Wien/Köln (pts014/14.01.2020/13:15) – In 2020 wird nicht nur das IT-Sicherheitsgesetz 2.0 die Anforderungen an kritische Infrastrukturen deutlich ändern, sondern es gelangen auch weitere dringende Themen in den Vordergrund. Dazu gehört nach den Trendaussagen von Detlev Henze, Geschäftsführer der TÜV TRUST IT, der Zero-Trust-Ansatz ebenso wie agile ISMS. Zudem wird der Bedarf am Standard IEC 62443 in der OT steigen und der Aspekt der Usable Security zusätzlich in den Fokus rücken.
1. Es wird sich die Vertrauensfrage stellen: „Zero Trust“ lautet der immer relevantere, bisher in der Unternehmenspraxis allerdings kaum gelebte Ansatz. Er bedeutet, tatsächlich niemand und damit auch nicht den eigenen Geräten und Netzwerken großes Vertrauen zu schenken. Die Konsequenz lautet, dass der Fokus zusätzlich auf die Überwachung und Prüfung der eigenen Assets gerichtet werden muss. Zwar müssen der wirksame Perimeterschutz und die Segmentierung der Netzwerke unverändert ihre Bedeutung behalten, doch die Authentisierung, Authentifizierung, Autorisierung und Auditing dürfen nicht mehr nur zentral, sondern müssen im gesamten IT-Verbund geprüft und gelebt werden.
2. Agile Informationssicherheits-Managementsysteme (ISMS) entstehen: Die Unternehmen wandeln sich zunehmend zu agilen Organisationen, um flexibler und schneller zu werden. Dies begann in der Softwareentwicklung und stellt sich auch in den DevOps-Methoden dar, doch auch aus Sicht der Informationssicherheit besteht Handlungsbedarf. Dabei reicht es jedoch nicht, die Security-Aspekte in die agile Softwareentwicklung zu integrieren, sondern notwendig ist der Aufbau eines ISMS, das sich in agile Organisationsumgebungen einfügt. Gleichermaßen gilt es den Blick darauf zu richten, dass das ISMS selbst agilen Anforderungen gerecht wird und die IT-Operations mittels SecDevOps agil unterstützt werden. Bei dieser Zielsetzung sind die Fragen zu beantworten, welche Methoden eingesetzt und welche bestehenden Standards genutzt oder verändert werden müssen. Damit einher geht der Schulungsbedarf für die Mitarbeiter.
3. eIDAS und PSD2 bleiben auf Wachstumskurs: elDAS regelt seit 2016 die elektronische Identifizierung und Vertrauensdienste innerhalb des Europäischen Wirtschaftsraums. Damit ist erstmals grenzübergreifend die rechtsverbindliche Unterschrift und Übermittlung beispielsweise von Vertragsunterlagen in einem durchgängigen Onlineprozess vollständig medienbruchfrei und rechtssicher möglich. Dies hat bereits zu einer deutlichen Zunahme der qualifizierten Vertrauensdienste in Europa geführt, zumal auch die Diensteanbeiter davon profitieren. Infolge der Digitalisierung wird ihre Nutzung weiterhin sehr dynamisch wachsen, auch weil beispielsweise die Europäische Bankenaufsicht (EBA) für die Umsetzung der neuen Payment Services Directive 2 (PSD2) zur Absicherung von Zahlungsverkehrsdaten die Nutzung von qualifizierten Vertrauensdiensten nach eIDAS verpflichtend vorsieht.
4. Das IT-Sicherheitsgesetz 2.0 kommt mit deutlichen Änderungen: Das erste IT-Sicherheitsgesetz hat einen erheblichen Nachbesserungsbedarf offenbart. Der Gesetzgeber verfolgt nun mit dem bisher erst in einem Referentenentwurf vorliegenden IT-SiG 2.0 deutliche Änderungen. Dazu gehören beispielsweise die Ausweitung der Befugnisse des BSI und höhere Anforderungen an den Schutz kritischer Infrastrukturen wie etwa die Pflicht zur Einrichtung von Systemen zur Angriffserkennung (SIEM) und dass zukünftig eine ganzheitliche Sicht in den Fokus rückt. Auch die Einführung eines Sicherheitskennzeichens und die Rolle der Behörde als Verbraucherschützer sind neu. Gleichzeitig werden die Strafzahlungen drastisch von bisher 100.000 Euro auf bis zu 20 Mio. oder vier Prozent des weltweiten Jahresumsatzes steigen.
5. KI werden stärker in die Security-Strategien einbezogen: Präventive Maßnahmen für den Cyber-Schutz machen den Einsatz von Künstlicher Intelligenz zwingend notwendig. Dabei müssen KI-Lösungen die Aufgabe übernehmen, Bedrohungen zu identifizieren und Angriffsformen zu klassifizieren, indem sie beispielsweise Malware und Cyberangriffe verstehen lernen. Dies ermöglicht gezieltere Abwehr- und Präventivmaßnahmen. Ebenso gilt es, KI-Algorithmen solche Aufgaben automatisiert realisieren zu lassen, die bisher manuell durchgeführt wurden.
6. Der Bedarf am Standard IEC 62443 in der OT steigt deutlich: Noch immer besteht zwischen der IT und der OT eine gefestigte Silo-Landschaft. Der Vernetzungsgrad der Industrieanlagen nimmt weiter sehr schnell zu und damit auch Risiken in der OT-bezogenen Informationssicherheit. Dem Standard IEC 62443 wird deshalb 2020 eine große Aufmerksamkeit zukommen. Wichtig wird in diesem Zusammenhang, dass dabei die Gräben zwischen IT und OT nicht tiefer werden. Ein jeweils gegenseitiges Verständnis der Situation, möglicher Bedrohungen und wirksamer Maßnahmen im jeweiligen Kontext wird eine zusätzliche Aufgabe in 2020.
7. Wachsende Zwänge zu Security by Design: Es gilt, bereits im frühen Planungsstadium von Software-Lösungen und Apps Sicherheitsaspekte zu berücksichtigen. Dies verlangt jedoch einen Mentalitätswandel in der Softwareentwicklung, indem sie definierte Schutzziele einzubezieht und sich an anwendungsbezogenen Bedrohungsmodellen orientiert. Dabei müssen konkrete Sicherheitsanforderungen explizit im Anforderungsprozess erhoben werden. Auch die Testmethoden werden sich dabei ändern, ebenso wie eine Auswahl von Testtools unter Sicherheitsaspekten erfolgen wird.
8. Usable Security rückt zusätzlich in den Fokus: Handlungsunsicherheit beim Umgang mit IT- und Telekommunikationsgeräten sowie Prozessen aufgrund einer unzureichenden Gebrauchstauglichkeit erzeugt vielfach Security-Probleme. Im Bereich der Smartphones bestehen hinsichtlich der Usable Security zwar bereits sinnvolle Ansätze, in anderen Bereichen bestehen hingegen noch deutliche Defizite. Dieses Themenfeld wird deshalb 2020 deutlich an Bedeutung gewinnen. Die Grundzüge der ISO 271001 und der ISO 9241 können in Kombination hierfür eine sinnvolle Grundlage schaffen.
(Ende)
Aussender: TÜV TRUST IT TÜV AUSTRIA
Ansprechpartner: Mariana Schäfer
Tel.: +49 221 969789 61
E-Mail: mariana.schaefer@tuv.at
Website: www.it-tuv.com