IT-Security

Diese Sicherheitstrends müssen Sie im Auge haben

12.08.2021
Von Redaktion Computerwoche und Redaktion CIO
Mit der Digitalisierung wächst die Anfälligkeit der Unternehmen für IT-Sicherheitsprobleme. Wir nennen zehn technologische Entwicklungen, die den Betrieben zu mehr IT-Sicherheit verhelfen können.
Forrester hat zehn Technologietrends ermittelt, die Ihnen dabei helfen, Ihre Daten und Systeme vor unbefugtem Zugriff zu schützen.
Forrester hat zehn Technologietrends ermittelt, die Ihnen dabei helfen, Ihre Daten und Systeme vor unbefugtem Zugriff zu schützen.
Foto: SWEviL - shutterstock.com

Viele Jahre haben sich Unternehmen in einer Welt bewegt, in der IT-Sicherheit als kostspieliges und nicht-strategisches Anhängsel gesehen wurde. Die Betriebe waren darauf ausgerichtet, im Notfall möglichst schnell reagieren zu können. Inzwischen gibt es aber Technologieentwicklungen, die den Spieß umdrehen und den Betrieben helfen, das SicherheitsthemaSicherheitsthema proaktiv anzugehen. Sie können sensible Daten und Systeme heute in verschiedenen Umgebungen absichern und auch während der Nutzung schützen. Hier sind zehn wichtige Trends dazu, die die Analysten von Forrester identifiziert haben. Alles zu Security auf CIO.de

1. Integrierte Sicherheitslösungen

Mit dem Fortschreiten der digitalen Transformation in den Betrieben gewinnen integrierte Sicherheitslösungen an Bedeutung. Chief Information Security Officers (CISOs) nutzen sie, um ihre Zero-Trust-Sicherheitsstrategie voranzutreiben. Vor allem die Hyperscaler Amazon Web Services (AWS), Microsoft und Google Cloud bieten immer bessere fest eingebaute Sicherheitsfunktionen in ihren Cloud-Angeboten, Betriebssystemen, Container-Plattformen und sonstigen Angeboten. Dabei geht es um integrierte Tool-Sammlungen, mit denen Anwender Angriffen vorbeugen sowie Sicherheitsvorfälle entdecken und beseitigen können, ohne dafür Geschäftsprozesse unterbrechen zu müssen.

Auch die großen IT-Security-Anbieter, etwa Broadcom, Palo Alto Networks oder Trend Micro, warten mit integrierten Sicherheitsangeboten auf. Für CISOs bedeutet das, sie können mit diesen Ökosystemen die Zahl ihrer Security-Anbieter reduzieren. Die Argumente für solche integrierten Pakete sind geringere Kosten, das einfachere Management und die Ausbaufähigkeit.

Forrester empfiehlt Anwendern, sich mit solchen Lösungen zu beschäftigen und ihre gegenwärtigen Anbieter von Einzellösungen herauszufordern. Sie sollten zumindest ihr Portfolio an Einzel-Tools erklären und das Zusammenspiel ihrer Produkte mit den marktführenden integrierten Ökosystemen darstellen können. Hilfreich könne auch ein Abgleich der genutzten Produkte mit einem möglichen Zero-Trust-Technologieansatz sein, um Lücken in der eigenen Organisation zu entdecken.

Die Analysten empfehlen, sich für die dezentrale Zero-Trust-Umgebung eines Technologiepartners zu entscheiden, der ein funktionsfähiges Integrations-Ökosystem mitbringt, das neue Produkte und auch bereits getätigte Investitionen unterstützt. Werden viele Einzellösungen eingesetzt, sollten die Verantwortlichen begründen können, warum das so ist und inwieweit sich diese Werkzeuge in eine Zero-Trust-Plattform einfügen.

