- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Kaufen Sie nicht den Hype


Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Sicherheit im Handel 2019: Bequemlichkeit = Risiko



Kunden werden was ihr ganz persönliches Einkaufserlebnis anbelangt immer anspruchsvoller. Händler tun folglich alles, um für die bevorstehende Feiertagssaison sämtliche Möglichkeiten auszureizen. Ladenlokale werden digitaler und vernetzter sein als je zuvor und Online-Shoppern wird eine Einkaufserfahrung geboten, die mit dem des stationären Handels vergleichbar ist. Das ist auf den ersten Blick erfreulich. Allerdings hat diese Entwicklung einige unerwünschte Nebenwirkungen in punkto Sicherheit. Händler setzen sich neuen Sicherheitsrisiken aus, zumal wenn wir über die Weihnachtszeit hinaus bis ins folgende Jahr 2019 weiterdenken. Technologien, die Komfort versprechen und bequem sind, setzen Verbraucher und Händler gleichermaßen erhöhten Risiken aus. Dessen sollte sich die Branche bewusst sein.

Die Hälfte der im Rahmen einer Retail-Studie befragten Unternehmen meldete im vergangenen Jahr eine Datenschutzverletzung. Es liegt auf der Hand, dass das Weihnachtsgeschäft für Cyberkriminelle die ideale Zeit ist, sowohl Händler als auch Verbraucher ins Visier zu nehmen. Händler sollten also sehr wachsam sein und nachverfolgen, wer sich warum mit ihrem Netzwerk verbindet – und aus welchen Motiven. Der Schutz von Kundendaten, wie beispielsweise Kreditkarten- und Zahlungsdaten, steht an oberster Stelle.

Informieren Sie sich 2019 so umfassend wie möglich über Händler, die zusätzliche Sicherheitsmaßnahmen einführen. Insbesondere was den Schutz von wichtigen Informationen von IoT-Geräten anbelangt. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Nur das gewährleistet einen wirklichen Schutz von Verbraucher- und Unternehmensdaten.

Dazu kommt, dass die nächste Händlergeneration langsam auch in bargeldlosen Umgebungen Fuß fasst. Schlange stehen entfällt und Zahlungen werden automatisch abgewickelt. Ein bargeldloser Marktplatz scheint die ideale Option für Kunden zu sein, die möglichst komfortabel einkaufen wollen. Allerdings gibt es eine Reihe von berechtigten Sicherheitsbedenken. Mehr Bequemlichkeit an der einen Stelle bringt fast immer ein höheres Sicherheitsrisiko an anderer Stelle mit sich.

Kunden, die sich beispielsweise mit einem zum Ladengeschäft komplementären WLAN verbinden, erhöhen die Wahrscheinlichkeit, dass Hacker im Netzwerk des Händlers Schaden anrichten.

Zu den Daten, die Händler üblicherweise speichern, zählen Trackingdaten zum Einkaufsverhalten ihrer Kunden. Damit sind unendlich viele personenbezogene Daten einem Risiko ausgesetzt. Händler müssen sich fragen, ob ein außergewöhnliches Shopping-Erlebnis wirklich eine Datenschutzverletzung wert ist. Oder, was noch wichtiger ist, ob zu diesem Shopping-Erlebnis nicht automatisch ein Höchstmaß an Datenschutz und Datensicherheit gehören sollte. (Von Vikram Ramesh, Head of Solutions, Thales eSecurity)


Quanten-Computing schreibt die Regeln neu: Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Der Fortschritt bei der Entwicklung von Quantenrechnern hat sich im Laufe der Jahre verändert. Einige Experten glauben schon nicht mehr an eine Umsetzung im großen Stil. Trotzdem sollte man die Möglichkeit eines plötzlichen Durchbruchs nicht völlig außer Acht lassen. Quantenrechner im großen Maßstab einzusetzen verspricht in einigen Bereichen wesentliche Fortschritte. Bestimmte schwierige Probleme lassen sich so viel einfacher lösen. Die NASA prüft beispielsweise derzeit, Quantenrechner bei der Analyse der riesigen Datenmengen, die sie über das Universum sammelt, einzusetzen sowie zur Erforschung besserer und sichererer Methoden der Raumfahrt *.

