Drei Sicherheits-Prognosen für 2016, die Ihre Firma kennen sollte

Cybersecurity im Jahr 2016 - Prognosen von Erka Koivunen

Verfasser: F-Secure Business Security Insider
Datum: 13. Januar 2016
Lesedauer: 6 Minuten

Erka Koivunen

Erka Koivunen, seines Zeichens Cybersecurity-Spezialist und -Berater bei F-Secure, ist spezialisiert darauf herauszufinden, wie Regierungen und Unternehmen ihre Daten sichern können und geschützt bleiben. Erka merkt an: Die wichtigsten Entwicklungen sind neue Vorschriften und Debatten über die Zukunft von Verschlüsselungstechnik. Darauf müssen sich Unternehmen einstellen. Zusätzlich wird es darum gehen, sich um die Konsequenzen von schlechter operationaler Sicherheit zu kümmern.

Und hier der merkürdige Teil: Während Regierungen ständig neue Anforderungen an den privaten Sektor im Bereich Sicherheit von Kundendaten stellen, versuchen die gleichen offiziellen Stellen, immer einfacher Zugang zu genau diesen Daten zu erlangen. Eine fast ironische Situation, die staatlich und per Gesetz durchgesetzt wird. Also ist die beste Strategie, dieses Paradoxon zunächst einfach zu akzeptieren und sich darauf vorzubereiten, dass immer mehr Forderungen von Regierungen kommen – auch wenn diese Anforderungen sich einzeln genommen oftmals widersprechen.

„Die Reform der Gesetze über Informationspolitik wird die wichtigste Herausforderung im Jahr 2016 für die Informationssicherheit sein.“

Die Zukunft der End-to-End-Verschlüsselung ist zur Zeit ein viel diskutiertes Thema und einige Regierungen üben Druck auf Unternehmen aus, damit diese Unternehmen Lösungen entwickeln, die ein Monitoring der verschlüsselten Daten ermöglichen. Die Diskussion geht also nicht darum, ob die Nutzung von Kryptographie und der Technik zur Verschlüsselung komplett verboten werden sollte, sondern darum, ob kommerzielle Produkte so entwickelt werden sollten, dass sie Regierungsbehörden jederzeit eine Hintertür offen lassen.

Wenn zum Beispiel die Regierungen der USA und UK ihren Willen durchsetzen können, müssten einige Unternehmen ihre Businessmodelle so verändern, dass sie dazu gezwungen sind, den Regierungen jederzeit die Daten zu liefern, die angefordert werden. Nachrichtendienste wie iMessage, Signal und Whatsapp wurden als Beispiele für Programme angeführt, die in die Kategorie „zu sicher, um gut für den Anwender zu sein“ fallen. Auf der anderen Seite würden Dienste wie Facebook Messenger oder Direktnachrichten bei Twitter durchaus zu den Standards konform sein – einfach deshalb, weil das Design dem entspricht, was die Regierungen erwarten.

Eine Gruppe aus den größten Unternehmen des Tech-Bereichs, bestehend unter anderem aus Firmen wie Apple, haben öffentlich ihren Widerstand gegen die Idee bekanntgegeben, dass die Schwächung von Verschlüsselung im Interesse der Öffentlichkeit wäre. Diese Aussagen werden von weltweit respektierten Kryptographie-Forschern gestützt, die uns ebenfalls an die so genannten Crypto Wars der 90er erinnern.

Das Aufbrechen von Verschlüsselung ist eine Gefahr für Unternehmen, weil das bedeuten würde, dass sie damit beginnen müssten direkt mit persönlichen Daten umzugehen – eine starke Bürde für Unternehmen, weil sie Systeme entwickeln müssten, die die Verarbeitung absichern. Durch die steigende Anzahl und Schwere von Angriffen auf Daten des letzten Jahres ist dies keine Aufgabe, die Firmen alleine bewältigen können.

„Solche eine Gesetzgebung würde die Menschen mehr Gefahren aussetzen, als sie vor Gefahren zu schützen. Wir würden viele Sicherheitsmaßnahmen, die wir für selbstverständlich halten, für etwas opfern, das für uns keinerlei Vorteile hat“, so Koivunen. Das Beharren von großen Geheimdiensten auf großflächigen Zugang zu privaten Daten und privater Kommunikation (anstelle von zielgerichteten Beschlüssen zum Zugriff auf spezifische Daten) ist ebenfalls nicht positiv zu werten. „Unternehmen wollen End-to-End-Verschlüsselung anbieten, weil es sie selbst, ihre Partner und auch ihre Kunden schützt. Wenn man auf etwas selbst keinen Zugriff hat, kann man es auch nicht offenlegen – egal, ob Druck ausgeübt wird. Das Öffnen einer Hintertür für eine Regierung führt im Endeffekt dazu, dass ausländische Geheimdienste, Industriespione und Kriminelle ebenfalls ins System gelangen und deshalb wird die Debatte zu diesem Thema ein kontroverses Thema zwischen Experten im Jahr 2016 sein.“

„Die verpflichtenden Reports, die von der europäischen Gesetzgebung angeregt wurden, werden entscheidend in die Verantwortlichkeiten in der Cybersecurity eingreifen.“

Während sie Zugriff auf Daten von Unternehmen verlangen, merken Regierungen gleichzeitig, dass Unternehmen immer öfter Ziel von Cyber-Attacken werden. Das mag zunächst paradox klingen, bis man sich vor Augen führt, dass es viele verschiedene Stimmen und Meinungen in den Regierungen gibt, besonders in der EU.