2. Die Transformation von SOC-Lösungen

Security-Operations-(SecOps-)Lösungen unterstützen die Teams in den Security Operations Centers (SOCs), indem sie Sicherheits- und betriebliche Daten kombinieren, um Bedrohungen zu erkennen, zu priorisieren und schnell zu reagieren. Solche konsolidierten Lösungen für den Sicherheitsbetrieb gibt es entweder als Security-Analytics-Plattformen oder als Extended-Detection-and-Response-(XDR)-Systeme zu kaufen.

Laut Forrester haben SIEM-Systeme (Security Information and Event Management) nie wirklich gehalten, was sie versprochen haben. Obwohl seit zwei Jahrzehnten im Markt, hätten diese Paket-Bundles nie den Beweis erbracht, dass sie wirklich kritische Funktionen des Sicherheitsbetriebs beherrschen - etwa das Erkennen und Untersuchen von Vorfällen oder das schnelle Reagieren auf Angriffe.

In den vergangenen zwölf Monaten gaben den Analysten zufolge 59 Prozent der Teilnehmer einer Umfrage an, in ihren Betrieben einen oder mehrere Sicherheitsvorfälle erlebt zu haben. Dabei haben die vorhandenen Sicherheitstechnologien dem SOC-Personal nicht die nötige Transparenz, Effizienz und Automatisierung an die Hand gegeben, um ihre Unternehmen auf hohem Niveau zu schützen. Immerhin seien die funktionalen Lücken in den SOC-Werkzeugkästen kleiner geworden. Auf Seiten der Sicherheitsanalyse-Plattformen trugen neue Technologien und die Marktkonsolidierung dazu bei, dass Security Analytics, Security Orchestration, Security Automation und Response (SOAR) und SIEM zusammenwachsen konnten.

XDR bedeutet laut Forrester nun allerdings einen Paradigmenwechsel für den Sicherheitsbetrieb. Es baut auf Endpoint-Detection- und Response-Tools auf und verhilft SOC-Teams zu detaillierten Alarmen mit vielen wichtigen Informationen. Hinzu kommen Telemetriedaten von traditionelleren Sicherheitskontrollen wie Netzwerkanalyse und -transparenz oder E-Mail-Sicherheit. Damit wird der Kontext, in dem Alarme verstanden und eingeordnet werden können, besser erfasst.

Es sei aber noch zu früh, ganz auf SIEM zu verzichten, sagen die Analysten. Zwar sei XDR mit seinem Fokus auf den Endpunkt als SOC-Plattform der Zukunft gesetzt und die Systeme lieferten aussagekräftige Telemetriedaten bezüglich der Alarme, so dass sich die Sicherheitsprofis ein genaueres Bild vom gesamten Kontext machen könnten. Dadurch werde das typische SIEM-Problem "viele Daten, wenige Erkenntnisse" vermieden. Doch mit langfristiger Protokollarchivierung und Compliance-Reporting böten SIEM-Systeme immer noch einige Funktionen, die über die XDR-Fähigkeiten hinausgehen.

Gerade das Compliance-Reporting wird demnach dafür sorgen, dass SIEM nicht so schnell verschwindet. Forrester empfiehlt Anwendern, Detection- und Response-Roadmaps auf der Basis von XDR zu erstellen. Es sei zu erwarten, dass Standalone-Lösungen für Sicherheitsanalyse und SOAR innerhalb von zwölf bis 18 Monaten durch XDR verdrängt würden. Reine Plattformen für die Sicherheitsanalyse könnten binnen zwei Jahren verschwinden - sofern sich die Anbieter nach den Wünschen ihrer Kunden richteten.

3. Verteidigung der Software Delivery Pipeline

Die berüchtigte Sicherheitslücke bei SolarWinds hat die Sicherheitsbranche auf die Risiken einer ungeschützten Software-Delivery-Pipeline aufmerksam gemacht. Heute schauen die Experten genauer darauf, wie sie ihre Entwicklungsumgebungen absichern können. SolarWinds hatte Schlagzeilen gemacht: Über eine Hintertür in der Netzwerk-Management-Software "Orion" waren Kriminelle in die Netze von Firmen wie FireEye, Microsoft und US-Behörden eingedrungen.