Wenn man sich die Datenspeicherstruktur des Internets ansieht, erinnert sie ein wenig an alte Städte wie Rom oder Istanbul, bei denen moderne Strukturen auf die alten aufgesetzt werden. Ganz ähnlich verhält es sich mit aktuellen Internetspeicherstrukturen, die auf darunter liegende Schichten von veraltetem, nicht gepflegtem Code eingerichtet werden. Die Sucht der IT-Branche nach Neuheiten kann so zum Bumerang für den Datenschutz werden. Zum Beispiel weil diese vernachlässigten Codebereiche leicht zugänglich sind und von böswillig agierenden Experten ausgenutzt werden könnten. Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu konzentrieren. (Duncan Jones, Head of Research bei Thales eSecurity)


2019 besteht die Chance noch rechtzeitig zu handeln und jetzt in Post-Quantum zu investieren.
Das aktuelle Quantum-Klima - Erst jetzt, nach Jahrzehnten allmählichen Fortschritts, stehen Forscher kurz vor dem Bau von Quantenrechnern, die leistungsfähig genug sind, um Dinge zu tun, zu denen herkömmliche Computer nicht in der Lage sind. Google hat bei diesen Bemühungen eine führende Rolle, aber auch Intel und Microsoft haben erhebliche Anstrengungen in diesem Bereich unternommen.

Der Schlüssel zum Entsperren der Kryptographie - Computernetzwerke sind nur deshalb sicher weil aktuelle Computer bestimmte mathematische Probleme nicht lösen können. Sobald Quantencomputer einsatzbereit sind, ändert sich das grundlegend und einige der derzeit bestehenden Schutzmaßnahmen sind wertlos.
Aktuelle Maßnahmen – Einige der gegenwärtigen Initiativen versuchen verschiedene quantenresistente Kryptografievorschläge frühzeitig an den Start zu bringen, sodass die Internet-Kryptographie nicht von Quantum-Fähigkeiten zunichte gemacht werden kann.

Maßnahmen ergreifen - Organisationen müssen auf kryptografisch agile Systeme hinarbeiten, sodass sie sobald es nötig wird diese Systeme umstellen. Diese müssen in der Lage sein, die derzeitig verwendeten Verschlüsselungsalgorithmen und Typen von Algorithmen im Falle einer auftretenden Schwachstelle auszutauschen. (Duncan Jones, Head of Research bei Thales eSecurity)


Blockchain: Eine Lösung, die immer noch nach einem Problem sucht?
Zwar sollen die Ausgaben für Blockchain bis 2022 weltweit fast 12 Milliarden US-Dollar betragen*, aber es ist fraglich, ob die Technologie tatsächlich schon so weit ist.

2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden. Das ist sicherlich noch nicht der Gipfel was die Zahl der Implementierungen anbelangt. Von diesem Zeitpunkt sind wir nach wie vor Jahre entfernt. Der Technologie fehlen ausgereifte Funktionen, wie Benutzer- und Schlüsselverwaltung, die nötig sind, um den Trend der Enterprise-Blockchain in Schwung zu bringen.

Wenn es um Blockchain-Budgets geht, haben Führungskräfte entweder ein Problem, für dessen Lösung Blockchain notwendig ist, oder es gibt ein Blockchain-Budget, das quasi nach einem Problem sucht. Und genau das ist meistens der Fall. (Duncan Jones, Head of Research bei Thales eSecurity)

Kaufen Sie nicht den Hype - Blockchains sind eine brillante Anwendung der Kryptografie für das Konzept eines verteilten, unveränderlichen Protokolls. Trotzdem sind Blockchains für die weitaus meisten Probleme über deren Lösung Unternehmen nachdenken völlig ungeeignet. Gerade was die Nachteile der Technologie anbelangt.
Blockchain ist kein riesiger, verteilter Computer - Es gibt keine Parallelschaltung, keine Synergien und keine gegenseitige Unterstützung. Es gibt nur eine sofortige millionenfache Vervielfältigung. Das ist das Gegenteil von effizient - und das ist entscheidend.

