Nachdenken über die Prognosen zum Cybersicherheitstrend 2023: Ein Jahresrückblick

Letztes Jahr haben wir Vorhersagen darüber gemacht Cybersicherheitstrends, die das Jahr 2023 bestimmen würden. Jetzt, wo das Jahr zu Ende geht, ist es an der Zeit, auf diese Prognosen zurückzublicken und zu sehen, wo wir richtig lagen und wo wir möglicherweise das Ziel verfehlt haben.

Ganz klar ist, dass einige Trends zwar anhielten, andere jedoch unerwartete Wendungen nahmen. Unsere Vorhersage, dass Angriffe auf die Lieferkette weiterhin anhalten würden, erwies sich als besonders zutreffend bedeutende Vorfälle bei Capita, der britischen Polizei und 3CX gezeigt. Wie erwartet verstärkten sich auch der Aufstieg von IoT-Geräten und die Regulierung dieser Geräte.

Einige Trends, wie etwa der Vorstoß zur weltweiten Harmonisierung der Datenvorschriften, schritten jedoch nicht so schnell voran wie erwartet. Und die passwortlose Authentifizierung gewinnt zwar immer mehr an Bedeutung, ersetzt Passwörter jedoch immer noch nicht vollständig.

In diesem Blogbeitrag werden wir jeden Trend, den wir prognostizieren, noch einmal untersuchen und analysieren, wo die Dinge heute stehen. Durch die Überprüfung unserer Erfolge und Misserfolge möchten wir eine ehrliche Einschätzung der aktuellen Cybersicherheitstrends liefern und Unternehmen mit den Erkenntnissen ausstatten, die sie für die Vorbereitung auf das kommende Jahr benötigen.

Trend 1: Ein datenschutzorientierter Ansatz zur Informationssicherheit

Letztes Jahr prognostizierten wir, dass das Jahr 2023 einen datenschutzorientierten Ansatz für die Cybersicherheit einläuten würde, der vor allem durch strengere Datenschutzbestimmungen weltweit vorangetrieben wird. Diese Prognose erwies sich als richtig, da der Datenschutz zu einem zentralen Aspekt für politische Entscheidungsträger und Technologieführer wurde.

Große Plattformen wie Google haben tatsächlich zu datenschutzorientierten Modellen übergegangen – die Abschaffung von Drittanbieter-Cookies in Chrome und die Start der Privacy Sandbox-Initiative betonte die Privatsphäre der Benutzer. Auch wenn sie noch nicht perfekt sind, stellen diese Veränderungen einen gewaltigen Wandel für die Ad-Tech-Branche dar. Apple hat seine Datenschutzoffensive ebenfalls durch weitere Verbesserungen erweitert Transparenz bei der App-Verfolgung.

Der wachsende Flickenteppich an Datenschutzgesetzen zwingt Unternehmen auch dazu, dem Datenschutz Priorität einzuräumen. 

Europa

Datenschutz weiterhin der Maßstab für digitale Rechte. 

Sogar Gerichtsbarkeiten ohne spezifische Gesetze verspürten den Druck, sich an die DSGVO anzupassen, um den Datenfluss zu ermöglichen, wobei ein erheblicher Aufwand und Zeitaufwand für die Schaffung von Datenbrücken erforderlich war, um eine konforme Datenübertragung über geografische Grenzen hinweg zu ermöglichen. 

USA

Kalifornien war mit einem geänderten California Consumer Privacy Act, der 2023 in Kraft tritt, Vorreiter. Auch andere Bundesstaaten, darunter Virginia, Colorado, Utah und Connecticut, haben ihre eigenen Datenschutzgesetze erlassen. 

Auf Bundesebene Gesetzentwürfe des Kongresses wie der Data Care Act und der Online Privacy Act signalisieren einen umfassenderen Vorstoß zur Schaffung eines nationalen Datenschutzrahmens.

APAC

In China wurden detailliertere Inhalte Schritt für Schritt ausgerollt das Gesetz zum Schutz personenbezogener Daten (PIPL) mit Schwerpunkt auf Exportsicherheitsbewertungsverfahren und Standardvertragsklauseln (SCCs) für Datenexporte. Und Indiens vorgeschlagenes Gesetz zum Schutz digitaler personenbezogener Daten bewegte die Nadel in Asien. Während ihres Aufenthalts in Australien plante die Regierung eine Überarbeitung des Datenschutzgesetzes und schlug verschiedene Änderungen vor, um es zu modernisieren und im digitalen Zeitalter relevanter zu machen

Diese weltweite Ausweitung der Datenschutzgesetze machte die Einhaltung komplexer, stärkte jedoch die datenschutzorientierte Informationssicherheit.

