourcen leisten. Für Chief Revenue Officer und Chief Marketing Officer gibt es bereits KPIs dieser Art; nun wird das auch für die CISOs gelten.
Prognose Nr. 2: Maschinelles Lernen wird nötig sein, um SOC-Burnout und Alarmmüdigkeit vorzubeugen
Wir wissen, dass die meisten Angreifer automatisierte Methoden anwenden, und zwar schon lange. Die Unternehmen dagegen zögern, die gleichen Taktiken einzusetzen. Der Versuch, automatisierte Angriffe mit manuellen Formen der Verteidigung abzuwehren, ist jedoch so, als würde man mit Pfeil und Bogen auf einen Panzer schießen. Automatisierung und maschinelles Lernen können helfen – die Technologien können die Erkennungs- und Reaktionszeiten verkürzen, aber auch dem Übermaß an Alarmen ein Ende bereiten.
Wie der Devo SOC Performance Report 2022 zeigt, würden 71 Prozent der SOC-Fachleute wahrscheinlich ihren Job aufgeben, wenn sie ausgebrannt sind, die Arbeitsbelastung steigt und aufgrund ständiger haarscharfer Konfrontationen mit Angreifern die Moral sinkt. Alert Cleaner in EDR-Lösungen helfen zwar, die Alarmflut etwas zu reduzieren, doch maschinelles Lernen kann sie noch weiter verringern. So können sich die Sicherheitsteams auf anspruchsvollere, befriedigendere Aufgaben konzentrieren.
2023 werden Analysen eine größere Rolle für das Angriffs- und Risikomanagement in der IT-Sicherheit spielen. Viele Teams werden gern die verfügbaren Tools und die Signale nutzen, die diese liefern, doch die besten Teams werden sich die Zeit nehmen, um zu verstehen, auf welche Weise sie die Resultate erhalten. Wenn ein Team mehr über die Theorie und die Funktionsweise von Sicherheitsanalysen weiß, wird es mehr leisten. Es wird Tools einsetzen, um schneller voranzukommen, sich aber nicht ausschließlich auf sie verlassen, um Erkenntnisse zu gewinnen.
Wenn die SOC-Teams die irrelevanten Bedrohungen mithilfe von Technologien aussortieren können, dann können sie sich wieder den „reizvolleren“ Aufgaben zuwenden – den gravierenden Bedrohungen, für deren Bekämpfung sie ausgebildet wurden. Das tun zu können, worum es ihnen wirklich geht, dürfte ihre Arbeitszufriedenheit erhöhen.
Prognose Nr. 3: Unterstützung für neurodiverse Mitarbeiter kann wesentlich zur Verringerung des Fachkräftemangels betragen
Im Hinblick auf die Diversität hat sich in der Branche zwar einiges getan, doch meist geht es dabei nur um Geschlecht und ethnische Zugehörigkeit. Diese Themen sind sehr wichtig, doch ein Aspekt, über den zu wenig gesprochen wird, ist die Neurodiversität. Unternehmen müssen diese stärker berücksichtigen, denn viele neurodiverse Menschen neigen dazu, eher technisch orientierte Aufgaben zu übernehmen, bei denen sie für sich allein arbeiten können. Beförderungen lehnen sie oft ab, weil sie sich mit einer Führungsposition und den damit verbundenen Verpflichtungen nicht wohl fühlen, zum Beispiel damit, vor Publikum sprechen oder Stakeholder-Management beitreiben zu müssen.
Noch vor fünf Jahren war ein SOC-Team hinter verschlossenen Türen tätig, abgeschottet vom Rest der Welt. Doch die Zeiten haben sich geändert, und heute sind die Soft Skills bei diesen Jobs fast genauso wichtig wie die technische Seite, manchmal sogar noch wichtiger. Ohne angemessene Unterstützung werden neurodiverse Menschen in technischen Funktionen niemals bereit sein, höhere Positionen wie die eines CISOs zu übernehmen.
