Cybersicherheit – ein dauerhaft wichtiges Thema für Unternehmen. Nicht immer löst es Begeisterung aus, sich damit zu beschäftigen. Aber wir versichern Ihnen, es muss nicht leidig sein! Jahr für Jahr gibt es neue technische Entwicklungen. Vieles davon macht uns das Leben leichter. Wer möchte heutzutage zum Beispiel noch auf sein Smartphone oder die Smartwatch mit all den praktischen Apps verzichten? Doch je mehr sich digitale Neuheiten auch in unseren (Arbeits-)Alltag integrieren, umso vorsichtiger müssen wir sein. Vor allem wenn man mit sensiblen Daten des Unternehmens oder denen von Kundinnen und Kunden arbeitet.
IT-Risiken der heutigen Zeit
In der Schweiz gingen in diesem Jahr wöchentlich 400 bis fast 1’000 Meldungen zu Cybervorfällen von der Bevölkerung und von Unternehmen beim Nationalen Zentrum für Cybersicherheit (NCSC) ein. Dabei handelte es sich vor allem um Betrugs- und Phishing-Vorfälle. Die häufigsten Ziele von Hacker sind Zugriffe auf sensible Informationen, Änderung oder Zerstörung bedeutender Daten, Erpressung oder Unterbrechung der Geschäftsprozesse.
Die 6 grössten Cyber-Risiken für Schweizer KMU haben wir Ihnen in einem früheren Blogbeitrag zusammengefasst. Dazu gehören die erwähnten Phishing-Attacken, aber auch der Risikofaktor Mensch und Lücken in Sicherheitssystemen. All dies sind Punkte, welche Unternehmen stets im Blick haben sollten. Kontinuierliche Überwachung der Systeme, Anpassung auf neue Bedrohungen und Schulung von Mitarbeitenden sind dabei nur ein Teil.
Trends der Cybersicherheit, die keine Trends mehr sind
Viele dieser Risikofaktoren sind schon lang bekannt und sollten daher bereits fester Bestandteil der Cybersecurity in KMUs sein:
1. Mobile Security
Auf Mobiltelefonen werden häufig besonders sensible Daten gespeichert bzw. sind jederzeit abrufbar. Meist nutzt man Smartphones nicht mehr nur für den privaten Gebrauch, sondern auch für den beruflichen. In jeglichen Fällen ist Mobile Security essenziell und schliesst nicht nur das Smartphone, sondern alle mobilen Endgeräte ein – auch Tablets und Laptops. Die grössten Risiken sind Diebstahl, Sicherheitslücken durch Apps von Drittanbietern, Netzwerk-Bedrohungen und Webbasierte Angriffe. Unternehmen sollten daher vor allem Richtlinien zur Nutzung privater Geräte im Unternehmensnetzwerk einführen (Stichwort Bring-Your-Own-Device (BYOD)-Richtlinien). Auch Grundlagen zur E-Mail Sicherheit müssen kommuniziert werden.
2. Multi-Faktor-Authentifizierung (MFA)
Bei dieser Sicherheitsmethode werden zwei oder mehrere Berechtigungsnachweise kombiniert – neben einem normalen Passwort wird beispielsweise auch ein Sicherheits-Token genutzt. Bekannt sind die randomisiert generierten Codes über eine Authenticator App. Der Token kann jedoch auch die Verwendung biometrischer Verifizierungsmethoden sein. Das Ziel ist es, eine vielfältige Verteidigung zu schaffen, die es Angreifern erschwert, unerlaubt einzudringen.
3. Cybersicherheitstraining
Schaut man sich unsere bisherigen Tipps und Trends an, wird schnell klar – einer der grössten Risikofaktoren ist und bleibt der Mensch. Daher gehören vor allem Schulungen zu den wichtigsten Cybersecurity Massnahmen. Sind sich Mitarbeitende der aktuellen Risiken bewusst, können sie bedachter damit umgehen, kennen alle Vorgehensweisen und kommen seltener in unsichere Situationen. Darüber hinaus führten Cyber Security Awareness Trainings zu einer sicherheitsorientierten Unternehmenskultur.
4. Cloud-Computing-Dienste und Work from Anywhere
Weltweit arbeiten immer mehr Unternehmen in Remote Modellen, weshalb auch die Nutzung von Cloud-Computing-Diensten stark zugenommen hat. Diese bieten eine Reihe von Vorteilen – Skalierbarkeit, Effizienz und Kosteneinsparungen, um nur einige zu nennen. Doch sie sind auch bevorzugtes Ziel von Cyberkriminalität. Falsch konfigurierte Einstellungen sind eine wesentliche Ursache für Datenschutzverletzungen und unbefugten Zugriff. Die durchschnittlichen Kosten einer Datenschutzverletzung betragen fast vier Millionen US-Dollar, daher müssen Unternehmen dringend Massnahmen ergreifen, um Cloud-Bedrohungen zu minimieren. Stellen Sie also sicher, dass Sie alle gesetzlichen Vorschriften einhalten und ziehen Sie bereits bei der Einbindung von Cloud-Systemen Experten hinzu.