Auch unsere Vorhersage zu Datenschutz-Frameworks hat sich bewahrheitet. Adoption von Standards wie ISO 27001 und ISO 27701 beschleunigte sich, da Unternehmen versuchten, ihre Datenschutzprogramme zu systematisieren. Diese Frameworks bieten hilfreiche Roadmaps für die Einführung von Datenschutzkontrollen und die Formalisierung des Datenschutzmanagements.

Obwohl Fortschritte erzielt wurden, entwickelt sich die Datenschutzlandschaft immer noch weiter. Einige Gesetze wie PIPL sind zwar in Kraft, entwickeln sich aber nur langsam weiter, und vielen Unternehmen fehlen immer noch ausgereifte Datenschutzprogramme. Die zunehmenden Datenschutzbestimmungen und die steigenden Erwartungen der Benutzer an die Datensicherheit haben jedoch dazu geführt, dass der Datenschutz ein vorrangiges Anliegen für Cybersicherheit und Unternehmensleiter ist – wer ihm im Jahr 2024 keine Priorität einräumt, läuft Gefahr, hinter Kollegen, Regulierungsbehörden und Verbraucher zurückzufallen. Ein „Privacy First“-Ansatz ist nicht mehr optional, sondern von grundlegender Bedeutung für Vertrauen und Erfolg in der digitalen Wirtschaft.

Trend 2: Globale Harmonisierung von Informationen, Datenschutz und Datenregulierung

Im vergangenen Jahr erwarteten wir eine zunehmende Dynamik hin zur grenzüberschreitenden Harmonisierung von Datenschutz- und Datenvorschriften. Ziel war es, die Compliance für weltweit tätige Unternehmen zu optimieren und die Interoperabilität zu verbessern. Die Komplexität der Vereinbarkeit unterschiedlicher Rechtsrahmen führte jedoch dazu, dass die Fortschritte an dieser Front gedämpfter ausfielen als erwartet.

Es wurden einige vorläufige Schritte unternommen, um die Vorschriften international anzugleichen. Initiativen wie das EU-US Data Privacy Framework Der Schwerpunkt liegt auf der Ermöglichung transatlantischer Datenströme durch gemeinsame Standards. APEC hat sein grenzüberschreitendes Datenschutzregelsystem weiterentwickelt, um die Jurisdiktionen im asiatisch-pazifischen Raum zu überbrücken. Zwischen den wichtigsten Datenschutzregelungen bestehen jedoch nach wie vor erhebliche Lücken.

Die DSGVO der Europäischen Union bleibt das umfangreichste Datenschutzgesetz weltweit. Bemühungen, andere Gerichtsbarkeiten im Hinblick auf die Angleichung an die DSGVO zu beeinflussen, haben zu gemischten Ergebnissen geführt. Gesetze wie Brasiliens LGPD orientierten sich an der DSGVO, andere Regionen entschieden sich jedoch für maßgeschneiderte Vorschriften. Und Länder wie Indien und China haben Gesetze zur Internet-Souveränität erlassen, die eine stärkere digitale Kontrolle durchsetzen.

Unterschiedliche nationale Interessen stellen eine entscheidende Herausforderung für die Harmonisierung dar. Regierungen betrachten Datenschutzgesetze oft als Wahrung der Souveränität und als Einschränkung des Einflusses von außen. Dies macht die Annäherung an ein einheitliches Regelwerk politisch schwierig. Auch konkurrierende Prioritäten rund um Privatsphäre und Wirtschaftswachstum erschweren den Konsens.

Auch wenn eine substanzielle weltweite Harmonisierung noch immer aussteht, können sich Unternehmen dennoch auf dieses komplexe Umfeld vorbereiten. Die Einhaltung anerkannter internationaler Standards und Rahmenwerke trägt dazu bei, die grundlegende Compliance in allen Gerichtsbarkeiten sicherzustellen. Die Investition in anpassungsfähige Data-Governance-Programme ermöglicht die Anpassung an neue Anforderungen. Und die Überwachung der rechtlichen Entwicklungen in den Zielmärkten ist unerlässlich, um dem sich entwickelnden Regime immer einen Schritt voraus zu sein.