Laut europäischen Datenschützern werden Kosten von solchen Angriffen in den meisten Fällen auf Einzelpersonen und Endnutzer umgelegt. In der EU sind diese Bedenken in neue Regularien umgesetzt worden (genauer gesagt in die General Data Protection Regulation und die Network and Information Systems Directive). Diese sollen Richtlinien zu Cybersecurity und dem Umgang mit Daten für Unternehmen bieten, die in Europa operieren – inklusive Schritten, die im Fall einer Attacke einzuhalten sind.

Empfindliche Strafen werden standardisiert und das Melden von solchen Sicherheitsvorfällen wird verbindlich. Es wird keine einfache Möglichkeit für Unternehmen geben, solche Sicherheitsvorkommnisse zu verheimlichen, was dazu führt, dass Datensicherheit essentiell für jede Art von Prozess wird.

„Firmen, die Teil der so genannten Data Supply Chain sind, werden sicherlich eine Erhöhung der Kosten ihres Kerngeschäfts spüren, aber das ist nur ein Tropfen auf den heißen Stein in Anbetracht der Strafen, die bei Missachtung der Gesetzgebung drohen“, kommentiert Koivunen. „Wenn man die potenziellen Kosten zusammenfasst, die durch Strafen auflaufen können, den Verlust von Aufträgen und Verlust des guten Rufs und anderen Kosten, wird schnell klar, dass Unternehmen IT-Sicherheit sehr ernst nehmen müssen. Die Unternehmen müssen sich an die neue Realität im Jahr 2016 anpassen.“

„Regierungen werden niemals einen Sinn für Ironie entwickeln.“

Regierungen wollen, dass Sie Kundendaten vor jedem sichern, außer ihnen.

Die USA, UK und Frankreich sind nur einige der Länder, die Zugriff auf alle private Kommunikation und persönlichen Daten verlangen. Gleichzeitig verlangen sie allerdings, dass Service Provider Verantwortung durch ein System „Privatssphäre ist Standard“ garantieren, wie es in der EU gern gesagt wird.

„Regierungen verlangen, dass Unternehmen die Sicherheit verbessern, weil es immer mehr Gefahren und Angriffe im Bereich Onlinekriminalität und durch ausländische Dienste gibt“, sagt dazu Koivunen. „Gleichzeitig hacken sie sich in dieselben Firmen oder üben Druck auf die Unternehmen aus, um eine Hintertür ins System zu haben – oder in einer anderen Form Zugang zu den Systemen für Strafverfolgungsbehörden oder Geheimdienste zu gewährleisten.“

Vielleicht liegt es auch daran, wie einfach es für die Regierungen selbst ist, in Unternehmen einzubrechen, dass sie diese Sorgen um IT-Sicherheit haben? Ein beängstigender Gedanke. Die Wahrheit könnte sogar noch deprimierender sein.

„Regierungen haben keinerlei Sinn für Ironie“, so Koivunen. „Sie haben Abteilungen und Dienste.“

Forderungen werden nicht gegeneinander abgewogen, weil Regierungen im Normalfall nicht darauf eingestellt sind, Gewichtungen nach Notwendigkeit vorzunehmen, zumindest wenn es um die Sicherung von digitalen Assets geht.

„Wenn Einzelpersonen, die für Regierungen arbeiten, einfach mal einen Schritt zurücktreten würden, könnten sie erkennen, dass das, was sie fordern ein zweischneidiges Schwert ist“, sagt dazu Erka aus eigener Erfahrung als Teil von Finnlands CERT Team. „Das Problem ist, dass Regierungsbehörden und ihre Mandate sehr aufgeteilt sind. Die einzelnen Regierungsdienste leben in tiefen Silos, abgeschottet von anderen. Diejenigen, die sich um Datensicherheit kümmern, sprechen oftmals gar nicht mit den geheimdienstlichen Mitarbeitern.  Die Telekommunikationsbehörde hat Probleme herauszufinden, was sich die Strafverfolgungsbehörden als nächstes ausdenken.“

Die Forderungen der einzelnen Silos erscheinen nicht mehr so widersprüchlich, wenn man im eigenen Silo mit der Lösung eines speziellen Problems beauftragt wurde und nicht mit anderen kommuniziert.

„Wenn alle Initiativen der Politik auf Kabinettebene logisch analysiert werden würden“, so Koivunen, „dann wäre die verwirrende Summe aller gemischten Signale, die die Regierungen senden, vielleicht für alle einfacher zu erkennen.“

Aber verlassen Sie sich nicht darauf, dass das allzu bald geschieht.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s