Neue Trends der Cyber Security
Natürlich gibt es nicht nur bereits bekannte Faktoren. Jede Entwicklung der digitalen Transformation fördert auch neue Angriffsflächen zutage. Nachfolgend haben wir Ihnen die wichtigsten Trends der IT-Sicherheit und die damit verbundenen Risiken näher erläutert:
Automotive Hacking
Alles wird smarter: vom Mobiltelefon, zur Uhr und dem Haus. Immer häufiger wird auch das Auto mit mehr und mehr digitaler Technik ausgestattet. Intelligente Sprachsteuerungen, Navigationsgeräte und weiteres bieten Vorteile für Fahrerinnen und Fahrer, doch gleichzeitig bieten sie Schwachstellen.
Das sogenannte Automotive Hacking beschreibt das Eindringen in die sensiblen technischen Daten eines Fahrzeugs. Wo früher noch ein physischer Zugang nötig war, kann man heutzutage über das technische Netzwerk auch kabellos Zugriff auf das Auto erlangen. Jedes System in einem Fahrzeug, das mit dem Internet, einer Flottenmanagement-Software oder einer Ladeinfrastruktur verbunden ist, ist ein potenzieller Angriffspunkt. Um sich vor solchen Angriffen zu schützen, bedarf es Profis der Branche – spezielle Teams, die mit Sicherheitsanalysten besetzt sind. Denn bisher gibt es noch keine klassischen Firewalls und Virenscanner für Fahrzeuge, wie wir sie vom Computer gewohnt sind.
Einsatz von KI gegen Cyberangriffe
Künstliche Intelligenz ist die Zukunft der Cybersecurity. Warum genau können Sie in diesem Blogbeitrag nachlesen. Es ist also kein Wunder, dass wir es auch unter den Cyber Security Trends 2023 aufführen müssen. Die generative KI wird sich bei Sicherheitstools immer mehr durchsetzen. Auf der Grundlage neuronaler Netze kann sie dabei helfen, wichtige Netzwerkanomalien, Risiken und Muster zu erkennen, die einem Menschen entgehen könnten.
Datenschutz
Cyberangriffe führen vor allem dazu, dass Millionen personenbezogener Daten offengelegt werden. Daher ist Datenschutz auch im Jahr 2023 ein wichtiges Thema, bei dem man stets up to date sein muss. Vor allem die EU-DSGVO führte zu strengeren Datenschutzgesetzen. Sobald Daten in oder aus der EU gebracht werden, müssen diese Gesetze beachtet werden. Organisationen, die Vorschriften und Verbrauchererwartungen nicht einhalten, laufen Gefahr, Geldstrafen, schlechte Publicity und Vertrauensverlust der Kunden zu riskieren. Stellen Sie also sicher, dass Ihr Unternehmen über einen Datenschutzbeauftragten verfügt. Darüber hinaus sollten Sie rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung (s.o.) einführen sowie Verschlüsselungen während der Übertragung und im Ruhezustand. Ebenfalls ratsam sind Netzwerksegmentierung und externe Berater, die Ihnen helfen, Bereiche mit Verbesserungspotenzial zu identifizieren.
IoT – Internet of Things
IoT-Geräte sind jegliche Apparate, welche über einen Zugang zum Internet verfügen. Von intelligenten Wearables bis hin zu Haushaltsgeräten, Autos, Gebäudealarmsystemen und Industriemaschinen kann das vieles umfassen. Sie werden zwar nicht direkt zur Speicherung kritischer Daten verwendet, doch häufig aus eben jenem Grund nicht ausreichend mit Sicherheits-Patches und Updates geschützt. Aufgrund vermehrter Angriffe auf Smarte Geräte hat sich dies jedoch geändert und bleibt weiterhin ein Trend-Thema für 2023. Weitere Massnahmen sollen darauf abzielen, die Sicherheit von vernetzten Geräten sowie von Cloud-Systemen und Netzwerken, die sie alle miteinander verbinden, zu erhöhen. Dazu gehört ein von den USA geplantes Kennzeichnungssystem für IoT-Geräte, um den Verbrauchern Informationen über mögliche Sicherheitsbedrohungen durch Geräte zu liefern, die sie in ihre Häuser bringen. Auch neue technologische Entwicklungen, wie die Blockchain-Technologie, können dabei helfen, IoT-Geräte sicherer zu machen, wie wir in diesem Blogbeitrag näher beleuchten.
