Fünf Cybersicherheits- und Compliance-Trends, die man 2025 im Auge behalten sollte

Die letzten 12 Monate haben uns wieder einmal gelehrt, dass sich die Technologie zwar mit teils atemberaubender Geschwindigkeit weiterentwickelt, viele der Makrotrends in den Bereichen Sicherheit und Compliance jedoch unverändert bleiben. Und das wird wahrscheinlich auch im kommenden Jahr so ​​bleiben. Während KI- und Deepfake-Innovationen die Fähigkeiten von Bedrohungsakteuren weiter verbessern und ihnen neue Möglichkeiten eröffnen werden, werden die Demokratisierung der Cyberkriminalität, die wachsende Bedrohung durch staatliche Akteure und der zunehmende Druck auf Anbieter kritischer Infrastrukturen (CNI) unvermindert anhalten.

Wir werden erleben, wie neue Gesetze die Vorstände treffen und andere, vor allem in Großbritannien, Gestalt annehmen. Und wir werden erleben, wie sich Netzwerkverteidiger in immer größerer Zahl dem Zero-Trust-Prinzip zuwenden, während die Risiken in der Lieferkette immer weiter zunehmen. Hier ist unsere Auswahl der fünf wichtigsten Trends, auf die Sie im Jahr 2025 achten sollten.

1. KI- und Deepfake-Bedrohungen sind groß

Das Nationale Zentrum für Cybersicherheit (NCSC) warnte Anfang des Jahres dass KI „mit ziemlicher Sicherheit das Volumen und die Auswirkungen von Cyberangriffen in den nächsten zwei Jahren erhöhen“ werde. Und es gibt wenig Grund, an dieser Einschätzung zu zweifeln. Insbesondere Generative AI (GenAI) wird die Eintrittsbarriere für angehende Phishing-Akteure senken und Angriffe beschleunigen, indem es schneller und einfacher wird, wertvolle Vermögenswerte und anfällige Geräte für Angriffe zu identifizieren.

GenAI wird auch die Bedrohung durch Deepfakes verstärken, was in einem Unternehmenskontext Probleme für Know-Your-Customer-Prüfungen bedeuten könnte, die auf Biometrie (Gesicht, Stimme) basieren, die jetzt mit einem hohen Grad an Genauigkeit gefälscht werden kann. Wir werden möglicherweise auch mehr Versuche im BEC-Stil erleben, Mitarbeiter dazu zu bringen, große Unternehmensüberweisungen zu tätigen, indem sie per Stimme oder Video vorgeben, sich als CEO oder Ähnliches auszugeben.

Bedrohungsakteure werden versuchen, legitime Dienste wie ChatGPT zu missbrauchen, um integrierte Sicherheitsvorkehrungen zu umgehen und diesen Zugang möglicherweise als Service zu verkaufen. Die relativ geringe Zahl von LLM-Entwicklern könnte mehr Cyberkriminelle dazu ermutigen, nach Schwachstellen wie diesen und anderen zu suchen.

KI wird jedoch auch der Cybersicherheits-Community helfen, da Security Operations (SecOps)-Analysten dank GenAI-Assistenten schneller und produktiver arbeiten können. Die Fähigkeit von GenAI, synthetische Inhalte zu erstellen, wird Teams dabei helfen, ihre Sicherheitstools und Benutzer effektiver zu schulen, während das Talent von GenAI, große Datensätze nach ungewöhnlichen Mustern zu durchsuchen, weiterhin bei der Erkennung und Reaktion auf Bedrohungen helfen wird. Tatsächlich sind 61 % der weltweiten Organisationen glauben heute KI ist für eine effektive und proaktive Reaktion auf Bedrohungen von entscheidender Bedeutung.

2. CNI unter wachsendem Druck

CNI-Anbieter waren schon immer beliebte Angriffsziele. Doch angesichts des wachsenden Einflusses staatlicher Akteure, gut ausgestatteter Cyberkrimineller und eines zunehmend unruhigen geopolitischen Umfelds sind sie im Jahr 2025 besonders besorgniserregend. Unternehmen, die die von NIS 2 und seinem britischen Pendant vorgeschriebenen Best Practices nicht umgesetzt haben, könnten einem großen Risiko ausgesetzt sein.

Erwarten Sie weitere mehrjährige, hochentwickelte Kampagnen wie Volt-Taifun und opportunistische Angriffe von Ransomware- und Hacktivistengruppen, die Geld und/oder einen Namen machen wollen. Historische Unterinvestitionen in Großbritannien haben zu einigen schockierenden Enthüllungen über die schlechte Sicherheitslage bei den wie Sellafield kombiniert mit einem nachhaltigen Materialprofil. Wasser der Themse. Dies werden sicherlich nicht die letzten sein.