Auch wenn der Weg zur Harmonisierung lang ist, könnte sich mit der Zeit eine Angleichung an die wichtigsten Datenschutzgrundsätze entwickeln. Aber die Verwaltung der Compliance über unterschiedliche Vorschriften hinweg wird wahrscheinlich auch im Jahr 2024 Realität bleiben.

Trend 3: Eine passwortlose Zukunft voraus

Letztes Jahr prognostizierten wir, dass es im Jahr 2023 zu einer verstärkten Einführung der passwortlosen Authentifizierung kommen würde, da Unternehmen versuchten, die Sicherheit und das Benutzererlebnis zu verbessern. Dieser Trend verlief weitgehend wie erwartet.

Große Technologieunternehmen haben durch aufsehenerregende Implementierungen dazu beigetragen, die passwortlose Zukunft voranzutreiben. Microsoft hat die kennwortlose Anmeldung für kommerzielle Azure Active Directory-Benutzer angekündigt. Nutzung von FIDO-Standards für die Multi-Faktor-Authentifizierung. Apple hat in iOS 16 und macOS Ventura Passkeys als sichere Alternative zu Passwörtern bereitgestellt. Auch Google, Facebook und andere haben die passwortlose Einführung ausgeweitet.

Die Reaktion der Verbraucher war weitgehend positiv, da passwortlose Systeme die Mühe beim Auswendiglernen von Anmeldeinformationen beseitigen. Für eine breitere Geschäftsakzeptanz werden diese Systeme jedoch oft mit strengeren Anforderungen zur Identitätsprüfung gepaart, die Sicherheit und Benutzerfreundlichkeit in Einklang bringen.

Unsere Prognose zur Integration der passwortlosen Authentifizierung mit Zero-Trust-Architektur und Identitätszugriffsverwaltung wahr gehalten. Da Unternehmen versuchen, Benutzeridentitäten über Netzwerke, Geräte und Umgebungen hinweg zu validieren, helfen Zero-Trust-Prinzipien dabei, den Zugriff zu schützen. Tools wie Single Sign-On und adaptive Multi-Faktor-Authentifizierung helfen bei der Verwaltung von Anmeldungen und verhindern gleichzeitig die Wiederverwendung von Anmeldeinformationen.

Allerdings bleiben Passwörter in vielen Systemen bestehen. Ältere Anwendungen und Dienste, denen moderne Authentifizierungsfunktionen fehlen, stellen ein Hindernis für den kompletten Verzicht auf Passwörter dar. Und die Kosten für die Überholung der alten Infrastruktur können die Einführung verlangsamen. Auch wenn der Trend zur passwortlosen Lösung anhält, ist der Tod des Passworts möglicherweise noch nicht ganz erreicht.

Im kommenden Jahr erwarten wir eine weitere Integration passwortloser Systeme mit mehrstufigen Identitätsmanagement-Schutzmaßnahmen. Unternehmen, die über Phishing-Risiken besorgt sind, könnten zunächst in Bereichen mit geringem Risiko die passwortlose Einführung testen. Und die Aufklärung der Benutzer wird von entscheidender Bedeutung sein, da die Passwortlosigkeit eine Veränderung des jahrzehntealten Anmeldeverhaltens darstellt. Doch bei kluger Anwendung können passwortlose und Zero-Trust-Strategien das Identitätsmanagement auf die nächste Stufe heben.

Trend 4: Das Supply-Chain-Problem bleibt bestehen

Letztes Jahr prognostizierten wir eine Intensivierung der Cyber-Angriffe auf die Lieferkette, da Bedrohungsakteure nach neuen Angriffspunkten suchten. Bedauerlicherweise hat sich diese Vorhersage vollständig bewahrheitet, und es kam zu erheblichen Zwischenfällen, die die anhaltende Anfälligkeit der Lieferkette verdeutlichen.

Mehrere namhafte Unternehmen wurden im Jahr 2023 Opfer raffinierter Lieferkettenangriffe, darunter BA, Boots und die BBC, die durch den Einsatz eines Dateiübertragungstools namens MOVEit durch ihre Lohn- und Gehaltsabrechnungsunternehmen angegriffen wurden. Auch der Technologieriese Okta erlitt durch einen externen Gesundheitsdienstleister einen Verstoß gegen die Daten von über 5,000 Mitarbeitern. Und Ransomware-Banden nehmen zunehmend Managed-Service-Provider ins Visier, um auf deren nachgelagerte Kunden zuzugreifen.

