Cybersecurity Trends 2025

Was war eigentlich 2024?

Phu das war ein Jahr sag ich euch! Ich habe mal drei Schmankerl hervorgehoben:

Fast wäre das komplette Internet ausgefallen! Warum? Ich weiß nicht genau wie viele es sind, aber es gibt mindestens Millionen von Servern da draußen, die eine Schnittstelle haben, über die man sich gesichert mit dem Server von außen verbinden kann. Nennt sich abgekürzt SSH. Und jetzt stellt euch vor: Jemand hat sich aktiv an der Entwicklung des Quellcodes beteiligt und es ist niemandem aufgefallen, dass dort Schadcode platziert wurde, der da nicht hingehörte. Zum Glück ist das einem IT-Admin aufgefallen, sonst sähe die Sache heute mit dem Internet womöglich anders aus. Schon etwas ironisch, dass das Internet im Prinzip aus einem Militärprojekt hervorgegangen ist, bei welchem die dezentrale Speicherung von Informationen das Ziel gewesen ist, um im kalten Krieg einen Ausfall von Teilen der Infrastruktur kompensieren zu können. Jetzt sind wir derart davon abhängig, dass ich meine Hand dafür nicht ins Feuer legen würde, dass nach einem Internetausfall weiterhin alles reibungslos funktioniert.

Traue keiner Cloud! Warum? Es gab in den USA 2024 einen Untersuchungsbericht wie es dazu kommen konnte, dass 2023 ein Verschlüsselungs-Schlüssel von Microsoft abhandenkommen konnte, der sich dafür geeignet hat, die ganze Microsoft-Cloud-Infrastruktur auszulesen. Wer meine alten Cybersecurity Trends verfolgt hat, der wird sich vielleicht erinnern: Ich sagte es wäre nur eine Frage der Zeit bis sowas passiert. Ich muss allerdings auch eingestehen: Ich habe ehrlich gesagt bis heute keine Ahnung wie man als Unternehmen so einen veritablen GAU überhaupt überleben kann. Es bleibt mir vermutlich für immer ein Rätsel und ich muss es mir bisweilen mit “Too Big to Fail” schönreden.

Wir brauchen dringend Post-Quanten-Kryptografie! Warum? Ich weiß – das klingt jetzt verrückt – aber, wenn man den wissenschaftlichen Quellen Glauben schenken darf, dann haben Chinesische Forscher um Chao Wang gezeigt, dass die Verschlüsselungen RSA und AES nicht mehr sicher sind. Mal zur Erinnerung: Unsere ganze Sicherheitstechnologie basiert darauf. Jedes Mal, wenn wir eine Überweisung mit dem Handy oder Notebook machen oder nur Mails abhörsicher lesen wollen, dann bedienen wir uns RSA und AES im Hintergrund. Habe ich eigentlich schon erwähnt, dass damit beispielsweise in den USA strenggeheime Dokumente verschlüsselt werden dürfen? Au weia!

Und was wird 2025?

1. Mangelnde Erfüllung regulatorischer Anforderungen

Regulatorische Anforderungen sind Gesetze, Vorschriften und Richtlinien, die von Behörden oder anderen Organisationen definiert werden, um die Sicherheit und Datenschutz in der digitalen Welt zu gewährleisten. Diese Anforderungen variieren von Land zu Land und von Branche zu Branche. Gemeinsam ist ihnen, dass die Ziele ähnlich sind: Schutz von persönlichen Daten, die Verhinderung von Angriffen oder/und die Implementierung von Sicherheitsmaßnahmen.

Mit fortschreitender Digitalisierung wird die digitale Welt angreifbarer. Auf der einen Seiten versucht man Mindeststandards zu definieren, um dieser Gefahr vorzubeugen, aber auf der anderen Seite führt das dazu, dass die regulatorischen Anforderungen immer komplexer werden. Dadurch wird es aber leider immer schwieriger alle diese Anforderungen mit hinreichend Wissen und Personal zu erfüllen. Beispiel: Wo früher im Public Service nur der IT-Grundschutz und das Bundes- und Landesdatenschutzgesetz galt, da gelten heute beispielsweise oft auch zusätzlich:

  • eine neue Version des IT-Grundschutz-Standards,
  • die Datenschutzgrundverordnung,
  • die eIDAS-Verordnung,
  • der Cybersecurity Act,
  • die NIS2- und CER-Richtlinie,
  • das KRITIS-Dachgesetz.

Entgegen der Absicht der Regulierenden: Das macht es nicht einfacher!

2. Predictive Policing durch Unternehmen

Wer denkt, dass das neue Windows Feature “Windows Recall” nur ein Scherz war, der wird jetzt wenig amüsiert sein. Mit dem Einzug des Sicherheitsansatzes Zero-Trust in die Unternehmenswelt, wird allgemein davon ausgegangen, dass keine Anfrage oder kein System automatisch als vertrauenswürdig zu behandeln ist. Stattdessen wird jeder Zugriff auf eine Ressource immer überprüft und bewertet, um sicherzustellen, dass der Zugriff legitimiert ist. Um mit technischen Methoden bewerten zu können, ob etwas legitimiert ist oder nicht, muss es natürlich Parameter geben, nach denen das bewertet werden kann.