Doch der Vorfall deckte nur eines der Risiken in der Software-Lieferkette auf. Erst kürzlich demonstrierte ein Sicherheitsforscher, wie leichtfertig viele Unternehmen manipulierte Versionen von Updates für ihre gängige Standardsoftware akzeptieren. Dabei bleiben dann anfällige Open-Source-Komponenten in Anwendungen unverändert, sie werden trotz verfügbarer Patches nicht auf den neuesten Stand gebracht. Das eröffnet potenziellen Angreifern einen einfachen Zugang.

Es ist noch gar nicht so lange her, als Equifax unfreiwillig Millionen von Sozialversicherungs-Nummern preisgab, weil Hacker eine bekannte Sicherheitslücke in einer Open-Source-Bibliothek ausgenutzt hatten. Es gilt also für Unternehmen, Sicherheitslücken in der Software-Lieferkette zu schließen, möglichst ohne dass die Entwicklungsteams in ihrer Arbeit gebremst werden.

Sicherheitsverantwortliche und Entwickler müssen hier zusammenarbeiten, um Prozess- und Software-Schwachstellen zu schließen, bevor diese die Produktsicherheit gefährden. Forrester empfiehlt beiden, die Analyse der Softwarekomponenten in die Entwicklungs-Pipeline einzubauen, um die verwendeten Open-Source-Produkte und Third-Party-Bibliotheken zu prüfen. Es gilt Schwachstellen zu beseitigen, die das Produkt beeinträchtigen könnten.

Zudem sollten Softwareanbieter, auch solche mit Open-Source-Produkten, ihren Code signieren, und die Signaturen sollten verifiziert werden. Unternehmen sollten ferner ihr identitäts- und Zugangsmanagement (IAM) auf die CI/CD-Pipeline (CI/CD = Continuous Integration/Continuous Delivery)ausdehnen, indem Sie Zugriffsberechtigungen für Quellcode und Build-Umgebungen vergeben. Sinnvoll ist es auch, Quellcode-Repositories mit Paket-Management- und Auditing-Funktionenauszustatten, um unerwartete Quellcode-Ergänzungen oder Änderungen in Binärdateien aufspüren zu können. Und schließlich sollten die Betriebe auf neue Forschungsergebnisse und Empfehlungen zu Problemen in der Lieferkette achten.

4. Neue Chancen für digitale Identitäten

Digitale Identitäten lassen sich mit PKI-Signaturen (= Public Key Infrastructure) und anderen elektronischen, auf Berechtigungsnachweisen basierenden Ökosystemen schaffen. Bei zentralisierten digitalen Identitäten - zum Beispiel bei behördlich ausgestellten Ausweisen oder einem Login via Facebook - verifiziert ein sogenannter "Issuer", also eine Art Aufpasser, die Nutzeridentität und stellt dann einen digitalen Identitätsnachweis beziehungsweise ein signiertes elektronisches Dokument aus. Damit kann sich der Benutzer gegenüber dem Aussteller authentifizieren.

Beim Schema der dezentralen digitalen Identität (DDID) kann der Benutzer den digitalen Nachweis seiner Identität einer Prüforganisation anvertrauen, die Von Ausstellern unabhängig ist. Die Organisation kann die Signatur und den Hash des digitalen Identitätsnachweises in einem digitalen Hauptbuch (Digital Ledger) überprüfen.