Diese Vorfälle verdeutlichen die Risiken übersehener Schwachstellen und übermäßigem Vertrauen in Partner. Als Reaktion darauf verstärkten Unternehmen ihre Cyberstrategien in der Lieferkette und führten Frameworks wie ISO 27001 und NIST ein, um umfassende Informationssicherheitskontrollen und -prozesse zu etablieren, die Interaktionen mit Dritten berücksichtigen; Dazu gehört die Implementierung regelmäßiger Sicherheitsüberprüfungen für Anbieter, die Priorisierung der Cloud-Sicherheit zur Abriegelung von Anbieterumgebungen und der Druck auf Managed-Service-Provider, ihren Kunden ihre Cyber-Bereitschaft zu demonstrieren.

Auch wenn es positive Fortschritte gibt, ist die Sicherheit der Lieferkette für viele Unternehmen immer noch in Arbeit. Kulturelle Veränderungen brauchen Zeit, da tief verwurzeltes Vertrauen zwischen Partnern nicht über Nacht abgebaut werden kann. Aber die Bedrohungen werden sich weiterentwickeln, sodass die Wachsamkeit in der Lieferkette nicht nachlassen darf.

Mit Blick auf die Zukunft gehen wir davon aus, dass Third Party Risk Management (TPRM)-Programme branchenübergreifend allgegenwärtig werden. Cybersicherheit wird bei Beschaffungsentscheidungen zunehmend eine Rolle spielen. Und die Überwachung der Anbieter wird durch Audits und obligatorische Offenlegungen verschärft. Auch wenn das Lieferkettenproblem im Jahr 2024 nicht verschwinden wird, müssen sich Unternehmen erneut mit diesen anhaltenden Bedrohungen auseinandersetzen.

Trend 5: Risikolandschaft im Internet der Dinge (IoT).

Letztes Jahr gingen wir davon aus, dass die Verbreitung von IoT-Geräten die Angriffsfläche für Unternehmen vergrößern würde. Diese Prognose wurde bestätigt, als sich das ungesicherte IoT als Achillesferse bei Cybervorfällen im Jahr 2023 herausstellte.

Angreifer zielen regelmäßig auf anfällige IoT-Geräte ab, um Zugriff auf das Netzwerk zu erhalten. Die Log4j-Schwachstellen in IoT-Systemen wurden ausgenutzt, um Krypto-Miner einzusetzen. Ungeschützte IoT-Geräte im Gesundheitswesen wurden kompromittiert, um Patientendaten zu stehlen. Bei DDoS-Angriffen wurden schlecht gesicherte IoT-Kameras und Router ausgenutzt, um die Opfer zu überfordern.

Als Reaktion darauf gewannen in diesem Jahr lang erwartete IoT-Sicherheitsvorschriften weltweit an Bedeutung. Der Cyber ​​Resilience Act der EU wird ab 2024 grundlegende IoT-Sicherheitsstandards vorschreiben. Die USA, Großbritannien und andere verfolgen ähnliche Regeln, um IoT-Schwachstellen zu schließen. Ziel dieser Gesetze ist es, die Verbreitung nicht konformer Geräte einzudämmen.

Auf Unternehmensseite beeilten sich die IT-Teams, die angeschlossenen Anlagen zu inventarisieren, die Firmware der IoT-Geräte zu aktualisieren und den Datenverkehr in IoT-Umgebungen zu überwachen. Die Segmentierung von IoT-Netzwerken trug dazu bei, die seitliche Bewegung nach der Infiltration zu begrenzen. Doch für viele erschwerte das unbekannte und unkontrollierte Ausmaß des IoT eine rechtzeitige Abhilfe.

Während Regulierungsbehörden und Unternehmen an der Bewältigung von Risiken arbeiten, nimmt die IoT-Integration weiterhin rasant zu. Gartner prognostiziert, dass es bis 30 über 2025 Milliarden IoT-Geräte geben wird, gegenüber 11.4 Milliarden im Jahr 2021. Diese massive Erweiterung der IoT-Landschaft wird selbst die robustesten Gerätesicherheitssysteme vor Herausforderungen stellen.

Wir gehen davon aus, dass das IoT-Sicherheitsmanagement im Jahr 2024 zu einem speziellen Schwerpunktbereich wird. Unternehmen werden IoT-Sichtbarkeit nutzen und auf Tools zugreifen, um der Geräteausuferung Einhalt zu gebieten. Und immer mehr Unternehmen werden nach Plattformen suchen, die das Asset-Management und die Bedrohungserkennung in komplexen IoT-Ökosystemen vereinfachen. Doch um diese immer größer werdende Angriffsfläche einzuschränken, sind energische und koordinierte Anstrengungen erforderlich.

