Das Jahr 2017 war ein hartes Jahr für die Informationssicherheit. Gefühlt mindestens einmal pro Woche wurden Datenlecks bekannt, bei denen Informationen in einem Ausmaß öffentlich gemacht wurden, wie man es bisher nicht für möglich gehalten hätte. Durch die Medien gingen die Namen prominenter Unternehmen wie Deloitte, Verizon und Uber. Zudem setzte der ungebrochene Ansturm von Erpresser-Trojanern Unternehmen und Organisationen unter Druck.
Als eine enorme Herausforderung für den Schutz personenbezogener Daten vor Verlust und Diebstahl warf die EU-Datenschutzgrundverordnung (DSGVO) ihre Schatten voraus. Jetzt hoffen viele Unternehmen auf Entspannung im Jahr 2018. Die folgenden fünf Entwicklungen könnten in den Vordergrund treten:
Das Jahr der DSGVO
Das Jahr 2018 wird das Jahr der DSGVO. Im Mai endet die Übergangsfrist der EU-Verordnung aus dem Jahr 2016. Der Schutz personenbezogener Daten wird zum "Grundrecht" natürlicher Personen erklärt. Infolgedessen verändert die DSGVO die Art und Weise, wie weltweit Unternehmen und Organisationen, die Daten der mehr als 500.000.000 Bürger in der EU sammeln und verarbeiten, Datenschutz zu verstehen und umzusetzen haben.
Alles, was Unternehmen bislang an Anstrengungen bei der Umsetzung der DSGVO unternommen haben, kommt ab dem 25. Mai 2018 auf den Prüfstand. Es ist damit zu rechnen, dass die Datenschutz-Behörden anfänglich die großen Fische ins Auge fassen und an weltweit agierenden Unternehmen, die nachlässig mit den Daten von Bürgern in der EU umgehen, Exempel statuieren.
Aber aufgrund der Meldepflicht von Datenschutzverletzungen riskiert bei einem Vorfall jedes Unternehmen, auf ihrem Hackklotz zu enden. Zudem ist eine Abmahnwelle zu erwarten. Das können gewerbsmäßige Massenabmahnungen mit finanzieller Motivation sein, wettbewerbsrechtliche Abmahnungen oder auch Sammel-Abmahnungen aus den Reihen der "Betroffenen", also von EU-Bürgern.
IoT erobert den Arbeitsplatz
Wie bei BYOD, der Nutzung privater Mobiltelefone und Laptops für berufliche Aufgaben, treiben die Mitarbeiter auch die Verwendung von IoT-Geräten (Internet of Things; Internet der Dinge) voran. Im privaten Bereich werden immer mehr Geräte ans Internet angeschlossen, vom Kühlschrank über den Rauchmelder bis zu Babyphon oder Babycam.
Einer Untersuchung des Branchenverbandes gfu zufolge ist in Deutschland bereits mehr als die Hälfte der Fernsehgeräte internetfähig, und zwei Drittel davon sind mit dem Internet verbunden. Im Unternehmen ermöglichen die neuen Geräte die individuelle und flexible Gestaltung von Arbeitsplätzen, beispielsweise bei Beleuchtung und Klimatisierung. Wearables und Virtual-Reality-Geräte helfen dabei, Prozesse zu vereinfachen und zu beschleunigen. Der Trend, IoT-Geräte im Unternehmensnetz zu nutzen, wird sich auch 2018 fortsetzen.
Auch wenn sie für Angriffsszenarien wie Ransomware ziemlich uninteressant sind, bleiben die Sicherheitsfragen im Zusammenhang mit den smarten Geräten auch weiterhin ein brisantes Thema. Die Geräte lassen sich verhältnismäßig einfach manipulieren, so dass Nutzer ausspioniert oder Informationen gestohlen werden können. Die zwei größten Herausforderungen bleiben auch 2018 die Absicherung vor unbefugtem Zugriff und das Patchen und Aktualisieren der Gerätesoftware. Die Sicherheitsproblematik von IoT- und IIoT-Geräten (IIoT, Industrial Internet of Things) dürfen die Unternehmen in ihren Datenschutzkonzepten nicht vernachlässigen.
Künstliche Intelligenz: Der Wettlauf zwischen Gut und Böse
Die Nutzung von künstlicher Intelligenz (KI; Artifical Intelligence, AI), vor allen ihres Untergebietes maschinelles Lernen (Machine Learning), wird im Bereich der IT-Sicherheit im Jahr 2018 weiter zunehmen. Mittels intelligenter Mustererkennung beispielsweise können Unternehmen ihre Cyber-Sicherheit steigern, indem sie die Abläufe beim Erfassen und Auswerten von Daten verbessern und ihre IT-Security-Abteilungen von Routine-Arbeiten entlasten. Allerdings werden zunächst wohl nur Großunternehmen davon profitieren, da derzeit noch sehr große Budgets für die Entwicklung von KI vonnöten sind.