Digitale Identitäten und DDID haben das Potenzial, das Trust-System zu verändern und zu stärken. Das betrifft nicht nur den Datenaustausch zwischen Menschen, sondern auch zwischen Maschinen, Geräten und Organisationen. Ein Vorteil liegt darin, dass Benutzer ihre Identität oder Berechtigung auch an ganz bestimmten Einzelmerkmalen nachweisen können, ohne unnötige Informationen preiszugeben. Forrester nennt das Beispiel des Mitarbeiters eines Spirituosengeschäfts, der das Alter eines Kunden überprüfen kann, ohne dass dieser seinen Personalausweis mit Daten vorlegen muss, die den Verkäufer nichts angehen - etwa Name, Adresse oder detailliertes Geburtsdatum.

Digitale Identitäten verbessern also die Privatsphäre der Benutzer und sind besonders sicher, da es im Idealfall keine zentralen Stellen gibt, an denen die Daten liegen und die von Hackern angegriffen werden können. Sie unterstützen eine einfache und schnelle Überprüfung der Benutzeridentität und ermöglichen auch größere Transaktionen mit hohem Risiko und Wert. Ein Vorteil für Unternehmen wie für Privatpersonen besteht in der Abschaffung der anfälligen Passwort-basierten Authentifizierung. Forrester empfiehlt Unternehmen, Use Cases für verifizierte digitale Identitäten zu finden. Die Vorteile dürften in einfachen und sicheren Abläufen bestehen, gegebenenfalls auch in einer engeren Kundenbindung.

Bereits heute gibt es eine ganze Reihe von Lösungen im Markt, etwa von 1Kosmos, Evernym, GlobaliD, IBM, Jumio, Microsoft und anderen. Sie bieten Tools an, die auf dem Standard Decentralized Identifiers (DIDs) v1.0 basieren. Anbieter wie Bonifii/CULedger und Workday bieten auch branchenspezifische Trust-Ökosysteme an, vorwiegend in den Bereichen Gesundheitswesen, Finanzdienstleistungen und Bildung. Sicherheitsprofis sollten mit DDID-Anbietern zusammenarbeiten, um Use Cases für Identitätsausstellung und -verifizierung zu definieren und sicherzugehen, dass der Aufbau ihrer DDID-Lösung mit den relevanten Standards (DIDS) konform ist. Insgesamt sei jedoch gerade die DDID-Welt noch relativ unreif, warnen die Forrester-Analysten vor allzu großem Vertrauen in diese Sicherheitstechnik.

5. Neue Technologie für Cloud Governance

Unter den Begriff Cloud Governance fallen verschiedene Technologien, darunter Cloud Security Posture Management (CSPM), Cloud Identity Governance und SaaS-basiertes Security Posture Management. CSPM-Instrumente helfen, eine Cloud-Umgebung auf der Grundlage bekannter Sicherheitsrisiken und Best Practices zu überwachen. Sie können Fehlkonfigurationen, Schwachstellen in Anwendungen und Compliance-Verstöße aufspüren. Manche Lösungen warnen nur, wenn ein Sicherheitsrisiko gefunden ist, andere bringen Tools mit, um Fehler automatisch zu beheben. Cloud Governance verfolgt außerdem das Ziel, Konfigurationen manipulationssicher zu machen und die Kosten der in der Cloud bereitgestellten Infrastruktur zu beherrschen.

Ein wesentliches Problem in der Coud besteht in den immer komplexeren SaaS- und IaaS-Landschaften. Weil die Menschen die Sicherheitsprobleme nicht mehr richtig verstehen, können sie auch nur unzureichend darauf reagieren. Oft betreiben auch kleine Betriebe Hunderte oder sogar Tausende von Workloads in der Cloud. Sie werden in der Regel mithilfe eines integrierten CI/CD-Pipeline-Tools erstellt, konfiguriert und bereitgestellt. Das Verstehen und Kontrollieren aller Konfigurationsänderungen ist ein Muss: Unsichere und von Hackern veränderte Cloud-Konfigurationen setzen Unternehmen erhöhten Bedrohungen aus.