3. Großbritannien holt bei Cybersicherheitsgesetzen auf

Im Vereinigten Königreich wird sich im Jahr 2025 aus Sicht der Einhaltung gesetzlicher Vorschriften viel tun, denn zwei wichtige Gesetzesvorhaben in der Nähe der Gesetzesbücher. Der Cyber ​​Security and Resilience Bill wird die Network and Information Systems Regulations 2018 (NIS-Verordnung) aktualisieren. Obwohl es weniger ehrgeizig ist als die entsprechenden Bemühungen der EU, sollte NIS 2 dringend benötigte Bestimmungen einführen. Dazu gehören die Ausweitung des Geltungsbereichs des Gesetzes auf weitere Sektoren, die Verbesserung der Lieferkettensicherheit und die Verpflichtung zur Meldung von Vorfällen, insbesondere bei Ransomware. Die Regierung möchte auch die Regulierungsbefugnisse stärken, darunter die Möglichkeit, Schwachstellen proaktiv zu untersuchen und Gebühren von regulierten Organisationen zu erheben.

Der Digital Information and Smart Data Bill ist in der Tat eine Aktualisierung des Gesetzes der vorherigen Regierung. Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI) und verspricht eine Überarbeitung der DSGVO. Damit sollen die Compliance-Kosten für Unternehmen gesenkt, der Datenaustausch optimiert und Innovationen im Bereich der digitalen Identität beschleunigt werden. Wie das andere vorgeschlagene Gesetz sieht es eine Stärkung der Befugnisse des Information Commissioner's Office (ICO) vor, was wiederum zu einem größeren Druck auf die Compliance-Mitarbeiter führen könnte.

4. Die Führungsebene übernimmt die Kontrolle über Cyber

Dies hat sich schon lange angebahnt. Doch die neuen Anforderungen in der Offenlegungsregeln der SEC zur Cybersicherheit kombiniert mit einem nachhaltigen Materialprofil. in NIS 2 wird den Vorständen eine größere Verantwortung für das Verständnis von Cyberrisiken auferlegen. Im Falle der EU-Richtlinie muss das obere Management Maßnahmen zum Cyberrisikomanagement genehmigen, deren Umsetzung überwachen und an speziellen Sicherheitsschulungen teilnehmen. Sie werden von den Aufsichtsbehörden auch persönlich haftbar gemacht, wenn sie grob fahrlässig oder vorsätzlich vernachlässigt werden. Die SEC verlangt inzwischen von börsennotierten Unternehmen jährliche Offenlegungen über ihre Strategie und Governance zum Cyberrisikomanagement sowie eine Beschreibung der Aufsicht des Vorstands über Cyberrisiken, die sich aus Bedrohungen ergeben.

Ähnliche Maßnahmen zur Verbesserung der Rechenschaftspflicht und Transparenz auf der Ebene der oberen Führungsebene werden im Jahr 2025 ihren Weg in eine zunehmende Zahl neuer Gesetze finden, darunter das Digital Operational Resilienz Gesetz (DORA). Es schreibt vor, dass Vorstände „alle Regelungen im Zusammenhang mit dem IKT-Risikomanagementrahmen definieren, genehmigen, überwachen und für die Umsetzung verantwortlich sind.“ Diese Maßnahmen könnten zu einer genaueren Prüfung der Rolle des CISO führen, sollten es ihm aber zumindest leichter machen, bei Diskussionen zu Fragen des Cyberrisikos Gehör beim Vorstand zu finden.

5. Die Grenzen zwischen Nationalstaat und Cyberkriminalität verschwimmen immer mehr

Vor dem Hintergrund steigender geopolitischer Risiken wird sich ein langfristiger Trend im Jahr 2025 noch verstärken: die Verflechtung nationalstaatlicher und Cyberkriminalitätsaktivitäten. Microsoft hat dies in seinem jährlichen Bericht zur digitalen Verteidigung und warnte, dass staatliche Akteure (z. B. Iran und Nordkorea) nicht nur zunehmend finanziell motiviert sind, sondern dass einige (z. B. Russland) Cybercrime-TTPs verwenden und sogar einige Operationen an kriminelle Banden auslagern. Wir werden möglicherweise auch sehen, dass Hacktivistengruppen über DDoS-Angriffe hinausgehen und vermeintliche feindliche „Ziele“ im Westen mit Ransomware, Datenerpressung und zerstörerischen Angriffen angreifen, da die NCSC hat bereits gewarnt.

CNI-Unternehmen könnten als erste in der Schusslinie stehen, da ein disruptiver Angriff enorme Auswirkungen auf die Bevölkerung hätte. Wie bereits erwähnt, gehören sie auch oft zu den am wenigsten geschützten Zielen und haben eine geringe Ausfalltoleranz, was sie zu idealen Kandidaten für Ransomware macht.

All dies bedeutet, dass Cybersicherheits- und Compliance-Experten im Jahr 2025 mehr zu tun haben werden als je zuvor. Glücklicherweise werden Best-Practice-Standards wie ISO 27001 weiterhin dazu beitragen, eine solide Grundlage für die Bewältigung dieser und vieler weiterer Herausforderungen zu bieten, die im Jahr 2025 auf uns zukommen werden. Aber die Fahrt könnte holprig werden.