Security-Trends 2019: Quantenrechner, Blockchain und der Faktor Mensch

Utimaco prognostiziert die fünf wichtigsten Themen für 2019, die die Diskussionen rund um IT-Sicherheit bestimmen werden.

1. IT-Sicherheit im Post-Quantenzeitalter‘ schafft es auf die Titelseiten

Weil Quantenrechner gängige Verschlüsselungsverfahren in absehbarer Zeit unsicher machen werden, ist Post-Quanten-Kryptographie in Fachkreisen mittlerweile ein heißes Thema. Das National Institute of Standards and Technology (NIST) in den USA evaluiert schon seit mehreren Jahren quantenresistente Verschlüsselungsverfahren. Mehrere haben sich bereits als untauglich erwiesen, 48 Kandidaten sind noch im Rennen. Spätestens wenn das NIST wie erwartet im dritten Quartal 2019 die besten Algorithmen verkündet, wird das Thema auch der breiten Öffentlichkeit auf den Titelseiten begegnen. Fortschritte in der Quantentechnologie haben im vergangenen Jahr alle Prognosen übertroffen, die Schwelle zur sogenannten Quantum Supremacy ist in greifbare Nähe gerückt. Die Quantenüberlegenheit beschreibt den Punkt, ab dem Quantensysteme leistungsfähiger sind als herkömmliche Rechnerarchitekturen. Nun gilt es, sich von der technischen Entwicklung nicht überholen zu lassen und auf krypto-agile Systeme zu setzen. Nur so können Unternehmen schnell reagieren und hinfällige Verfahren gegen die quantenresistenten NIST-Algorithmen austauschen – auch bei Produkten, die schon auf dem Markt sind.

2. Blockchain – zurück auf den Boden der Tatsachen, aber nicht mehr wegzudenken

Blockchain ist inzwischen auch abseits von Kryptowährungen in bestimmten Branchen tief verankert, wie etwa in der Logistik und im Supply-Chain-Management. 2018 ließ sich ein wahrer Boom an Machbarkeitsnachweisen und Pilotprojekten zu Blockchain-Anwendungen beobachten, zum Großteil gesponsert von Industriekonsortien. Nun, da sich der Hype größtenteils gelegt hat, stehen für 2019 einige konkrete Fragestellungen im Raum: Wie zukunftssicher ist die Technologie wirklich, auch hinsichtlich ihrer Quantenresistenz? Wie lange muss eine Blockchain auch nach der Verwendung gültig bleiben? Wie lassen sich Performance-Hindernisse wie Signierung und Blockerstellung beschleunigen? Ein weiterer Knackpunkt ist die Frage der Authentisierung. Während sich einige Branchen in Sachen Multi-Faktor-Authentisierung auf einem guten Weg befinden, stellt die bislang von vielen gefeierte Anonymität in Blockchain-Integrationen eine große Herausforderung für die Überprüfbarkeit in Unternehmen dar. Ein möglicher Lösungsansatz besteht darin, Hardware-Sicherheitsmodule (HSM) einzubinden, etwa im Kontext von digitalen Signaturen, wie sie die eIDAS-Verordnung definiert.

3. Innovationen dringen weiter in den Zahlungssektor vor, Regulierung holt auf

Im Zahlungs- und Bankensektor wird sich die Kluft zwischen Innovationstreibern und dem traditionellen Kerngeschäft 2019 weiter schließen. Banken werden ihre IT-Sicherheitssysteme in noch größerem Umfang auf neue, flexiblere Technologien umrüsten. Die Voraussetzungen: eine digitale Infrastruktur und zeitgemäße Sicherheits- und Compliance-Architekturen. Nur so können Unternehmen die schnell aufholenden Regulierungen erfüllen. Während knapp die Hälfte der EU-Mitgliedsländer bei der Umsetzung der wegweisenden Zahlungsdiensterichtlinie PSD2 noch hinter dem Zeitplan zurückbleibt, steht für 2019 der entscheidende Stichtag an. Bis zum 14. März 2019 müssen Anbieter von Kontoinformations- und Zahlungsauslösediensten eine Testumgebung ihrer technischen Schnittstellen sowie eine lückenlose Dokumentation auf die Beine stellen. Dabei ist die PSD2 für Banken jedoch keinesfalls nur mühsame Pflicht – sie verspricht vielmehr enormes Zukunftspotenzial. Denn genau wie Third Party Provider (TPP) können auch Banken die Daten anderer Finanzdienstleister in neue, gewinnbringende Produktangebote einfließen lassen.