Forrester empfiehlt daher, die Möglichkeiten der Automatisierung und der integrierten Funktionen zu nutzen, um das Management zu vereinfachen. Ein erster Schritt ist die Automatisierung von Workload-Build-outs und Deployments mithilfe von CI/CD-Tools wie Chef, Puppet, Terraform etc. Zumindest sollten Anwender aber AWS-Tools wie CloudTrail und Resource Access Manager oder die entsprechenden integrierten CSPM-Funktionen von Google Cloud Platform und Microsoft Azure Security Center verwenden. Wer eine Multi-Cloud-Umgebung nutzt, sollte spezialisierte Produkte von Drittanbietern wie Check Point, Palo Alto Networks oder Trend Micro in die Instanz-, Speicher- und Netzwerk-Build-Pipeline und die tägliche Konfiguration der verwendeten IaaS-Plattformen einbinden.

6. Zero Trust Edge führt Netz- und Sicherheitsinfrastruktur zusammen

Zero Trust Edge (ZTE) ist ein Sicherheitsansatz, bei dem im Internet-Datenverkehr entfernte Standorte (Edge Computing) über Zero Trust Network Access (ZTNA) angebunden werden. Das Verfahren nutzt Cloud-basierte Sicherheits- und Netzwerkdienste. ZTE-Netzwerke sind von überall aus zugänglich, Teile des Internets werden gewissermaßen mit dem ZTNA überspannt, um Benutzer und Geräte bei der Verbindung zu authentifizieren.

Früher war das Netzwerk im Rechenzentrum, in der Unternehmenszentrale oder in der Niederlassung verortet, dort war dann auch die Sicherheit angesiedelt. Spätestens als die Pandemie viele Bürobeschäftigte ins Home-Office verbannte, ließen die Mitarbeitenden die - via Next Generation Firewall gesicherte - Grenze ihres Unternehmens hinter sich. Unternehmen sahen drei Möglichkeiten, Sicherheit zu gewährleisten: Sie verlangten von den Remote-Usern, sich per VPN mit dem Unternehmensperimeter zu verbinden, sie lieferten den Mitarbeitenden Sicherheit aus der Cloud - oder sie taten gar nichts.

In Zukunft werden die Belegschaften weiter verteilt arbeiten. Deshalb gilt es nun, sich alle geschäftskritischen und auch alle anderen Anwendungen genau anzuschauen - und zwar nicht nur die Web-Applikationen, sondern auch RDP-, VDI-, VoIP/SIP-Umgebungen und Entwicklerdienste. Für On-Premises-Services sollten Unternehmen nach Lösungen suchen, die eine Zero-Trust-Netzwerkzugangs-Komponente in Verbindung mit einem aus der Cloud bereitgestellten, sicheren Web-Gateway umfassen - für Remote Worker genauso wie für Beschäftigte in den Unternehmensbüros.

Zudem sollten die Betriebe ihre Niederlassungen auf ein Modell umstellen, das
SD-WAN as a Service beinhaltet, und sie sollten Mehrfaktor-Authentifizierung (MFA) für alle einführen. Es wird noch Jahre dauern, große Krankenhäuser, Fabriken und Rechenzentren mit einem Zero Trust Edge zu verbinden und zu schützen. Doch gehandelt werden muss jetzt schon: Der anzustrebende Endzustand besteht dann darin, den gesamten Datenverkehr durch ein eigenes Netzwerk oder das eines vertrauenswürdigen Edge-Networking-Anbieters zu lenken sowie über die Cloud bereitzustellen und zu verwalten.

7. OT-Sicherheit rückt in den Mittelpunkt

Industrieunternehmen, Energieerzeuger und Versorgersind dabei, ihre OT-Netzwerke (Operational Technology) mit Sensoren und anderen Komponenten zur Datenerfassung auszustatten. Ziel ist es, effizienter zu werden und die Kundenerfahrung zu verbessern, doch diese Betriebe erhöhen damit auch die Risiken und verbreitern ihre Angriffsfläche durch Remote-Verbindungen.