Soweit ist das erstmal kein Problem und klingt sehr vertrauenserweckend. Wenn wir uns jedoch vor Augen führen, was das technisch genau heißt, wird es allerdings für jeden Datenschützenden gruselig:

  • alle Nutzenden-Zugriffe werden überwacht und aufgezeichnet,
  • das Netzwerk wird überwacht und aufgezeichnet,
  • der Zugriff auf interne oder externe Daten und Applikationen wird überwacht und aufgezeichnet,
  • es wird ein Profil der Nutzenden erstellt, um unübliches von normalem Verhalten zu unterscheiden,
  • Kontrolle der E-Mails und der Chats von Teams

Diese Verarbeitungen finden statt und allzu oft ohne Gewährleistung der Transparenz, Zweckbindung, Datenminimierung und Speicherbegrenzung gemäß Art. 5 DSGVO. Oder ist Ihnen bewusst wann wo was verarbeitet wird und zu welcher finalen Risikoeinschätzung die Datenschutzfolgenabschätzung dabei gekommen ist?

Leider gibt es dazu keine rosigen Aussichten: Microsoft bewirbt diese Überwachungsfunktionen sogar aktiv. Vielleicht sollte man nochmal zusammen darüber nachdenken, dass Compliance nicht gleich Predictive Policing sein sollte. Merke: Alles was gespeichert ist, kann auch abfließen.

3. Falsche Nutzung von KI führt zu Datenlecks

Wie funktioniert eine KI nochmal? Richtig. Es wird mittels Machine Learning ein Modell errechnet und mit vieeeelen Trainingsdaten gefüttert. Je mehr desto besser. Ok, und was ist jetzt das Problem? Stellt euch vor diese Modelle werden immer komplexer und werden mit Dingen gefüttert, in denen zufällig eure persönlichen Geheimnisse stecken; oder die des Unternehmens, oder einer Regierung oder oder oder. Im einfachen Fall sammelt eine KI von einem Unternehmen öffentlich Dinge, die sie nicht darf (Stichwort Cambridge Analytica). Im anderen Fall ist nicht gesagt, dass ein interner/externen Unternehmens-Bot öffentlichkeitswirksam ausplaudert um was sich der interne Chat zwischen zwei Mitarbeitenden handelte. Ganz zu schweigen von der schwierigen Aufgabe wie man überhaupt einen solchen Abfluss an Informationen bemerken könnte.

Ich bin leider skeptisch, ob uns die Verordnung über künstliche Intelligenz (AI Act) hier ausreichend hilft.

4. Homeoffice als Einfallstor

Ich habe mich in Zeiten der Pandemie sehr daran gewöhnt und möchte die Flexibilität nicht mehr missen. Und ich glaube da bin ich keine Ausnahme. Haben wir uns schon mal gefragt was das eigentlich technisch heißt?

  • Wenn wir uns aus dem Homeoffice über das Internet mit der Arbeit verbinden, dann sind wir möglicherweise in unsicheren Netzwerken unterwegs. Für öffentliche Orte gilt das allemal. Man-in-the-Middle ist nur ein Szenario.
  • Wenn wir BYOD (Bring your own Device) nutzen dürfen, dann stehen die Chancen nicht schlecht, dass sich Malware über weitere Geräte den Weg in den Computer oder in das Netzwerk bahnen.
  • Wenn wir im Homeoffice sind, dann ist es keine Seltenheit, dass wir keine Enterprise-Grade Firewall- und Sicherheitskonfigurationen aufweisen können. Wir werden im Zweifel nicht erkennen können, ob sich jemand von außen mutwillig Zugang verschaffen möchte.
  • Wer sagt eigentlich, dass Phishing und Social Engineering Angriffe nicht wahrscheinlicher sind, wenn ich eventuell mit etwas anderem kurzzeitig abgelenkt bin?

5. Mangelnde Software-Qualität führt zu globalen Ausfällen

Erinnert sich noch jemand an den weltweiten IT-Ausfall bei welchem eine Sicherheitssoftware von Crowdstrike Updates ausgerollt hat, die aber so schlecht getestet wurden, dass Millionen von Windows-Rechnern den Bluescreen angezeigt hatten?

Nein? Wie wäre es stattdessen mit dem Update von Windows 10 oder 11, nach welchem der Computer nach einem Neustart plötzlich nach dem sog. Bitlocker-Recovery-Key gefragt hat?

In beiden Fällen sind mangelnde Software-Tests (= mangelnde Software-Qualität) ausschlaggebend dafür gewesen, dass Fehler nicht erkannt wurden, sodass ausgerollte Updates zu unvorhersehbaren globalen Konsequenzen geführt haben. Meine Glaskugel sagt, dass wir das noch häufiger erleben werden, weil Software-Testing wohl nur lästig sei, Geld koste und nichts brächte. Ohje.

Resume
Ok, die schlechte Nachricht zuerst: Es gibt viel zu tun!
Und jetzt die gute: Es gibt viel zu tun!

Quellen und Weiterlesen

Bildnachweis