Die TÜV TRUST IT hat sich angesehen, welche Auswirkungen die verstärkte Abhängigkeit von digitalen Prozessen hat. Dabei kristallisieren sich laut der TÜV TRUST IT Geschäftsführer Detlev Henze und Andreas Köberl zehn Trends für das kommende Jahr heraus:

1) Abhängigkeit von digitalen Prozessen steigt exponentiell
Industrie 4.0 ist und bleibt auf dem Vormarsch. Viele industriell tätige Unternehmen setzen bereits auf eine Optimierung ihrer Produktion dank intelligent vernetzter Systeme. Digitale Wertschöpfungsketten bestimmen zunehmend die wirtschaftliche Stärke sowie Sicherheit und punkten durch hohe Effizienz und optimierte Erträge. Zudem erlauben digitale Lösungen eine höhere Flexibilität.

2) Gefragt wie noch nie: Vertrauensdienste und elektronische Geschäftsprozesse
Seit Frühjahr 2020 werden im geschäftlichen Umfeld ganze Prozesse neu strukturiert und voll elektronisch umgesetzt – Tendenz 2021 steigend. Hier werden Aspekte wie die nahtlose Integration in existierende Systemlandschaften einen hohen Stellenwert erhalten. Prominentes Beispiel: Die medienbruchfreie Abbildung von Geschäftsvorfällen, die – mithilfe sogenannter Vertrauensdienste – rechtsverbindlich abgewickelt werden müssen.

3) Dienstleister für elektronisches Identitätsmanagement stehen in den Startlöchern
Ein weiteres Beispiel sind elektronische Identitäten (eID). Hier geht der Trend zu vollständig auf künstlicher Intelligenz (KI) basierenden biometrischen Verfahren, welche vergangenes Jahr bereits in einigen EU-Mitgliedsstaaten zugelassen wurden. Es ist zu erwarten, dass die anstehende Novellierung der EU eIDAS-Verordnung auch die notwendigen Regelungen für nicht-staatliche Anbieter von Lösungen für das Identitätsmanagement umfassen wird.

4) Stärkung der Informationssicherheit per Gesetz
Im Bereich Kritischer Infrastrukturen rückt die technische Sicherheit wieder mehr in den Fokus der Aufmerksamkeit. Gesetze wie das IT-SiG 2.0 in Deutschland fordern von KRITIS-Unternehmen künftig explizit den Einsatz eines Systems zur Angriffserkennung, beispielsweise in Form eines Security Operation Centers (SOC). Neben dem Betrieb eines ISMS sollten darüber hinaus ein BCMS implementiert und regelmäßige Penetrationstests durchgeführt werden.

5) Im Fall der Fälle: Notfallpläne & Business Continuity Management Systeme
Die stetige Zunahme von Cyberangriffen fordert schnelle und effektive Sicherheitskonzepte mit eingeübten Reaktionswegen. Ein strukturiertes BCMS bündelt alle Maßnahmen, die im Ernstfall notwendig sind und ermöglicht damit eine sichere und konsequente Reaktion in Krisensituationen.

6) „Awareness“ & der Faktor Mensch
Menschliches Fehlverhalten ist oft die Ursache für Cyber-Angriffe. Gerade in Zeiten von dezentralen Arbeitsformen ist die entsprechende „Awareness“ für etwa Phishing Mails, durch die sich Angreifer Zugang zu Systemen und Daten verschaffen, enorm wichtig. Viele Unternehmen setzten 2020 verstärkt auf entsprechende Mitarbeiter-Schulungen. Aufgrund der wachsenden Bedeutung solcher Maßnahmen zeichnet sich diese Tendenz auch für das Jahr 2021 klar ab.

7) ISMS-Ausbau wächst weiter
Der Aufbau von ISMS-Systemen wird – gerade bei KRITIS-Unternehmen – weiter zunehmen. Ein solches System bietet neben der offensichtlichen Risikominimierung auch mehr Transparenz aller IT-Systeme. Zudem optimiert eine entsprechende Zertifizierung, z.B. gemäß ISO 27001, die Außenwirkung eines Unternehmens, welches sich so von Wettbewerbern abhebt und das Vertrauen von Kunden und Vertragspartnern steigern kann.

8) Integrierte Managementsysteme
Managementsysteme sind vielseitig einsetzbar und für eine Zertifizierung nach ISO 27001 unumgänglich. Um die Effektivität zu optimieren, empfiehlt sich eine Bündelung verschiedener Inhalte in einem integrierten Managementsystem.

9) Aufbau einer Zero Trust Umgebung
Mitarbeiter nutzen heute in der Regel zwei bis drei Endgeräte für den Zugriff auf Unternehmensdaten – die Aufrechterhaltung einer Endpoint-Security wird dadurch immer komplexer. Eine mögliche Lösung bietet die Zero Trust Network Betrachtung, wo bei jedem internen oder externen Zugriff von einem Angriff ausgegangen und nur über eine erfolgreiche Authentifizierung durch den Mitarbeiter eine Berechtigung erteilt wird.

10) Durchführung von Red Teaming Assessments
Durch das schnelle Wachstum heterogener IT-Infrastrukturen (Konzernstrukturen, Anbindungen an Töchter und Partner etc.) bildeten sich immer mehr Unternehmenszweige, die bislang nicht das Schutzniveau der Kern-IT erreichen konnten. Zur Sicherheitsüberprüfung komplexer Strukturen werden im kommenden Jahr vermehrt Red Teaming Assessments in den Vordergrund rücken, da diese mit zukunftsweisenden Methoden aus den Bereichen des Penetration-Testing und Social Engineering Angriffsmöglichkeiten zuverlässig identifizieren und Schwachstellen ermitteln können.