- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Kaufen Sie nicht den Hype


Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Sicherheit im Handel 2019: Bequemlichkeit = Risiko

- Anzeigen -





Kunden werden was ihr ganz persönliches Einkaufserlebnis anbelangt immer anspruchsvoller. Händler tun folglich alles, um für die bevorstehende Feiertagssaison sämtliche Möglichkeiten auszureizen. Ladenlokale werden digitaler und vernetzter sein als je zuvor und Online-Shoppern wird eine Einkaufserfahrung geboten, die mit dem des stationären Handels vergleichbar ist. Das ist auf den ersten Blick erfreulich. Allerdings hat diese Entwicklung einige unerwünschte Nebenwirkungen in punkto Sicherheit. Händler setzen sich neuen Sicherheitsrisiken aus, zumal wenn wir über die Weihnachtszeit hinaus bis ins folgende Jahr 2019 weiterdenken. Technologien, die Komfort versprechen und bequem sind, setzen Verbraucher und Händler gleichermaßen erhöhten Risiken aus. Dessen sollte sich die Branche bewusst sein.

Die Hälfte der im Rahmen einer Retail-Studie befragten Unternehmen meldete im vergangenen Jahr eine Datenschutzverletzung. Es liegt auf der Hand, dass das Weihnachtsgeschäft für Cyberkriminelle die ideale Zeit ist, sowohl Händler als auch Verbraucher ins Visier zu nehmen. Händler sollten also sehr wachsam sein und nachverfolgen, wer sich warum mit ihrem Netzwerk verbindet – und aus welchen Motiven. Der Schutz von Kundendaten, wie beispielsweise Kreditkarten- und Zahlungsdaten, steht an oberster Stelle.

Informieren Sie sich 2019 so umfassend wie möglich über Händler, die zusätzliche Sicherheitsmaßnahmen einführen. Insbesondere was den Schutz von wichtigen Informationen von IoT-Geräten anbelangt. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Nur das gewährleistet einen wirklichen Schutz von Verbraucher- und Unternehmensdaten.

Dazu kommt, dass die nächste Händlergeneration langsam auch in bargeldlosen Umgebungen Fuß fasst. Schlange stehen entfällt und Zahlungen werden automatisch abgewickelt. Ein bargeldloser Marktplatz scheint die ideale Option für Kunden zu sein, die möglichst komfortabel einkaufen wollen. Allerdings gibt es eine Reihe von berechtigten Sicherheitsbedenken. Mehr Bequemlichkeit an der einen Stelle bringt fast immer ein höheres Sicherheitsrisiko an anderer Stelle mit sich.

Kunden, die sich beispielsweise mit einem zum Ladengeschäft komplementären WLAN verbinden, erhöhen die Wahrscheinlichkeit, dass Hacker im Netzwerk des Händlers Schaden anrichten.

Zu den Daten, die Händler üblicherweise speichern, zählen Trackingdaten zum Einkaufsverhalten ihrer Kunden. Damit sind unendlich viele personenbezogene Daten einem Risiko ausgesetzt. Händler müssen sich fragen, ob ein außergewöhnliches Shopping-Erlebnis wirklich eine Datenschutzverletzung wert ist. Oder, was noch wichtiger ist, ob zu diesem Shopping-Erlebnis nicht automatisch ein Höchstmaß an Datenschutz und Datensicherheit gehören sollte. (Von Vikram Ramesh, Head of Solutions, Thales eSecurity)


Quanten-Computing schreibt die Regeln neu: Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Der Fortschritt bei der Entwicklung von Quantenrechnern hat sich im Laufe der Jahre verändert. Einige Experten glauben schon nicht mehr an eine Umsetzung im großen Stil. Trotzdem sollte man die Möglichkeit eines plötzlichen Durchbruchs nicht völlig außer Acht lassen. Quantenrechner im großen Maßstab einzusetzen verspricht in einigen Bereichen wesentliche Fortschritte. Bestimmte schwierige Probleme lassen sich so viel einfacher lösen. Die NASA prüft beispielsweise derzeit, Quantenrechner bei der Analyse der riesigen Datenmengen, die sie über das Universum sammelt, einzusetzen sowie zur Erforschung besserer und sichererer Methoden der Raumfahrt *.

