Cyber-Zentauren, EU-DSGVO & Co.

Doch tatsächlich gibt es wenig Neues, zumindest für die Profis im IT-Sicherheitsumfeld waren viele Zwischenfälle durchaus alltäglich. Dennoch ist es wert, einen Blick in die Zukunft zu werfen, um zu sehen, was das Jahr 2018 bringen könne. Einige Trends haben die F-Secure Experten im Sicherheitsbereich für 2018 identifiziert.

2017 gab es einige interessante Entwicklungen im Bereich Ransomware. Es wurden mehr neue Familien und Varianten gefunden als in allen Jahren zuvor. Der „WannaCry“-Ausbruch im Mai war eine der größten Attacken, gefolgt von weiteren signifikanten Attacken.

Geht es nach F-Secure Labs Researcher Päivi Tynninen, werden wir in 2018 weniger neue Ransomware-Familien sehen. Sie erwartet aber, dass mehr Unternehmen zielgerichtet per Ransomware angegriffen werden. „Wir werden immer noch sehen, dass Cyber-Kriminelle neue Erpresser-Malware entwickeln, allerdings lange nicht so viele wie in den letzten beiden Jahren“, sagt Tynninen. „Die Infektionsmaßnahmen um Einzelpersonen anzugreifen sind momentan nicht gerade effektiv. Das Geschäftsmodell dagegen ist eine Geldquelle für Kriminelle. Deswegen werden wir wahrscheinlich mehr gezielte Ransomware-Angriffe auf Firmen sehen – die Kriminellen zielen so auf größere Geldsummen bei weniger Zielen.“

Apple hat „FaceID“ als neues Feature im „iPhoneX“ angekündigt. Basierend auf dem Erfolg, mit dem das Unternehmen Technologien in den Massenmarkt bringt, geht F-Security Advisor Sean Sullivan davon aus, dass mehr Personen und Unternehmen auf Biometrie zur Benutzeridentifikation setzen.

„Biometrie gibt es schon lange, allerdings wurde die Technik bislang nie wirklich benutzerfreundlich vermarktet. In der Vergangenheit war Apple sehr erfolgreich damit, den Anwendern neue Technologie nahe zu bringen. Ich gehe davon aus, dass das auch für die biometrische Identifizierung gelten wird“, schätzt Sullivan. „Es wird mit besseren Smart-Lock-Funktionen für Android beginnen – aktuell ist Smart Lock nicht wirklich auf Sicherheit ausgelegt – und sich schnell auf Applikationen und zusätzliches Investment ausweiten. Diese Funktionen werden künftig deutlich aktiver von Geräteherstellern und Suchanbietern beworben werden.“

Die neue EU Datenschutzgrundverordnung (EU-DSGVO) wird im Mai 2018 aktiv werden. Und Umfrage nach Umfrage zeigt, dass viele Unternehmen nicht auf sie vorbereitet sind. Aber F-Secure Privacy Officer Hannes Saarinen denkt, dass die Frage, ob Firmen auf die Deadline vorbereitet sind, zu stark vereinfacht, wofür die EU-DSGVO eigentlich steht.

„Im Mai 2018 werden sehen, dass viele Unternehmen die Minimalanforderungen bezüglich der Vorgaben der EU-DSGVO erfüllen werden. Das lässt sich aus den immer wiederkehrenden ‚Wir sind nicht bereit für Mai 2018!‘-Rufen herauslesen,“ erklärt Saarinen. „Beispielsweise benötigt jedes Land das passende Gesetz, um die Vorgaben der EU-DSGVO in nationale Gesetze einzugliedern. Bislang ist das nur in Deutschland geschehen.“

Das bedeutet, dass Deutschland bislang das erste Land ist, das die EU-DSGVO aktiv umsetzt. Unternehmen in anderen Ländern haben immer noch zahlreiche Fragen, wie sie sich vorbereiten müssen. Saarinen geht davon aus, dass viele Unternehmen sich einfach daran gewöhnt haben, mit den rechtlichen Unsicherheiten zu leben, während die Behörden die praktischen Seiten der Regulierung ausarbeiten.