Um das zu ändern, müssen sich Unternehmen mit dem Thema Neurodiversität befassen und ihre Führungskräfte schulen, damit sie die Anzeichen erkennen und jedes Teammitglied angemessen fördern können. Andernfalls besteht die Gefahr, dass wir CISOs einstellen müssen, die zwar über die erforderlichen Soft Skills verfügen, nicht aber über die nötige technische Praxiserfahrung.
Prognose Nr. 4: Unternehmen müssen sich aktiv bemühen, ihr Supply-Chain-Risiko zu reduzieren
Die Sicherheit der Lieferkette wird auch 2023 und weit darüber hinaus ein erhebliches Risiko für Unternehmen darstellen. Tools und Softwarekomponenten von Drittanbietern können in jedem Unternehmen zur Achillesferse werden, und selbst Unternehmen mit milliardenschweren Sicherheitsbudgets können durch eine Sicherheitsverletzung bei einem ihrer Zulieferer in die Knie gezwungen werden.
Die Unternehmen müssen begreifen, dass die Sicherheit ihrer Lieferkette genauso wichtig ist wie ihre eigene und dass sie ihre Zulieferer unterstützen müssen, damit diese ein höheres Sicherheitslevel erreichen. Bislang verfolgen aber nur wenige Unternehmen proaktiv diesen beratenden und kooperativen Ansatz – die meisten schalten sich erst ein, wenn das Kind schon in den Brunnen gefallen ist.
Dabei verfügen große Unternehmen über einen enormen Wissensschatz, den sie mit ihren wichtigsten Zulieferern teilen könnten, was langfristig allen zugutekommt. Die einzige Möglichkeit, das schwächste Glied in der Kette zu stärken, besteht darin, als Partner zu agieren und das Know-how in der Versorgungskette zu teilen.
Zu diesem Zweck werden mehr Unternehmen Software Bills of Materials (SBOM) einführen, um die verschiedenen Software-Komponenten zu verstehen und die Schwachstellen zu verfolgen. Dabei sollte es jedoch nicht nur um interne Prüfungen gehen – die Unternehmen können sich auch um ihre Zulieferer kümmern und sicherstellen, dass diese potenzielle Probleme beheben. Für Softwareanbieter wird dies in Zukunft Teil der Geschäftskosten sein.
„Eine große Veränderung im Jahr 2023 wird sein, dass die CISOs messen und berichten müssen, was sie im Hinblick auf das Management der Geschäftsrisiken und den Schutz der IT-Ressourcen leisten.“
Paul Baird, Qualys
Prognose Nr. 5: Gesetze gegen Lösegeldzahlungen sind ein Rückschritt
Auf Lösegeldforderungen sollte man niemals eingehen. Die vorliegenden Daten deuten darauf hin, dass die Zahlung eines Lösegelds nicht einmal sicherstellt, dass die betroffenen Unternehmen wieder Zugriff auf ihre Systeme bekommen. Dennoch gibt es viele Unternehmen, die zahlen.
Laut Gartner werden bis 2025 30 Prozent der Staaten Gesetze gegen Ransomware-Zahlungen erlassen. Diese Maßnahmen sind gut gemeint, werden das Problem aber nicht lösen. Der Schwerpunkt sollte nicht auf der Bestrafung von Unternehmen liegen, die sich zur Zahlung entschlossen haben. Stattdessen sollten die richtigen Aktionen und Maßnahmen verpflichtend werden, damit Unternehmen erst gar nicht an den Punkt gelangen, an dem sie das Gefühl haben, ihre einzige Lösung sei die Zahlung.
Gesetze gegen Lösegeldzahlungen werden lediglich bewirken, dass Sicherheitsverletzungen öfter vertuscht werden, und eine Kultur der Geheimhaltung fördern, an deren Überwindung wir schon so viel gearbeitet haben. Stattdessen sollten sich die Wirtschaft und die Vorschriften dahingehend verändern, dass eine Kultur der Offenheit, Transparenz und Unterstützung möglich wird.