Wenn man sich die Datenspeicherstruktur des Internets ansieht, erinnert sie ein wenig an alte Städte wie Rom oder Istanbul, bei denen moderne Strukturen auf die alten aufgesetzt werden. Ganz ähnlich verhält es sich mit aktuellen Internetspeicherstrukturen, die auf darunter liegende Schichten von veraltetem, nicht gepflegtem Code eingerichtet werden. Die Sucht der IT-Branche nach Neuheiten kann so zum Bumerang für den Datenschutz werden. Zum Beispiel weil diese vernachlässigten Codebereiche leicht zugänglich sind und von böswillig agierenden Experten ausgenutzt werden könnten. Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu konzentrieren. (Duncan Jones, Head of Research bei Thales eSecurity)


2019 besteht die Chance noch rechtzeitig zu handeln und jetzt in Post-Quantum zu investieren.
Das aktuelle Quantum-Klima - Erst jetzt, nach Jahrzehnten allmählichen Fortschritts, stehen Forscher kurz vor dem Bau von Quantenrechnern, die leistungsfähig genug sind, um Dinge zu tun, zu denen herkömmliche Computer nicht in der Lage sind. Google hat bei diesen Bemühungen eine führende Rolle, aber auch Intel und Microsoft haben erhebliche Anstrengungen in diesem Bereich unternommen.

Der Schlüssel zum Entsperren der Kryptographie - Computernetzwerke sind nur deshalb sicher weil aktuelle Computer bestimmte mathematische Probleme nicht lösen können. Sobald Quantencomputer einsatzbereit sind, ändert sich das grundlegend und einige der derzeit bestehenden Schutzmaßnahmen sind wertlos.
Aktuelle Maßnahmen – Einige der gegenwärtigen Initiativen versuchen verschiedene quantenresistente Kryptografievorschläge frühzeitig an den Start zu bringen, sodass die Internet-Kryptographie nicht von Quantum-Fähigkeiten zunichte gemacht werden kann.

Maßnahmen ergreifen - Organisationen müssen auf kryptografisch agile Systeme hinarbeiten, sodass sie sobald es nötig wird diese Systeme umstellen. Diese müssen in der Lage sein, die derzeitig verwendeten Verschlüsselungsalgorithmen und Typen von Algorithmen im Falle einer auftretenden Schwachstelle auszutauschen. (Duncan Jones, Head of Research bei Thales eSecurity)


Blockchain: Eine Lösung, die immer noch nach einem Problem sucht?
Zwar sollen die Ausgaben für Blockchain bis 2022 weltweit fast 12 Milliarden US-Dollar betragen*, aber es ist fraglich, ob die Technologie tatsächlich schon so weit ist.

2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden. Das ist sicherlich noch nicht der Gipfel was die Zahl der Implementierungen anbelangt. Von diesem Zeitpunkt sind wir nach wie vor Jahre entfernt. Der Technologie fehlen ausgereifte Funktionen, wie Benutzer- und Schlüsselverwaltung, die nötig sind, um den Trend der Enterprise-Blockchain in Schwung zu bringen.

Wenn es um Blockchain-Budgets geht, haben Führungskräfte entweder ein Problem, für dessen Lösung Blockchain notwendig ist, oder es gibt ein Blockchain-Budget, das quasi nach einem Problem sucht. Und genau das ist meistens der Fall. (Duncan Jones, Head of Research bei Thales eSecurity)

Kaufen Sie nicht den Hype - Blockchains sind eine brillante Anwendung der Kryptografie für das Konzept eines verteilten, unveränderlichen Protokolls. Trotzdem sind Blockchains für die weitaus meisten Probleme über deren Lösung Unternehmen nachdenken völlig ungeeignet. Gerade was die Nachteile der Technologie anbelangt.
Blockchain ist kein riesiger, verteilter Computer - Es gibt keine Parallelschaltung, keine Synergien und keine gegenseitige Unterstützung. Es gibt nur eine sofortige millionenfache Vervielfältigung. Das ist das Gegenteil von effizient - und das ist entscheidend.

