Diese 4 Cybersecurity-Trends sollten CISOs auf dem Schirm haben
CISOs sollen die Passwörter in ihren Unternehmen bald abschaffen können. Dies werde die Sicherheit erhöhen. Ferner nannte Cisco noch drei weitere Trends, welche IT-Sicherheitsverantwortliche derzeit beachten sollten.
Welche Themen beschäftigen CISOs und andere IT-Sicherheitsverantwortliche derzeit am meisten? Beziehungsweise welche Themen sollten sie derzeit am meisten beschäftigen?
Um diese Fragen zu beantworten, liess das US-amerikanische Unternehmen Cisco seine Advisory CISOs antraben. Im September stellten diese den Medien ihre vier Top-Trends vor. Die drei Sicherheitsexperten formulierten diese folgendermassen:
Collaboration, Not Control
Secure Remote Work - Accelerated
AI & ML - More than Buzzwords?
A Passwordless Future - It’s time!
Obwohl die Trends teilweise omnipräsent sind zurzeit, gaben die CISOs jeweils ihre eigene Perspektive darauf. So etwa beim Thema künstliche Intelligenz (KI) und Machine Learning (ML). Hier geht es nicht darum, den vollkommen automatisierten Cyberkrieg zu verhinden. Diesen halten alle drei für eher unwahrscheinlich.
Richard Archdeacon, Advisory CISO bei Cisco. (Source: zVg)
Einerseits fehle die Kontrolle, so einen Angriff richtig zu lenken, sagte Richard Archdeacon. Andererseits lasse sich ein ausreichend fortgeschrittener Cyberangriff nicht von einem echten Benutzer unterscheiden, sagte Wendy Nather. Daher lasse sich so ein Prozess auch nicht komplett automatisieren.
Stattdessen sollten CISOs sich darauf fokussieren, mit KI und ML ein anderes akutes Problem zu lösen: den Fachkräftemangel. "Ich habe noch nie einen CISO getroffen, der sich darüber beklagte, zu viele Mitarbeiter in seinem Team zu haben", scherzte Archdeacon. Viele Prozesse lassen sich mittels KI und ML optimieren. Das Ziel ist nicht, Menschen ihre Arbeit wegzunehmen, sondern sie dabei zu unterstützen.
Kontrolle und Vertrauen
Die Trends "Collaboration, Not Control" und "Secure Remote Work" liegen thematisch nah beieinander. Die CISOs mahnten ihre Arbeitskollegen und -kolleginnen, nicht zu viel Kontrolle auszuüben. Denn zu viel Kontrolle und die damit verbundenen Regeln förderten bloss die Kreativität der Mitarbeitenden, was wiederum zu mehr Schatten-IT führe, sagte Wolfgang Goerlich. Die Lösung, ergänzte Nather, sei eine dezentrale Kontrolle. Das heisst, ein Teil der Kontrolle liege beim Unternehmen, ein Teil bei den Cloud-Anbietern und ein Teil bei den Nutzern.
Wendy Nather, Head of Advisory CISOs bei Cisco. (Source: zVg)
Die Coronakrise - gekoppelt mit Lieferengpässen bei Notebooks und anderen Arbeitsgeräten - forciere das BYOD-Modell teilweise schon fast. Für CISOs sei dies insofern ein Problem, da sie nicht wissen, was für Sicherheitslösungen die Mitarbeitenden auf ihren eigenen Rechnern nutzen würden - falls überhaupt welche vorhanden seien. Daher sollten Firmen Vorlagen für die Konnektivität auferlegen. Beispielsweise: Ein Mitarbeiter soll nur auf Firmenressourcen zugreifen können, wenn sein Laptop auf dem neuesten Stand ist und er einen verschlüsselten Zugriff nutzt.
Zugleich rieten die CISOs, auf einen Zero-Trust-Ansatz umzusatteln. Bei diesem Sicherheitskonzept gilt kein Nutzer, Gerät oder Anwendung von vornherein als vertrauenswürdig. Stattdessen muss jeder Zugriff streng überprüft werden.
Kein Password mehr nötig
Ein weiterer spannender Punkt war die Idee einer passwortlosen Zukunft. Das Thema ist zwar alles andere als neu - jetzt sei sie aber endlich auf der Roadmap von CISOs angekommen, sagte Archdeacon.
Wolfgang Goerlich, Advisory CISO bei Cisco. (Source: zVg)
Passwörter abzuschaffen, mache nicht nur das Leben einfacher, es erhöhe auch die Sicherheit, sagte der CISO. Und wie oft habe man als IT-Sicherheitsverantwortlicher schon die Möglichkeit, das Leben der Mitarbeiter zu vereinfachen?
Das Problem sind starke Passwörter, die man zudem auch noch regelmässig wechseln soll. Der Drang, Passwörter so kompliziert wie möglich zu machen, führte dazu, dass die meisten Mitarbeitenden sie ständig vergessen oder irgendwo aufschreiben - wo ein anderer sie finden kann. Oder anders gesagt: "Hacker brechen nicht mehr ein - sie loggen sich ein", sagte Archdeacon.
Übrigens: Auch der sogenannte Vater des starken Passworts, Bill Burr, lehnt deren Verwendung unterdessen ab. 2017 entschuldigte Burr sich sogar dafür, starke Passwörter erfunden zu haben, wie Sie hier nachlesen können.
Aber wie sieht eine Zukunft ohne Passwörter aus? Hier verweisen die CISOs unter anderem auf die Fido Alliance - zu der auch Google und Amazon gehören. Fido erstellt unter anderem Standards für eine passwortlose Authentifizierung.
Ein Ansatz ist etwa ein universaler zweiter Faktor (U2F). Statt einem langen und komplexen Passwort erfolgt die Authentifizierung des Nutzers über ein Gerät, welches der Nutzer mit sich trägt - etwa in der Form eines Schlüsselanhängers. Mehr zum U2F-Protokoll finden Sie auf der Website der Fido Alliance.
Wie schnell sich derartige Methoden durchsetzen werden, hänge jedoch von den zuständigen Regulierungsbehörden ab, sagte Goerlich. Vermutlich würden zunächst Unternehmen in Branchen mit weniger strengen Sicherheitsvorschriften ihre Passwörter abschaffen - während die Regulierungsbehörden den Weg auch für Firmen in stärker geregelten Industrien ebnen.