2019 wird der Hype sich zerstreuen - Unternehmen werden Komplexität sowie die Art und Weise der Zusammenarbeit besser einschätzen können, die für die Integration von Enterprise-Blockchain-Anwendungen in den Geschäftsalltag nötig sind. (Duncan Jones, Head of Research bei Thales eSecurity)


Wenn wir die Algorithmen verstehen wollen, die über unser Leben entscheiden, müssen wir mehr Forschungsarbeit leisten
Jeden Tag lesen wir etwas zum Potenzial von intelligenter werdenden Algorithmen. Wir trainieren sie, alle Arten von Entscheidungen zu treffen - von der Frage, was ein Auto an einer Kreuzung tun soll, bis zu der Frage, ob ein inhaftierter Krimineller eine Anhörung für seine vorzeitige Entlassung verdient.

Künstliche Intelligenz (KI) und maschinelles Lernen haben in letzter Zeit große technische Fortschritte gemacht. Laut einer Salesforce-Studie werden bis 2020 57 Prozent der Geschäftskunden davon abhängig sein, dass Unternehmen wissen, was Kunden brauchen, bevor sie danach fragen. Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden. Allerdings sollte man nicht vergessen, dass jeder technologische Fortschritt auch eine Kehrseite hat. Und, dass es ganz sicher jemanden gibt, der diesen Fortschritt zu unlauteren Zwecken missbrauchen will und wird.

Auf der Jagd nach Autonomie und fortschrittlicheren Entscheidungen durch Maschinen ist Due Diligence von entscheidender Bedeutung. Sie erst gewährleistet, dass wir ausreichend in die Forschung investieren um Algorithmen und ihre Entscheidungsfindung besser zu verstehen.

Ohne dieses grundlegende Verständnis können weder die Industrie noch die Gesellschaft selbst absehen, wie ein Algorithmus auch untergraben werden kann. Soviel ist jedenfalls sicher: Wir werden den Tag erleben, an dem ein Algorithmus kompromittiert wird. (Duncan Jones, Head of Research bei Thales eSecurity)


Wie man Algorithmen anwenden kann – Techniken und Methoden maschinellen Lernens sollen den Sicherheitsanalytiker nicht ersetzen, sie sollen mit ihm zusammenarbeiten und ihn entlasten.
Algorithmen auf beiden Seiten - Wir haben es bereits erlebt: Algorithmen sind in der Lage manuelle Vorgehensweisen zu ersetzen, wenn es gilt Systeme zu kompromittieren. Das werden wir 2019 noch häufiger sehen. Algorithmen lassen sich schließlich von beiden Seiten nutzen. Und maschinelles Lernen wird zweifelsohne dazu verwendet werden, Angriffe zu lancieren sowie dazu sie vorauszusehen und abzuwehren.

Der Faktor Mensch - Obwohl künstliche Intelligenz Vorteile für viele Aspekte des privaten und beruflichen Lebens bietet, gab und gibt es Bedenken hinsichtlich ihres zukünftigen Einsatzes in der Gesellschaft. Viele traditionelle berufliche Positionen wie Bankangestellte und Supermarktmitarbeiter sind bereits vielfach durch Maschinen ersetzt worden. Was die Arbeitslosenquoten anbelangt löst das begründete Besorgnis aus.
(Duncan Jones, Head of Research bei Thales eSecurity)


Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem
Im kommenden Jahr werden die Themen "mangelnde Qualifikation" und "Fachkräftemangel" in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen. Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei
Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

Sicherheit auf die Agenda
Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: "Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?" Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des kommenden Jahres mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2 Prozent des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4 Prozent - die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt. (Bridget Kenyon, Global CISO, Thales eSecurity)
(Thales eSecurity: ra)

eingetragen: 08.12.18
Newsletterlauf: 10.01.19

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Zunahme von Angriffen mit JavaScript-Skimmern

    Im Jahr 2020 könnten es - laut Vorhersagen von Kaspersky - finanziell motivierte Cyberkriminelle vermehrt auf Apps zur Geldanlage, Systeme zur Verarbeitung von Finanzdaten online und aufstrebende Krypto-Währungen abgesehen haben. Zudem werden sich voraussichtlich der Handel mit Zugängen zur Infrastruktur von Banken und die Entwicklung neuer Varianten mobiler Malware basierend auf Sourcecode-Leaks etablieren. Neben den Bedrohungen im Finanzbereich hat Kaspersky im Rahmen ihres "Security Bulletins 2019/2020" auch mögliche Gefahren für andere Branchen prognostiziert.