CISOs stehen oft ratlos vor dem Problem: Sie sollen Cyberrisiken in industriellen Umgebungen managen, bekommen aber oft keinen Einblick in die Abläufe und finden zudem keinen Draht zu den Technikern. In manchen Branchen, etwa den Öl- und Gaskonzernen, die oft durch Übernahmen gewachsen sind, ist die Heterogenität der in den OT-Umgebungen verwendeten Geräte und Protokolle hoch. Das macht es schwierig, konsistente Sicherheitstransparenz in Echtzeit zu erreichen. Da aber die Bedrohungen und Angriffe zunehmen, werden Investitionen in OT-Sicherheitstechnologien immer wichtiger.

Das zentrale Problem besteht darin, dass Unternehmen die OT - zum Beispiel in Form industrieller Steuerungs- oder Gebäudemanagement-Systeme - immer als eine von der IT getrennte Domäne behandelt haben. Zuständig für OT waren die Produktions- und Operations-Bereiche. Das mag für den laufenden Betrieb sinnvoll gewesen sein, für die Cybersicherheit stellte es ein Problem dar.

In den IT- und OT-Netzwerken gibt es heute große Unterschiede. Strategien und Kontrollen der Unternehmens-IT-Strategien lassen sich nicht eins zu eins auf die OT übertragen. Damit entstehen Risiken für die Produktions- und Prozesszuverlässigkeit, manchmal auch für die Sicherheit der Beschäftigten, wenn etwa aufgrund von Sicherheitsvorfällen Produktionsanlagen plötzlich abgeschaltet werden müssen. Wie dramatisch so etwas ausgehen kann, zeigte kürzlich der Angriff auf Colonial Pipeline, in dessen Folge das US-Unternehmen eine große Benzin-Pipeline aufgrund eines Ransomware-Angriffs abschalten musste.

Unternehmen sollten explizit nach Sicherheitslösungen für OT und ICS-Umgebungen (ICS = Industrial Control Systems) suchen, zum Beispiel von Firmen wie Claroty, Dragos oder Nozomi Networks. Diese Anbieter bieten Asset-Erkennung, Schwachstellenbewertung und das Fixen von Problemen. Die Angebote sind für OT-Umgebungen entwickelt und darauf abgestimmt worden.

Die Technologie ist aber nur die eine Seite des Problems. Die anspruchsvollere Aufgabe besteht darin, im Unternehmen die Reihen zu schließen und ein vertrauensvolles Verhältnis zwischen IT- und OT-Führungskräften aufzubauen. Nur so lassen sich Koordination und Zusammenarbeit im Sinne der Cybersecurity verbessern. Gemeinsam sollten die Verantwortlichen Pläne dafür entwickeln, wie sie auf einen Vorfall reagieren wollen. In regelmäßigen Übungen sollten IT- und OT-Teams die Vorgehensweisen testen und validieren. Es wird Zeit brauchen, die IT- und OT-Sicherheitssilos einzureißen. Um Sicherheit zu gewährleisten und ungeplante Abschaltungen zu verhindern, ist Zusammenarbeit unumgänglich.

8. Technologien zur Wahrung der Privatsphäre

Um gesetzliche Regelungen im Sinn der Compliance zu berücksichtigen, müssen Sicherheits-, Risiko- und Datenschutzexperten Prozesse entwickeln und Technologien einführen, die eine Risikobewertung, Transformation und schnelles Handeln in einem entsprechenden Kontext ermöglichen. Technologien wie Multiparty Computation (MPC), Federated Privacy, homomorphe Verschlüsselung und andere können helfen, den Schutz der Privatsphäre zu operationalisieren, ohne dass auf Datenanalyse verzichtet werden muss.