„Unternehmen müssen lediglich alles Mögliche unternehmen, um mit den Regelungen übereinzustimmen – zugleich müssen sie damit leben, dass sich einige Maßnahmen noch ändern können. Das klingt vielleicht bedrohlich, aber die einzige echte Option nach Mai 2018“, sagt Saarinen. „Auf der positiven Seite bleiben die größten Risiken für Strafen gleich, entsprechend können Firmen daran arbeiten, ihre Datensicherheit zu erhöhen, keinen Spam zu versenden sowie transparent und offen damit umzugehen, wie sie Daten der Nutzer verarbeiten. Das wird es langfristig einfacher machen.“

„Ein weiterer Bonus ist, dass in Irland viele US-Unternehmen ihren Sitz haben: Wie wird die EU-DGSVO die Vollstreckungsmacht beeinflussen? Und werden die Anstrengungen der irischen Behörden gut genug für andere Datenschutzbehörden sein? Falls nicht, werden wir sehen, wie gut diese „One-Stop-Shop“-Mechanismen in der Realität sind,“ sagt Hannes. „Ich denke, dass dieser Bereich die Diskussion von der eigentlichen Compliance dahin bewegen wird, wie das Projekt wirklich funktionieren soll.“

Das Internet der Dinge bringt internetfähige Fernseher, Toaster und andere Gadgets in unsere Wohnungen. Die meisten dieser vermeintlich „smarten“ Geräte sind dabei alles andere als sicher. Tatsächlich ist ein Gerät, das als smart verkauft wird, immer auch angreifbar. Je mehr sich die Geräte verbreiten, desto schwieriger wird es für die IT-Sicherheit.

Sean Sullivan geht davon aus, dass Early Adopter bald feststellen werden, dass ihre Geräte nicht so smart sind wie sie angepriesen wurden. Das wird nicht aufgrund von digitalen Attacken geschehen, sondern weil es von den Herstellern zu wenig Support gibt.

„Internetfähige Haushaltsgeräte brauchen einen ständigen Software-Support, um zuverlässig zu funktionieren. Für viele Hersteller ist das Neuland. Ich gehe davon aus, dass wir 2018 einige Wachstumsschwierigkeiten sehen werden, die sowohl Hersteller wie auch Nutzer betreffen“, prophezeit Sullivan. „Die Hersteller wollen den Support für Produkte auslaufen lassen, die erst wenige Jahre alt sind. Für die Early Adopter, die frühen Käufer dieser Produkte, bedeutet dies Bugs und Ausfälle bei den Diensten. Die Hersteller werden wahrscheinlich argumentieren, dass Kunden auf neue Geräte aktualisieren oder mit den Einschränkungen leben sollen. Viele Early Adopter werden enttäuscht sein – von den Geräten wie von den Unternehmen, die sie verkaufen.“

Cyber-Sicherheit benötigt sowohl Menschen (Cyber-Sicherheitsexperten) wie auch Maschinen (künstliche Intelligenz, KI), um aktuelle Bedrohungen abzuwehren. Und Sicherheitsanbieter suchen neue Wege, wie sie die Vorteile auf neue Art nutzen können.

Der Fokus von künstlicher Intelligenz ist häufig auf Automatisierung oder der Verbesserung traditioneller Methoden (etwa der Signatur-basierten Erkennung von Bedrohungen). Doch das Potential von KI ist längst nicht ausgeschöpft, sagt Matti Aksela, Head of F-Secure’s Artificial Intelligence Center of Excellence. Kombiniert mit der menschlichen Expertise kann KI noch viel mehr Transformation anstoßen.

„Die Herausforderung bei KI-Ansätzen ist, dass es oft schwer ist, die zu lösenden Probleme wirklich zu verstehen, wenn kein tiefes Fachwissen vorhanden ist. Wir können das adressieren, indem wir eng mit digitalen Sicherheitsexperten zusammenarbeiten. Gleichzeitig nutzen wir KI, um Experten zu unterstützen und zu stärken – schließlich verfügen diese über einen Datenschatz aus Jahre oder Jahrzehnten, den sie durch Erfahrung aufgebaut haben“, erläutert Aksela.

„Im kommenden Jahr werden wir mehr Sicherheitslösungen sehen, in denen die menschlichen Erfahrungswerte durch künstliche Intelligenz unterstützt und verbessert werden. Solche Experten bezeichne ich als Cyber-Zentauren. Diese Cyber-Zentrauen werden KI-Funktionen nutzen können, um ihre eigene Geschwindigkeit und Leistung deutlich zu erhöhen. Sie werden komplexe Aufgaben schneller lösen können. Das wird zu einer Adaption von KI in Bereichen führen, die wir bislang als zu kompliziert oder zu unpraktisch abgetan haben.“