Trends 2024: Warum Sicherheitsthemen und Regulatorik das Jahr prägen werden

Das neue Jahr hat gerade erst angefangen. Zeit also, einen Ausblick auf die Trends zu halten, die Fachexperten aus den Unternehmen der Banken- und Versicherungswelt auf dem Radar haben. Zwei wichtige Themenkomplexe, die im kommenden Jahr mehr denn je auf der Agenda stehen wird, sind der Komplex der Cybersicherheit und nicht zuletzt die Regulatorik, in der einige Weichenstellungen für die kommenden Jahre anstehen.

War Sicherheit in der Vergangenheit auch schon ein größeres Thema, ist spätestens 2023 wohl jedem Vertreter der Banken- und Finanzwelt klar geworden, dass es jeden treffen kann, dass kein Institut vor Hackerangriffen und Ransomware sicher sein kann. Der Identity-Security-Anbieter SailPoint etwa glaubt, dass Künstliche Intelligenz hier Segen und Fluch zugleich ist. „Bereits heute ist eine Zunahme gezielter Angriffe zu beobachten, bei denen Hacker detaillierte Recherchen über Unternehmen anstellen – etwa, indem sie stundenlang den Geschäftsführer eines Unternehmens ausforschen und alle Details sammeln, die für einen erfolgreichen Angriff notwendig sind“, so die Experten. Sie sehen, dass der Einsatz von generativer KI etwa Phishing-E-Mails überzeugend echt gestalten, ebenso Deepfakes vorantreiben könne.

Gleichzeitig kann KI ein effektives Mittel gegen Cyberangriffe sein, in dem sie im Unternehmen zielführend zur Erkennung potenzieller Attacken und unzulässiger Zugriffe auf Unternehmensdaten genutzt wird.”

Prognose des Identity-Security-Anbieters SailPoint

Trends 2024: Zwischen Machine Learning und Prozessoptimierung

Einen besonderen Blickwinkel haben die Vertreter der IQM Quantum Computers auf das Thema Cybersicherheit. Hier werde die Umstellung auf eine quantensichere Verschlüsselung erhebliche Investitionen an Zeit und Ressourcen erfordern, und es sei unerlässlich, die Sicherheit sensibler Daten auf lange Sicht zu gewährleisten. Banken und Finanzdienstleister täten gut daran, ihre Verschlüsselungssysteme so anzupassen, dass sie quantensicher werden.

Während die Fortschritte im Bereich der Quanten-Cybersicherheit langsam voranschreiten, gibt es andere Bereiche, in denen wir dem Quantenvorteil näherkommen. Ein solcher Bereich ist das maschinelle Lernen, wo das Quantencomputing bei komplexen Problemen erhebliche Geschwindigkeitssteigerungen ermöglichen kann. Wir sehen bereits, dass dies in Projekten wie der Prozessoptimierung in der Produktion getestet wird.”

Jan Goetz, CEO von IQM Quantum Computers

Auch Florian Baumann, Associate Partner bei Infosys Consulting, glaubt, dass Cyber Risiken und Cyber Resilience Themen sein werden, die uns 2024 mehr denn je begleiten. Denn laut dem Hiscox Cyber Readiness Report 2023 ist die Zahl der Unternehmen in Deutschland, die Opfer eines Cyberangriffs geworden sind, von 46 Prozent im Jahr 2022 auf aktuell 58 Prozent gestiegen. Damit sind Cyberangriffe das größte Geschäftsrisiko. „Unternehmen müssen daher ihre IT bestmöglich absichern und bei den Mitarbeitern Awareness für das Thema Cybersicherheit schaffen.“ Dies gelte auch für die Unternehmen selbst, da sie aufgrund ihrer sensitiven Daten ein beliebtes Ziel für Angriffe bilden. Die geopolitische Lage verstärkt das Risiko, da sowohl Organisationen als auch staatliche Institutionen als Ziel von Attacken in den Fokus rücken. Und auch für ihn steht die Gefahr der KI im Vordergrund:

Auch der Einsatz von generativer KI wird die Anzahl kritischer Attacken und deren Schadpotenzial ansteigen lassen. Versicherer müssen all diese Risiken in der Risikobewertung abbilden.”

Florian Baumann, Associate Partner bei Infosys Consulting

Der weltweite Fachkräftemangel im Bereich der Cybersicherheit und der Sicherheit von generativer KI könne außerdem dazu führen, dass bei der schnellen Implementierung von KI Sicherheitsaspekte übersehen werden.

Trends 2024: Höhere Schadenssummen und Opfer zwischen zwei Gegnern

Bemerkenswert ist in diesem Zusammenhang auch eine Beobachtung, die die Experten von G-Data, einem langjährigen Schwergewicht in der deutschen Security-Software-Szene machen: Die Schadenssummen steigen zusehends, weil die zunehmende Professionalisierung und die damit einhergehende Arbeitsteilung bei den Tätergruppen zu mehr Double-Exfill-Attacken führt. Dabei erpressen zwei Tätergruppen zeitgleich ein Unternehmen. Während eine Gruppe Lösegeld für die Nichtveröffentlichung der ausgeleiteten Daten verlangt, fordert eine andere Geld für die Entschlüsselung der verschlüsselten Informationen.