Diese Technologien sind nicht neu, aber sie sind inzwischen weitgehend darauf zugeschnitten, bestimmte Herausforderungen des Datenschutzes gezielt anzugehen. Damit wird es beispielsweise möglich, personenbezogene Daten für KI-Anwendungen bereitzustellen oder mit Geschäftspartnern für kollaborative Datenanalyse-Projekte zu teilen, ohne dass Datenschutzrechte verletzt werden.

Forrester fordert Profis im Bereich IT-Sicherheit und Risikomanagement auf voranzugehen, wenn es gilt, Innovationen rund um eine risikolose Datennutzung einzuführen. Egal ob Marketing- und Personalabteilungen, Data Scientists und Digitalisierungsbeauftragte - nahezu jedes Team im Unternehmen braucht für Analytics-Projekte auch persönliche Daten von Kunden oder Mitarbeitern. Fast immer geht es in den Vorhaben um KI und maschinelles Lernen. Auch das Teilen persönlicher Daten mit Geschäftspartnern und Anbietern ist ein wichtiges Thema - mit entsprechenden Risiken für Sicherheit und Datenschutz.

Forrester zitiert einen CIO aus dem Gesundheitswesen, der gesagt habe: "Ich muss meinen Data Scientists ermöglichen, ihre Arbeit zu erledigen, ohne im Gefängnis zu landen." Doch dazu braucht es datengetriebene Innovationen und einen sicheren, schnellen und vor allem gesetzeskonformen Datenzugriff. Gelingt es nicht, Daten auf sichere Weise für die Verarbeitung zugänglich zu machen, werden IT- und Datenmanagement-Teams ihre eigenen Maßstäbe an den Datenschutz anlegen, was erhebliche Risiken birgt. Noch schlimmer wäre es, wenn sie Projekte unter Missachtung des Datenschutzes vorantreiben würden.

Die Verantwortlichen sollten sich also bemühen, ein Ökosystem zu schaffen, in dem Risiken rund um die Verarbeitung von Daten bewertet und gesenkt werden können. Es darf nicht zu Diskriminierungen oder einer eingeschränkten Datenautonomie kommen, wenn Daten aufbereitet werden. Die Verantwortlichen sollten eng mit IT-, Data-Science- und Datenmanagement-Verantwortlichen zusammenarbeiten, damit es gelingt, datengesteuerte Innovationsprojekte kontinuierlich zu monitoren.

Für Unternehmen kann es sich auszahlen, ein Gremium aus Führungskräften verschiedener Abteilungen zu bilden, das von den Sicherheits- und Risikomanagement-Profis angeführt wird. Es sollte Richtlinien und Prozesse definieren und sich mit der Governance von Projekten beschäftigen, die personenbezogene Daten für die Verarbeitung mit neuen Technologien verwenden.

9. Confidential Computing - Schutz von Daten im Prozess der Verarbeitung

Die Sicherung von Daten während der Nutzung ist die nächste Herausforderung. Daten werden heute oft verschlüsselt gespeichert oder übertragen, doch während der Verarbeitung im Hauptspeicher sind sie ungeschützt. Dazu sind konventionelle Rechner auch gar nicht in der Lage. Hier setzt Confidential Computing an: Daten, Anwendungen und Workloads werden durch das Schaffen sicherer, isolierter Hardware-basierter Trusted Execution Environments (TEE) geschützt.

In eine ähnliche Richtung zielen homomorphe Verschlüsselung und Trusted Platform Modules (TPM), aber sie unterscheiden sich doch von TEEs. Confidential Computing sorgt einerseits für Vertraulichkeit und Integrität von Daten, andererseits werden auch Anwendungen und Workloads im Memory geschützt. Ein TEE garantiert, dass nicht nur die Daten, sondern auch die ausgeführten Rechenoperationen valide sind.

