BYOD stellt Unternehmen vor großer Herausforderung
Die sechs größten Sicherheitsrisiken 2014 laut dem Information Security Forum
Unternehmen sollten die einzelnen Themen nicht unabhängig voneinander, sondern im Zusammenhang behandeln
(08.01.14) - Das Information Security Forum (ISF), eine der weltweit größten Organisationen im Bereich IT- und Cybersicherheit sowie Risikomanagement, stellt in seiner Prognose für 2014 die für Unternehmen im Bereich Informationssicherheit wichtigsten Themen vor. Die größten Herausforderungen bergen die Nutzung privater mobiler Geräte am Arbeitsplatz, Datenschutz in der Cloud, verschiedene Gesetze und Regulierungen, Cyberkriminalität, Angriffe auf den Unternehmensruf sowie das so genannte Internet der Dinge.
Die Prognosen des ISF für dieses Jahr basieren auf der Forschungsarbeit der Analysten der Organisation sowie den Erfahrungswerten der weltweit mehr als 300 Mitgliedsunternehmen. Unternehmen sollten die einzelnen Themen nicht unabhängig voneinander, sondern im Zusammenhang behandeln.
1. BYOD am Arbeitsplatz
Der nach wie vor zunehmende Trend hin zu Bring your own device (BYOD), und damit die Einbindung privater Smartphones oder Tablets in den Geschäftsablauf, wird Unternehmen auch 2014 vor eine der größten Herausforderungen im Bereich Informationssicherheit stellen. Zu den größten Risiken gehören dabei der nachlässige Umgang mit den Geräten durch die Anwender, die Ausnutzung von Software-Schwachstellen durch Angreifer sowie die fahrlässige Bereitstellung ungenügend getesteter und unzuverlässiger Applikationen. Damit keine Unternehmensinformationen ungeschützt auf privaten Geräten gespeichert werden bzw. verloren gehen, benötigen Unternehmen deshalb 2014 mehr denn je eine funktionierende BYOD-Strategie. Des Weiteren werden im neuen Jahr auch mehr Unternehmen Konzepte wie "Bring your own Cloud" oder "Bring your own Software" prüfen und testen. Bei allen Vorteilen dürfen dabei unter keinen Umständen Sicherheitsaspekte vernachlässigt werden.
2. Datenschutz in der Cloud
Bereits 2013 war Cloud Computing ein heißes Thema im Bereich Informationssicherheit. Das bleibt nach ISF auch 2014 so. Ein besonderes Risiko stellt die Verlagerung personenbezogener Daten in die Cloud dar, da es für diese besonders strenge Schutzvorschriften gibt. Unternehmen müssen deshalb angemessene Vorkehrungen treffen, um Zwischenfälle und damit verbundene Sanktionen oder andere wirtschaftliche Auswirkungen zu vermeiden. Das gilt insbesondere für Unternehmen, die gleichzeitig in verschiedenen Ländern mit unterschiedlichen Datenschutzvorgaben tätig sind. Sie sollten mit ihren Cloud-Providern abklären, wo die Daten gespeichert und verarbeitet werden.
3. Gesetze, Richtlinien und Regulierungen
Unabhängig von der Cloud hat der Großteil der Regierungen in den wichtigsten Märkten zuletzt Bestimmungen erlassen oder in Arbeit, die den Schutz personenbezogener Daten regeln und Unternehmen sanktionieren, die diese nicht angemessen schützen. Unternehmen sollten Compliance und Datenschutz deshalb fest in ihre Risikomanagementstrategie integrieren, um Strafen bzw. Image- oder Kundenverluste aufgrund von Datenschutzverletzungen oder -vorfällen zu vermeiden. Darüber hinaus gibt es insbesondere in der europäischen Union bzw. einzelnen Mitgliedsstaaten Bestrebungen, die Erfassung, Speicherung und Verwendung von Informationen zu regulieren. Zum Teil beinhalten die Pläne erhebliche Strafen sowie eine Meldepflicht bei schwerwiegenden Zwischenfällen. Unternehmen sollten sich frühzeitig mit den Plänen auseinandersetzen, um gewappnet zu sein, wenn diese in Kraft treten.
4. Cyberkriminalität
In Zukunft wird der Cyberspace für Kriminelle, Aktivisten oder Terroristen noch interessanter, um an Geld zu gelangen, Aufmerksamkeit zu erregen oder Unternehmen und Regierungen zu schädigen. Vollständig lassen sich Angriffe und Zwischenfälle für Unternehmen nicht verhindern. Es gilt deshalb, rechtzeitig Vorkehrungen zu treffen, um die Widerstandsfähigkeit bei schwerwiegenden, unerwarteten Angriffen und Zwischenfällen sicherzustellen. Wichtig dabei ist, dass Unternehmen wissen, welche ihrer Informationen und Daten geschäftskritisch und für den reibungslosen Geschäftsablauf am wichtigsten sind. Diese müssen besonders geschützt werden.
5. Angriffe auf das Unternehmensimage
Stärker noch als in der Vergangenheit werden Cyberkriminelle und -aktivisten 2014 mit ihren Aktionen darauf abzielen, das Image von Unternehmen zu beschädigen, um sich dadurch Vorteile zu verschaffen. Die Komplexität und der rasante Wandel der Bedrohungslandschaft bergen zudem zahlreiche Fallstricke, die für Unternehmen schnell zu Sicherheitsvorfällen und damit verbundenen Imageschäden und finanziellen Einbußen führen können.
6. Das Internet der Dinge
Unternehmen sind mittlerweile fast vollständig von Internet und Technologie abhängig. Zunehmend werden auch Gegenstände und Objekte an das Netz angebunden. Das bietet Unternehmen einerseits eine Vielzahl neuer Möglichkeiten zur IT-Automatisierung, Datensammlung oder zur Erstellung von Prognosen. Andererseits birgt das Internet der Dinge jedoch auch eine Vielzahl neuer Sicherheitsrisiken und Angriffsmöglichkeiten. Für dieses Jahr ist damit zu rechnen, dass Cyberkriminelle und -aktivisten ihren Fokus verstärkt auf das Internet der Dinge lenken.
"Unsere Prognose hilft Unternehmen bei der Einschätzung der eigenen Bedrohungs- und Sicherheitslage. Daneben müssen sie sich aber vor allem auf bislang noch unvorhersehbare Bedrohungen und Risiken einstellen. Angriffe und Zwischenfälle lassen sich dabei nie vollkommen vermeiden. Es geht für Unternehmen deshalb darum, möglichst widerstandsfähig zu sein, um unberechenbare Ereignisse ohne schwerwiegende Auswirkungen auf den Geschäftsbetrieb bewältigen zu können", sagt Steve Durbin, Global Vice President des ISF. "In diesem Jahr werden wir zudem eine weitere Professionalisierung im Bereich Cybercrime beobachten können. Das ISF rät Unternehmen deshalb dringend dazu, sowohl Bedrohungsszenarien als auch Änderungen bei den gesetzlichen Rahmenbedingungen bei Datenschutz und Informationssicherheit genau im Blick zu behalten und zu analysieren. Hierbei sollten sie jeweils die tatsächlichen Auswirkungen auf ihren Geschäftsbetrieb prüfen und darauf abgestimmte Vorkehrungen treffen." (ISF: ma)
Information Security Forum ISF: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.