2019 wird der Hype sich zerstreuen - Unternehmen werden Komplexität sowie die Art und Weise der Zusammenarbeit besser einschätzen können, die für die Integration von Enterprise-Blockchain-Anwendungen in den Geschäftsalltag nötig sind. (Duncan Jones, Head of Research bei Thales eSecurity)


Wenn wir die Algorithmen verstehen wollen, die über unser Leben entscheiden, müssen wir mehr Forschungsarbeit leisten
Jeden Tag lesen wir etwas zum Potenzial von intelligenter werdenden Algorithmen. Wir trainieren sie, alle Arten von Entscheidungen zu treffen - von der Frage, was ein Auto an einer Kreuzung tun soll, bis zu der Frage, ob ein inhaftierter Krimineller eine Anhörung für seine vorzeitige Entlassung verdient.

Künstliche Intelligenz (KI) und maschinelles Lernen haben in letzter Zeit große technische Fortschritte gemacht. Laut einer Salesforce-Studie werden bis 2020 57 Prozent der Geschäftskunden davon abhängig sein, dass Unternehmen wissen, was Kunden brauchen, bevor sie danach fragen. Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden. Allerdings sollte man nicht vergessen, dass jeder technologische Fortschritt auch eine Kehrseite hat. Und, dass es ganz sicher jemanden gibt, der diesen Fortschritt zu unlauteren Zwecken missbrauchen will und wird.

Auf der Jagd nach Autonomie und fortschrittlicheren Entscheidungen durch Maschinen ist Due Diligence von entscheidender Bedeutung. Sie erst gewährleistet, dass wir ausreichend in die Forschung investieren um Algorithmen und ihre Entscheidungsfindung besser zu verstehen.

Ohne dieses grundlegende Verständnis können weder die Industrie noch die Gesellschaft selbst absehen, wie ein Algorithmus auch untergraben werden kann. Soviel ist jedenfalls sicher: Wir werden den Tag erleben, an dem ein Algorithmus kompromittiert wird. (Duncan Jones, Head of Research bei Thales eSecurity)


Wie man Algorithmen anwenden kann – Techniken und Methoden maschinellen Lernens sollen den Sicherheitsanalytiker nicht ersetzen, sie sollen mit ihm zusammenarbeiten und ihn entlasten.
Algorithmen auf beiden Seiten - Wir haben es bereits erlebt: Algorithmen sind in der Lage manuelle Vorgehensweisen zu ersetzen, wenn es gilt Systeme zu kompromittieren. Das werden wir 2019 noch häufiger sehen. Algorithmen lassen sich schließlich von beiden Seiten nutzen. Und maschinelles Lernen wird zweifelsohne dazu verwendet werden, Angriffe zu lancieren sowie dazu sie vorauszusehen und abzuwehren.

Der Faktor Mensch - Obwohl künstliche Intelligenz Vorteile für viele Aspekte des privaten und beruflichen Lebens bietet, gab und gibt es Bedenken hinsichtlich ihres zukünftigen Einsatzes in der Gesellschaft. Viele traditionelle berufliche Positionen wie Bankangestellte und Supermarktmitarbeiter sind bereits vielfach durch Maschinen ersetzt worden. Was die Arbeitslosenquoten anbelangt löst das begründete Besorgnis aus.
(Duncan Jones, Head of Research bei Thales eSecurity)


Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem
Im kommenden Jahr werden die Themen "mangelnde Qualifikation" und "Fachkräftemangel" in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen. Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei
Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

Sicherheit auf die Agenda
Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: "Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?" Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des kommenden Jahres mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2 Prozent des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4 Prozent - die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt. (Bridget Kenyon, Global CISO, Thales eSecurity)
(Thales eSecurity: ra)

eingetragen: 08.12.18
Newsletterlauf: 10.01.19

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Phishing weitaus risikoreicher als WiFi

    Ist die Nutzung von öffentlichem WIFI eine gute Idee? "Kommt drauf an", sagt Chester Wisniewski, Security-Experte bei Sophos. Verschlüsselung hat das WWW zwar sicherer gemacht, aber nicht gänzlich risikolos. Seine Einschätzung zur Sicherheitslage und To do's für die Nutzung von Hot Spots im untenstehenden Beitrag. Lange galt die Warnung, keine öffentlichen WiFi-Netzwerke zu nutzen; das Risiko gehackt zu werden war zu groß. Parallel dazu wurde WiFi immer flächendeckender und beliebter, in Regierungsgebäuden, Coffee-Shops, öffentlichen Verkehrsmitteln. Nahezu überall findet man Hot-Spots auf Kosten des Hauses. Gefahrlos nutzbar? "Die Mehrheit sensibler Daten wird nun via verschlüsselte Kanäle versendet", räumt Chester Wisniewski von Sophos, ein. "Die Risiken öffentlicher WiFis sind verblasst, seitdem Erwachsene in ihr Online-Leben starteten."