Trend 6: Den Mangel an Cybersicherheitskompetenzen kreativ bewältigen

Letztes Jahr haben wir vorausgesagt, dass kreative Ansätze entstehen würden, um den Fachkräftemangel im Bereich Cybersicherheit zu bewältigen, der die Sicherheitsteams einschränkt. 

Da Cyber-Rollen nach wie vor chronisch unterbesetzt sind, wurden Unternehmen bei der Suche nach Talenten tatsächlich kreativ und rekrutierten Mitarbeiter aus angrenzenden Bereichen wie IT, Compliance und Technik, um auf ungenutzte Talentpools zuzugreifen. Ausbildungsprogramme halfen dabei, interessierte Kandidaten zu formen, denen es an direkter Erfahrung mangelte. Und die Hervorhebung von Soft Skills für Cyber-Rollen führte zu einem größeren Bewerberpool.

Auch das Outsourcing nahm zu, um Prozesse zu optimieren und interne Cyber-Ressourcen freizusetzen. MSSPs übernahmen die ausgelagerte Überwachung und Reaktion für überlastete Sicherheitszentralen. Cloud-Anbieter stellten verwaltete Sicherheitsdienste bereit, um die Belastung der Infrastruktur zu reduzieren. Und Berater stellten spezielles Fachwissen zur Verfügung, um Wissenslücken zu schließen.

Allerdings birgt die Auslagerung potenzielle Risiken, wie sie bei schwerwiegenden Verstößen Dritter zu beobachten sind, wenn sie nicht sorgfältig gemanagt wird. Und Unternehmen brauchten immer noch Hilfe, um hochrangige Führungskräfte im Bereich Cybersicherheit zu gewinnen; Eine Lücke konnte durch Outsourcing nicht geschlossen werden.

Auch im Jahr 2024 wird die Verwaltung von Cyber-Arbeitskräften weiterhin von entscheidender Bedeutung sein. Schulungsprogramme, kreatives Recruiting und eine bessere Ressourcennutzung durch Outsourcing werden wahrscheinlich zunehmen. Es besteht jedoch weiterhin ein akuter Mangel an fortgeschrittenen Cyber-Kenntnissen. Die Abhängigkeit der Branche von überlastetem, aber unverzichtbarem Sicherheitspersonal wird auch in absehbarer Zukunft bestehen bleiben. Kontinuierliche Kreativität und Investitionen werden für den Erfolg von entscheidender Bedeutung sein.

Wichtige Erkenntnisse: Der Weg zu stärkerer Cybersicherheit

Wenn das Jahr 2023 Unternehmen etwas gelehrt hat, sind effektive Informations- und Cybersicherheit jetzt entscheidend für den Geschäftserfolg. 

Bestimmte Trends wie Angriffe auf die Lieferkette und die Ausbreitung des IoT haben sich wie vorhergesagt deutlich beschleunigt. Aber in anderen Bereichen, etwa der passwortlosen Einführung und der globalen Regulierung, verlief der Fortschritt langsamer als erwartet. All dies unterstreicht, dass Cybersicherheit Agilität und Wachsamkeit erfordert. Selbstgefälligkeit ist gefährlich, wenn sich Bedrohungen so schnell verändern. 

Um an der Spitze zu bleiben, müssen Unternehmen Trends kontinuierlich und nicht nur jährlich überwachen. Sie sollten neue Lösungen vorsichtig testen, auch wenn das Versprechen groß ist. Investitionen in anpassungsfähige Grundlagen wie Sicherheitsrahmen, risikobasierte Sicherheit und Personalentwicklung ermöglichen die Ausrichtung auf neue Herausforderungen.

Wenn wir auf das Jahr 2024 blicken, erwarten wir mehr Volatilität, von geopolitischen Spannungen, die staatlich geförderte Angriffe vorantreiben, bis hin zu Quantencomputern und KI, die neue technologische Risiken mit sich bringen. Die Zusammenarbeit wird von entscheidender Bedeutung sein, von öffentlich-privaten Partnerschaften bis hin zu Anbieterökosystemen, die zusammenarbeiten, um die grundlegende Widerstandsfähigkeit über miteinander verbundene Lieferketten hinweg zu erhöhen. Das Cyberrisiko bleibt bestehen, aber unsere gemeinsamen Anstrengungen können ein vertrauenswürdigeres digitales Ökosystem schaffen, das Fortschritt und Schutz in Einklang bringt.