Für Unternehmen, die nicht nur Teil der Datenökonomie sind, sondern auch auf eine von Algorithmen gesteuerte Automatisierung setzen, kann das wichtig werden. Derzeit sind es vor allem die großen Banken, Telcos und Versorger, die sich mit Confidential Computing beschäftigen. Wichtige Use Cases sind eine hohe Sicherheit und Kontrolle bei der Nutzung von Public-Cloud-Angeboten, das Speichern und Verarbeiten von kryptographischen Schlüsseln, Berechtigungsnachweise und Token sowie das Analysieren von Multiparty-Daten, ohne die zugrundeliegenden Daten und Algorithmen offenlegen zu müssen.

Organisationen, die auf Public Clouds angewiesen sind oder sich auf dem Weg dorthin befinden, sollten diesen Ansatz erkunden. Noch wichtiger ist er für Betriebe, die einen hohen Nutzen aus KI-Modellen und Big-Data-Analysen ziehen und dafür auch Daten mit Dritten teilen wollen.

10. Mit Kryptoagilität fit für das Quanten-Zeitalter

Kryptographische Algorithmen altern immer schneller, was eine Herausforderung für Unternehmen darstellt. Sie müssen diese technologien schnell und flexibel austauschen können, um die Sicherheit aufrechtzuerhalten. Dabei sollten sich Code- und Infrastrukturänderungen in Grenzen halten.

Das Thema gewinnt laut Forrester in dem Maße an Dringlichkeit, in dem sich das Zeitalter des Quanten-Computing nähert. Die neue Technologie wird die Sicherheit klassischer PKI-Algorithmen wie RSA oder ECC ebenso wie digitale Signaturen - zum Beispiel DSA oder ECDSA aushebeln und Organisationen zwingen, zu neuen Quanten-Computing-fähigen Algorithmen zu migrieren.

Erste Produkte rund um Kryptoagilität schaffen es, klassische Schlüssel zu identifizieren und für einen schnellen Austausch zu "wrappen", oder Sie bieten Hardwaremodule an, die dies unterstützen. Unternehmen sollten sich damit beschäftigen, um die Umstellung auf Quantum-Computing nicht zu kompliziert werden zu lassen. Zwar wird es laut Forrester noch einige Jahre dauern, bis der Bedarf an "Post-Quantum-Kryptografie" (PQC) da ist, doch die Migration dorthin werde viel Zeit in Anspruch nehmen, weshalb Unternehmen schon jetzt beginnen sollten.

Wer hier die auf dem falschen Fuß erwischt werde, müsse irgendwann feststellen, dass seine sensiblen Daten nur mit schwachen Algorithmen geschützt und damit dem Risiko größerer Datenverletzungen ausgesetzt seien. die RSA- oder ECC-Schlüsselgrößen zu erhöhen, helfe vielleicht, ein wenig Zeit zu gewinnen, doch es handele sich um Notlösungen.

Moderne Quantencomputer werden viele Formen der asymmetrischen Verschlüsselung knacken können. Unternehmen sollten bedenken, dass kryptografische Algorithmen tief in Software eingebettet sind und ein Auswechseln einen Dominoeffekt von Inkompatibilitäten und Leistungsproblemen auslösen kann. Technologien der Kryptoagilität zielen darauf ab, diesen Wechsel nahtlos zu gestalten.

Forrester empfiehlt, sich an Anbieter zu wenden, die ein "Quantum Readiness Assessment" vornehmen können. Spezialisten wie InfoSec Global und große Beratungsunternehmen wie Accenture und IBM bieten solche Dienste an. Unternehmen sollten mit Produkten der Kryptoagilität experimentieren, um Erfahrungen zu sammeln. Wer mit Verschlüsselungsanbietern rund um PKI- und HSM-Infrastrukturen kooperiert, täte gut daran, diese nach ihren Plänen zur Unterstützung von Kryptoagilitätzu befragen. Zudem lohnt es sich, die Fortschritte und Zeitpläne des NIST-PQC-Standardisierungswettbewerbs im Auge zu behalten. (hv)

Zur Startseite