Prognose Nr. 6: Die Einführung von 5G wird die Angreifer dazu bewegen, mobile Endpunkte ins Visier zu nehmen
Mobile Geräte sind für unseren privaten und beruflichen Alltag unverzichtbar. Daher kann es überraschen, dass wir, von staatlich geförderten Angriffen und Spyware-Kampagnen abgesehen, noch nicht allzu viele Attacken auf diese Endgeräte beobachten. Eine Erklärung dafür ist, dass die meisten Mobilgeräte auf einem von zwei großen Betriebssystemen basieren: Apple iOS oder Android von Google. Beide Unternehmen investieren massiv darin, eine sichere Umgebung zu wahren, und sie haben Kontrolle über die App-Stores, sodass sie Malware finden und verhindern können. Auch die Zahl der Telefonhersteller und Hardwarekonfigurationen ist relativ begrenzt.
Die Computerlandschaft ist dagegen viel stärker fragmentiert und umfasst ein großes Spektrum an Herstellern, Software und Hardware, die alle unterstützt werden müssen. Zwar gibt es mit Microsoft auch einen Hauptbetriebssystemanbieter, doch die Notwendigkeit, so viele ältere Anwendungen, Konfigurationen und Geräte zu unterstützen, bietet den Übeltätern mehr Möglichkeiten für Sicherheitsverletzungen und Angriffe.
Mit der zunehmenden Verbreitung von 5G im Jahr 2023 wird sich dieses Bild wahrscheinlich verändern. Da 5G eine schnellere Datenübertragung mit mobilen Geräten ermöglicht, werden diese leistungsstarken Geräte für die Nutzer und Unternehmen und damit auch für die Angreifer noch attraktiver werden. Gleichzeitig werden voraussichtlich mehr private 5G-Implementierungen ausgerollt werden. Während die Backend-Infrastruktur für 5G sicher sein wird, könnten die Endgeräte, die für den Zugang zu den Netzen genutzt werden, schwächere Glieder in der Kette sein.
Prognose Nr. 7: Mehr Code bedeutet mehr Software-Schwachstellen
Täglich werden neue Schwachstellen entdeckt, und die CISA nimmt laufend neue Sicherheitslücken in ihren Katalog auf. Laut der National Vulnerability Database (NVD) liegt die Zahl der 2022 gemeldeten neuen Schwachstellen um 15 Prozent höher als 2020 – und dabei ist das Jahr noch gar nicht zu Ende.
Angesichts der schieren Menge an Code, der tagtäglich produziert wird, ist die Zunahme der Sicherheitslücken unvermeidlich. Niemand schreibt absichtlich schlechten Code, doch hundertprozentig sicheren Code zu produzieren ist sehr schwierig.
Was die Branche daher braucht, ist mehr Offenheit im Hinblick auf die Meldung von Schwachstellen. Die Quellen und Nutzer von Programmcode sind so zahlreich, dass die derzeitigen Ad-hoc-Bug-Bounty-Programme nicht funktionieren. Stattdessen sollten die Regierungen die Einrichtung eines weltweiten Bug-Bounty-Programms unterstützen, das ein Standardverfahren und eine zentrale Stelle für alle Meldungen bietet. Die Schritte, die die Regierung Biden im Bereich Open-Source-Software unternommen hat, sind ein guter Ausgangspunkt dafür, und 2023 werden diese Bestrebungen weiter ausgebaut werden.
Zugleich müssen wir mehr tun, um die Softwareentwickler dazu anzuspornen, Best Practices für die Anwendungsentwicklung zu befolgen. Die Einbindung von Frameworks wie OWASP in die Erstellung und Prüfung von Programmcode sollte Standard sein, doch auf jeden Fall werden immer mehr Entwickler dazu übergehen.
Über den Autor:
Paul Baird ist Chief Information Security Officer bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.