4. Kritische Netzwerke nehmen Gestalt an – Smart Metering, Industrial Connectivity und autonomes Fahren

2019 wird auch für kritische Netzwerke entscheidende Neuerungen mit sich bringen. Ende letzten Jahres hat das BSI seine Zertifizierungsvorgaben für das Smart-Meter-Gateway veröffentlicht. Die Branche steht für den bevorstehenden Rollout bereits in den Startlöchern. Der Ökostromanteil erreichte kürzlich die 40-Prozent-Marke – für den weiteren Ausbau wird eine datengetriebene Netzinfrastruktur und Messtechnologie entscheidend sein. Getreu dem Prinzip Security and Privacy by Design wird das Hauptaugenmerk darauf liegen, die Vorgaben an Sicherheitstechnik und Datenschutz der Smart-Metering-Netze umzusetzen.

Kritische Netzwerke werden auch im Kontext des industriellen Internet of Things (IIoT) weiter an Bedeutung gewinnen – Stichwort Industrial Connectivity. Hierfür besteht in der deutschen Industrie noch Luft nach oben, doch die zunehmende Gefahr durch Industriespionage hemmt die Akzeptanz. Noch vor der Interoperabilität wird Datensicherheit für die vernetzten IIoT-Umgebungen 2019 der wichtigste Faktor sein.

Bewährte Technologien aus den oben genannten Branchen werden eine Rolle in der Implementierung neuer, von der Automobilindustrie geforderter Infrastrukturen für das autonome Fahren spielen. Nachdem sich Normungsgremien und eine Ethikkommission 2018 bereits ausgiebig mit den Sicherheitsanforderungen an selbstfahrende Autos beschäftigt haben, wird das Zukunftsprojekt im laufenden Jahr Form annehmen. Bereits im Frühjahr 2019 will die Bundesregierung einen Gesetzentwurf vorlegen, der autonomes Fahren auf deutschen Straßen ermöglichen soll.

5. Der Mensch steht im Mittelpunkt von Cybersecurity

In der IT-Sicherheit rückt 2019 der Mensch in den Mittelpunkt. Nicht nur, weil sich der Kampf um Talente und Security-Experten 2019 noch weiter verschärfen wird. Auch als Risikofaktor erfährt der Mensch endlich die nötige Aufmerksamkeit. In den letzten Jahren ist Cybersicherheit auf technischer Seite deutlich vorangekommen. Jetzt müssen auch Mitarbeiter Security-Belange besser verstehen und priorisieren lernen. Denn raffinierte Spear-Phishing-Angriffe werden 2019 nur noch schwer erkennbar sein und der Belegschaft ein enormes Maß an Security-Bewusstsein abverlangen. Social Engineering, also die gezielte Manipulation von Menschen mit dem Ziel, kritische Daten abzugreifen, nutzt dabei grundlegende Emotionen und Persönlichkeitsmerkmale der Opfer aus. Um sich zu schützen, reichen Mitarbeiterschulungen zu Phishing und Social Engineering allein nicht aus – ein zeitgemäßer Verschlüsselungsansatz ist eine wichtige Maßnahme gegen menschliche Fahrlässigkeit. Zudem gilt es, die menschliche Cybersicherheit auf individueller, organisatorischer und gesellschaftlicher Ebene zu verstehen. Nur so lassen sich immense wirtschaftliche Schäden vermeiden.

Foto: © pixabay