Zero-Trust-Architektur und Cyber-Resilienz
Experten gehen davon aus, dass die Bedeutung von Zero-Trust-Modellen als Mittel zur Validierung des Zugriffs und zur Verbesserung der Sicherheit zunehmen wird. Das Zero-Trust-Modell beschreibt eine besondere Art der Informationssicherheit, bei der jeder Endpunkt, unabhängig von der Vertrauensstufe oder Identität, gleichwertig behandelt und anfänglich mit Vorsicht bedacht wird. Dadurch stoppt man Angreifer und Ransomware frühzeitig davor, in Ihre IT-Umgebung einzudringen. Solche Vorsichtsmassnahmen nennt man auch Cyber-Resilienz: Eine einzige Cyberattacke darf nicht die Funktionsfähigkeit der gesamten Organisation bedrohen. Vor allem die gefährlichen Ransomware-Angriffe können in Organisationen, welche diese Punkte integrieren, keinen wirklichen Schaden anrichten.
Policy-as-Code in die Cybersicherheitspraktiken einbinden
Datenschutz kann nicht nur Vertrauenssache sein. Daher empfehlen Sachverständige, Richtlinien-Einhaltungen zu automatisieren. Das nennt sich Policy-as-Code. Mithilfe von Tools wie Microsoft Azure werden Business-Prozesse, Sicherheitsrichtlinien oder auch Compliance-Vorgaben in Software-Code überführt und somit die Prozesse beschleunigt und optimiert. Automatisch werden die Richtlinien dann im Hintergrund geprüft und durchgesetzt.
Transparenz über Cybersicherheitspraktiken gegenüber Kunden
Neben Mitarbeitenden in Ihrem Unternehmen müssen auch Ihre Kundinnen und Kunden über Ihre Cybersecurity Massnahmen informiert werden. Transparenz wird immer wichtiger und trägt zu Ihrer Vertrauenswürdigkeit bei. Da Datenlecks immer mehr an die Öffentlichkeit gelangen, müssen Firmen in ihrer Kommunikation transparenter werden, anstatt zu versuchen, den Vorfall herunterzuspielen oder zu verbergen. Gibt es Probleme, müssen diese offen an Kunden kommuniziert werden, ebenso wie die nachfolgenden Schritte und Lösungsansätze. Haben Sie keine Angst vor dieser Offenheit – Ihre Kundschaft wird dies zu schätzen wissen und eher bereit sein, mit Ihnen Geschäfte zu machen.
Quantum Computing als Lösung
Quantencomputer versprechen eine nie dagewesene Rechenleistung. Es werden weniger Ressourcen benötigt, um grosse Massen an Informationen verarbeiten zu können. Noch sind sie Zukunftsmusik und auf einer breiteren Ebene nicht erhältlich, doch sobald sie allgemein einsatzbereit sind, läutet dies ein neues Zeitalter der Informationstechnik ein.
Dieser bahnbrechende technologische Fortschritt wird Risiken mit sich bringen, da Quantenrechner das Potenzial haben, derzeit standardmässig genutzte Public-Key-Kryptographie Verfahren zu umgehen. Doch genauso können sie auch die Lösung für solche Probleme sein (ähnlich wie bei der KI). Betrachten wir Cybersecurity Lösungen wie die Blockchain und Machine Learning, welche viel Rechenleistung benötigen, kann Quantum Computing von grossem Vorteil sein.
Fazit
Auch im Jahr 2023 wird das Thema Cybersecurity zu den wichtigsten für KMU gehören. Ist Ihr Unternehmen schon für alle Eventualitäten gerüstet? Unsere neuesten Cyber Security Trends zeigen auf, welche Risiken und Sicherheitsmassnahmen Sie sich für das neue Jahr genauer anschauen sollten. Besonders deutlich wird, dass bisher scheinbar unerkannte Lücken zum Problem werden können, da die Technik um uns herum immer smarter und damit auch anfälliger wird. Egal ob Fahrzeug oder andere Geräte mit Zugang zum Internet, windige Hecker können überall eine Lücke finden, wenn man nicht vorsichtig ist. Und genau hier muss man ansetzen: Wappnen Sie sich und Ihre Firma mit neuesten Technologien, wie dem Einsatz von KI, Zero-Trust-Modellen und weiteren Cybersicherheitspraktiken.
Die Welt der Cybersicherheit ist gross und komplex. Nicht immer ist man vor einer Krise sicher. Wie Ihr Unternehmen mit einem Konzept des Business Continuity Systems während eines Notfalls weiterlaufen kann und was genau darunter zu verstehen ist, erfahren Sie in unserem Blogbeitrag Business Continuity: Geschäftsführer brauchen einen Krisen-Plan.
Kein Grund zum Zweifeln! Als Cyber Security Experten mit ISO 27001 und CISSP Zertifizierung können wir Ihnen diverse Security Services anbieten, sodass Sie sich ganz entspannt um Ihr Kerngeschäft kümmern können.