  • Spionage- & Sabotageangriffe gegen CNI

    Ein aktueller Bericht von F-Secure zeigt, dass Cyber-Kriminelle technisch sehr fortschrittlich und mit viel Geduld arbeiten. Das zeigen Gruppen wie etwa APT33 oder die BlackEnergy Group mit ihren Angriffen auf Öl-Firmen oder Stromversorger. Gleichzeitig nutzen Unternehmen veraltete Systeme und Technologien um Geld zu sparen. Eine schlechte Sicherheitslage, falsche Prioritätensetzung und Wahrnehmung sind auch Geschenke für Angreifer. Schädliche Akteure zielen exponentiell auf kritische Infrastrukturen (CNI) und Energieverteilungseinrichtungen ab. Vernetzte Systeme in der Energiebranche erhöhen die Anfälligkeit für Cyberangriffe, die auch oft für einige Zeit unentdeckt bleiben.

  • Adware im Google Play Store

    Avast hat mit der Mobile Threat Intelligence-Plattform "apklab.io" 50 Adware-Apps im Google Play Store identifiziert, die jeweils zwischen 5.000 und 5 Millionen Installationen zählen. Die von Avast als TsSdk bezeichneten Apps blenden dauerhaft Anzeigen im Vollbildmodus ein und einige versuchen dadurch den Benutzer zur Installation weiterer Apps zu verleiten. Hinter den betroffenen Anwendungen stehen Android-Bibliotheken von Drittanbietern, welche die Hintergrunddienst-Einschränkungen, die in neueren Android-Versionen vorhanden sind, umgehen. Das ist zwar im Play Store nicht explizit verboten, jedoch erkennt Avast das Verhalten als Android:Agent-SEB [PUP], da die Apps den Akku des Benutzers belasten und das Gerät verlangsamen. Die Anwendungen zeigen dem Benutzer kontinuierlich immer mehr Einblendungen an, was wiederum die Regeln des Play Store verletzt. Avast-Sicherheitsforscher haben Google kontaktiert, um die Apps entfernen zu lassen.

  • Sicherheitsmängel in Industrieanlagen gravierend

    Eine verschlüsselte Datenübertragung per SSL/TLS ist ein richtiger Schritt zur Absicherung der IT-Infrastruktur eines Unternehmens. Die Einbindung von SSL-Zertifikaten auf Webseiten dient dazu, dass Daten, die zwischen zwei Computern übertragen werden, verschlüsselt werden und somit vor dem Zugriff Unbefugter geschützt sind. "Das allein nützt aber nichts, wenn Zugangsdaten zu internetbasierten Anwendungsoberflächen im Anmeldefenster bereits voreingetragen sind und so Unbefugte leicht Zugang zu Daten und Prozessen erlangen. Benutzername und Passwort dürfen ausschließlich berechtigen Personen bekannt sein", mahnt Christian Heutger, Geschäftsführer der PSW Group.

  • Datenschutz vorzugsweise in verteilten Umgebungen

    Daten, Daten, Daten! Nur wohin damit, wenn es um deren Schutz geht? Die Cloud scheint bei europäischen Unternehmen kein adäquate Backup-Lösung zu sein. Sie vertrauen in der Mehrheit immer noch ganz traditionell auf Plattformanbieter wie Microsoft, um ihre Daten zu schützen. So offenbart es eine aktuelle Studie von Barracuda Networks, die die Antworten von 432 IT-Experten, Geschäftsführern und Backup-Administratoren als Befragungsgrundlage hat. Ziel war es, die Einstellung der EMEA-Organisationen zu Backup und Wiederherstellung zu untersuchen.