Doch solche Sachverhalte zu erkennen, fällt vielen Unternehmen schwer. Unternehmen kommen somit immer seltener ohne externe Expertise aus.

Wer die IT-Sicherheit seines Unternehmens in die Hände eines Cyber-Defense-Unternehmens übergibt, profitiert auf vielen Wegen beim Einsatz von Services wie etwa Managed Endpoint Detection and Response. Fachleute überwachen das Netzwerk Rund-um-die-Uhr und können Angriffe schon im Frühstadium abwehren.”

Tim Berghoff, Security Evangelist bei G Data CyberDefense

Angesichts der beschriebenen Gemengelage bleibt IT-Sicherheit weiterhin eine Mammutaufgabe für Unternehmen. Da die wenigsten Firmen die Möglichkeit haben, für jeden Unterbereich eigene Expertise aufzubauen oder einzustellen, holen sich viele Unternehmen die Unterstützung spezialisierter IT-Security-Dienstleister an Bord. Diese Entwicklung wird sich in den kommenden Jahren – auch befeuert durch die zunehmenden gesetzlichen Anforderungen – weiter verstärken.

Schutz vor Datenverlust bleibt wichtig

Die SEP als Hersteller von Backup- und Disaster Recovery-Software und Lösungen zum Schutz von plattformübergreifenden, heterogenen IT-Umgebungen glaubt dagegen (erwartungsgemäß), dass der Schutz vor Datenverlust und Angriffen durch Ransomware und andere Schadsoftware bei vielen Unternehmen der Finanzwirtschaft noch optimierbar ist. Gerade durch die Einführung der NIS-2-Richtlinie der Europäischen Union gewinne das Thema Datensicherung für Unternehmen erheblich an Bedeutung.

Die Richtlinie, die darauf abzielt, ein hohes gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU zu gewährleisten, stellt neue Anforderungen an die Sicherheitsmaßnahmen von Unternehmen. Dies gilt insbesondere in Sektoren, die als wesentlich für die Wirtschaft und Gesellschaft gelten. Für etwa 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten – und Lösungen Made in Germany könnten dabei eine besondere Rolle spielen.

Die Anpassung an die NIS2-Richtlinie bedeutet für Unternehmen daher, die Datensicherung als einen integralen Bestandteil ihrer Cyber-Sicherheitsstrategie zu verstehen und zu priorisieren.”

Aus einem Trendausblick der SEP

Regulatorik NIS2 und Dora im Anflug

Auch Swisscom Trust Services, einziger europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt, sieht im neuen Jahr reichlich Herausforderungen im Hinblick auf die Regulatorik. Denn die NIS2 zielt darauf ab, die Cybersicherheitsanforderungen für wichtige Infrastrukturen zu harmonisieren, während der Digital Operational Resilience Act (Dora) die betriebliche Widerstandsfähigkeit im Finanzsektor betont.

„Beide Vorschriften nehmen besonders Lieferketten in die Pflicht und legen Verpflichtungen für Softwareanbieter fest. NIS2 ist eine Richtlinie, die bis Oktober 2024 in nationales Recht umzusetzen ist. Jedes Land der EU kann diese Umsetzung allerdings anders realisieren, was multinationalen Unternehmen wie Banken häufig Probleme bereitet“, so der Signaturdienstleister. Während sich Dora auf die Betriebsstabilität im Finanzsektor bezieht und dafür sorgen soll, dass diese einem Cyberangriff standhalten, wird bereits nun klar, dass viele Unternehmen es zum Start 2025 kaum schaffen können. „Unternehmen sollten sich frühzeitig mit den neuen Regularien vertraut machen, da insbesondere die Compliance ansonsten Probleme bereiten könnte“, so die Experten.

Auch die G-Data-Fachleute gehen davon aus, dass der regulatorische Druck im neuen Jahr noch zunehmen wird. Auch wenn aktuell noch viele Dinge im Zuge des nationalen Gesetzgebungsverfahrens unklar oder in der Schwebe sind, müssen sich Unternehmen schon jetzt darauf vorbereiten. NIS2 mache IT-Sicherheit endgültig zur Chefsache – und Führungskräfte stehen künftig auch juristisch stärker in der Verantwortung. Allerdings benötigen viele Vorstände und Geschäftsführungen dabei Unterstützung, um das Thema zu durchdringen. Mit NIS2 wird der Bedarf an Fachkräften im Bereich der IT-Sicherheit weiter steigen.

Aktuell brauchen Unternehmen bei NIS2 Klarheit über die Vorgaben und einen Terminplan für die Umsetzung. Ungeachtet dessen, sollten sie aber nicht untätig bleiben, bis Gesetze in Kraft treten. Cyberkriminelle warten nicht auf eintretende Regularien. Daher sollten Unternehmen schon jetzt beginnen, ihre Resilienz gegenüber Cyberangriffen zu erhöhen.”

Andreas Lüning, G-Datatw