  • Prognosen zur Anwendungssicherheit für 2020

    Veracode veröffentlichte vor kurzem die zehnte Ausgabe ihres jährlich erscheinenden "State of the Software Security" (SoSS)-Reports. In diesem beschreibt die Anwendungssicherheitsspezialistin, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat und stellt eine Bilanz zum aktuellen Ist-Stand auf. Doch welche Trends zeichnen sich für die kommenden Jahre ab und auf welche Weise sollten Unternehmen auf die Veränderungen reagieren? Codes, auf denen Software und Applikationen aufbauen, werden stetig umgeschrieben oder erweitert, da Unternehmen ihre Angebote an die Bedürfnisse ihrer Kunden anpassen müssen. Jede neue Veränderung bedeutet aber auch, dass die Applikationen dadurch angreifbar werden. Somit steigt das Risiko, dass sich Fehler und Bugs einschleichen und damit die Sicherheit der jeweiligen Anwendung - oder sogar des Unternehmens - gefährden.

  • So (un)sicher wird 2020 für industrielle Netzwerke

    Die Bedrohungslage für OT-Systeme, kritische Infrastrukturen und industrielle Steuerungsanlagen wird sich auch 2020 im Vergleich zu 2019 kontinuierlich weiterentwickeln. Da diese Systeme dem öffentlichen Internet immer stärker ausgesetzt sind, wird es für Hacker immer einfacher, sie anzugreifen. Dies gilt nicht nur für staatlich unterstützte bzw. beauftragte Angreifer, sondern auch für Cyberkriminelle, die in erster Linie finanziell motiviert handeln. Es ist zu befürchten, dass gerade staatlich gesteuerte Angreifer ihre Ziele genauer auswählen und ihre Spuren besser verwischen werden. Die Fälle, von denen in den Medien berichtet wird, dürften nur die Spitze des Eisberges darstellen. Aufgrund der kleinen Stichprobe (2019 gab es lediglich 12 hochkarätige Angriffe weltweit) ist es unmöglich, ein genaues Bild über die tatsächliche Bedrohungslage zu erhalten.

  • Cyberangriff auf wichtige Pfeiler der Gesellschaft

    Am Ende jedes Jahres setzen wir bei Forescout uns zusammen und erörtern, welche Trends sich unserer Meinung nach in den nächsten zwölf Monaten beschleunigen und welche neu entstehen werden. Als wir dieses Jahr mehr als 50 Prognosen auf letztendlich sechs eingrenzten, fiel uns einmal mehr auf, wie schnell sich der Cybersicherheitssektor doch verändert. Die Bedrohungen und Angreifer werden immer raffinierter und richten weiter verheerende Schäden in Unternehmen aller Größen und Branchen an, und eine Trendwende ist nicht in Sicht. Für Unternehmen bedeutet dies, dass sie strategischer denn je vorgehen müssen, wenn sie ihren Sicherheitsstatus verbessern wollen. Es bedeutet auch, dass sie sich mit vielversprechenden neuen Technologien auseinandersetzen müssen - einige davon erwähnen wir im Folgenden -, noch bevor diese sich allgemein etabliert haben. Dies umfasst sowohl die Einführung neuer Technologien als auch den Schutz neuer Geräte. Und schließlich bedeutet es, einige der Auswirkungen zu bedenken, die ein Cyberangriff auf wichtige Pfeiler unserer Gesellschaft haben könnte.

  • Cyberbedrohungen und Trends für 2020

    Von Passwort-Katastrophen bis hin zum verstärkten Krypto-Mining von Monero: Welche Cyberbedrohungen werden im Jahr 2020 auf uns zukommen? Instabilität der Darknet-Märkte: Die englischsprachigen Darknet-Märkte haben ein schwieriges Jahr hinter sich mit zahlreichen Takedowns, Exit-Scams, Verhaftungen, ungewöhnlichen Aktivitäten, bei denen Märkte an- und ausgeschaltet wurden, sowie anhaltenden DDOS-Angriffen. Diese Instabilität hat den Ruf der Darknet-Märkte geschädigt, und das wird 2020 beträchtliche Paranoia bei Cyberkriminellen auslösen, die sich wahrscheinlich nur langsam beruhigen wird. Diese Unvorhersehbarkeiten haben vielleicht keine nennenswerten sichtbaren Auswirkungen auf Endbenutzer und Unternehmen, können jedoch dazu führen, dass Märkte anderswo entstehen und die Lieferketten von Cyberkriminellen insbesondere im englischsprachigen Raum sehr durcheinanderbringen.