Die Weiterentwicklung von KI hat zur Folge, dass sie sich Cyberkriminelle ebenfalls zunutze machen werden, um Wirksamkeit und Reichweite ihrer Aktivitäten zu erweitern. So kann ihnen maschinelles Lernen dabei helfen, Schwachstellen in kommerziellen Software-Produkten schneller aufzuspüren, und KI, um wirksamere Attacken aufzusetzen und den Zeitaufwand dafür zu senken. Zugleich wird KI die Erkennung komplexer Angriffsszenarien vereinfachen, so dass Maßnahmen zu ihrer Abwehr getroffen werden können. Mit maschinellen Lernverfahren könnten bei der Verhaltenserkennung ungewohnte Nutzeraktivitäten zuverlässiger erkannt werden.
Diese neuen Werkzeuge dürften künftig die Vorhut beim Wettlauf um die Informationssicherheit bilden. Das erhöht den Einsatz und die Komplexität sowohl aufseiten der Unternehmen als auch aufseiten der Angreifer. Allerdings bleibt der Vorsprung immer nur temporär, bis die andere Seite aufgeholt hat.
Die Cloud gehört zum Arbeitsalltag
Cloud-basiertes Arbeiten gehört in immer mehr Unternehmen zum Arbeitsalltag. Multi-Cloud-Architekturen, bei denen verschiedene Angebote aus privaten und öffentlichen Clouds gebündelt werden, werden im Jahr 2018 in vielen Unternehmen zum Normalfall, "cloud-first"- und "cloud-only"-Richtlinien inklusive.
Dass Unternehmen standardmäßig Cloud-Dienste nutzen, hat auch Auswirkungen auf den Schutz der Daten. Denn die herkömmlichen Sicherheitslösungen greifen nicht mehr, wenn die Informationen zwischen Cloud und Arbeitsplatzrechner hin- und her wandern. Da Daten immer häufiger in der Cloud gespeichert werden, könnten Verschlüsselungstrojaner ihnen dorthin folgen. Die Unternehmen sollten daher ihre Datenschutz-Richtlinien auf die Cloud ausdehnen.
Da sich im Hinblick auf die DSGVO zur Zeit alles um den Datenschutz in der Cloud dreht, wird leicht übersehen, dass er lediglich einen Teilaspekt der Rechtsfragen bei der Datenverarbeitung in der Cloud darstellt. Zur Rechtssicherheit gehören dieselben Themen wie bei der internen IT, von Aufbewahrungspflichten über Haftung bis zum Vertragsrecht. Die Rechtssicherheit in der Cloud sicherzustellen bleibt im Jahr 2018 daher ebenfalls auf der Agenda.
Daten-Aggregatoren werden zum Hauptziel für Datendiebstahl
Am Beispiel des Finanzdienstleisters Equifax, bei dem mehr als 140 Millionen Datensätze mit personenbezogenen Daten in die falschen Hände gelangt sind, wird deutlich, dass Aggregatoren für Hacker so etwas sind wie die Gans, die goldene Eier legt. Denn sie verfügen in Form von enormen Datenmengen über wahre Schätze, die Diebstahl geradezu herausfordern.
Der Schutz derart großer, sich fortlaufend verändernder Datenbestände stellt die Unternehmen vor ganz besondere Herausforderungen. Von unachtsamen Mitarbeitern über schwache Authentifizierungs- und Autorisierungsverfahren bis zu nicht ausreichend geschützten Firmennetzen von Partnern und Schwachstellen in der Software von Drittanbietern gibt es jede Menge Möglichkeiten, die Cyberkriminelle aufspüren und ausnutzen können. Da Daten das neue Geld sind, müssen Unternehmen, die mit großen Mengen an personenbezogenen Daten umgehen, im Jahr 2018 verstärkt mit Angriffen rechnen.
Fazit
Das kommende Jahr wird durch die DSGVO ein gutes Jahr für den Datenschutz. Neue Technologien unterstützen künftig Unternehmen und Organisationen dabei, Datenverlust und Datendiebstahl zu verhindern. Zugleich wird die Furcht vor Datenabfluss dafür sorgen, dass Unternehmen die internen Datenschutz-Richtlinien, auch im Hinblick auf die Cloud-Nutzung, strenger gestalten. Sie werden ihre Mitarbeiter stärker reglementieren und technische Lösungen einsetzen, die menschliche Fehler abfangen.
Es soll aber nicht verschwiegen werden, dass Datenschutz ein kontinuierliches Vorgehen erfordert, weil immer neue Technologien in der Arbeitswelt eben auch immer neue Möglichkeiten für Cyberkriminelle eröffnen. Vonseiten der Gesetzgeber sind daher auch weitere Compliance-Anforderungen zu erwarten.