Das Jahr 2020 brachte zahlreiche Umwälzungen mit sich. Wer hätte gedacht, dass unser Lieblingssportverein vor leeren Zuschauerrängen spielen muss und wir uns das Match nur im Fernsehen anschauen können oder dass die Olympischen Sommerspiele in Tokio um ein Jahr verschoben werden müssen? Da ist es doch schön, dass wenigstens etwas ist wie immer: unsere alljährliche Prognose zu den Herausforderungen der Cybersicherheit. Dieses Mal für das Jahr 2021 und darüber hinaus.

Bei all der Ungewissheit, die 2020 mit sich brachte, kann niemand mit absoluter Sicherheit sagen, was kommen wird. Anhand der Änderungen im Bereich Informationssicherheit, die wir im Zuge der Pandemie und weiteren Ereignissen im Jahr 2020 miterlebt haben, sind wir uns unserer Prognosen für 2021 sehr sicher. Zuerst denken wir da an die Folgen der immensen Zunahme des Homeoffice und der digitalen Transformation, die von der Pandemie und der dadurch erschwerten Möglichkeit, persönliche Arbeitsbesprechungen durchzuführen, beschleunigt wurde. Mit diesen Ereignissen im Hinterkopf hat sich unser Team aus Cybersicherheitsexperten zusammengesetzt (natürlich nur virtuell), um ihre Liste mit Prognosen für die Cybersicherheit 2021 zu erarbeiten. Dieses Team setzte sich zusammen aus Dean Coclin, Avesta Hojjati, Tim Hollebeek, Mike Nelson und Brian Trzupek.

Und hier sind sie (Trommelwirbel bitte ...):

Prognose: Komplexere Spielarten des Social Engineering

Laut Data Breach Investigations Report 2020 von Verizon ist Social Engineering einer der beliebtesten Angriffsvektoren von Hackern. Wir gehen davon aus, dass Angreifer die aktuellen Ereignisse stärker denn je für sich nutzen werden. Hier ein paar Beispiele:

• Betrug im Zusammenhang mit Arbeitslosenunterstützung: Der Betrug beim Bezug von Arbeitslosenunterstützung floriert und wir gehen davon aus, dass der Trend 2021 weiter nach oben gehen wird, und zwar enorm. Die niedrigen Bezugshürden und mangelnden Sicherheitsmaßnahmen bei pandemiebedingten Unterstützungsprogrammen für Arbeitslose machen es Betrügern leicht. Sollten von Seiten des Staates weitere finanzielle Anreize zur Abfederung der Pandemiefolgen kommen, wird dies ein nur noch attraktiveres Feld für Betrüger werden.
• Corona: Im neuen Jahr werden kostenlose Corona-Tests bevorzugt als Social-Engineering-Köder dienen. Betrüger werden mit Social Engineering versuchen, unter dem Vorwand, gegen eine geringe Gebühr von 25 Cent einen kostenlosen Corona-Test zu erhalten, an persönliche Daten wie Adresse, Telefonnummer und Kreditkartennummer zu gelangen.
• Noch mehr Corona: Hinter der Behauptung, man könne sich „staatlich geprüfte“ (natürlich nicht …) Apps zur Corona-Bekämpfung aufs Smartphone laden, um damit die Temperatur der Nutzer zu messen, wird der Versuch stecken, manipulierte Software zu verbreiten, die dann zu kriminellen Zwecken missbraucht werden kann.
• Fristen für die Steuererklärung: Die 2020 verlängerten Fristen für die Abgabe der Steuererklärung werden Angreifer dazu verleiten, 2021 aktiv zu werden und in der Steuersaison stark vermehrt Phishing zu betreiben.

Prognose: Erschüttertes Vertrauen in Telemedizin durch gezielte Angriffe, ermöglicht durch Datensicherheitsmängel

Anbieter von Telemedizin bieten Hackern eine enorme Angriffsfläche. Vor der Pandemie machte die Telemedizin nur einen Bruchteil der medizinischen Interaktionen aus. Ab März 2020 allerdings bekam die Telemedizin plötzlich starken Aufschwung und Unterstützung, zum Beispiel durch die vorübergehende Lockerung des US-Gesetzes zum Datenschutz im Gesundheitswesen (HIPAA). Elektronische Krankenakten sind von hohem Wert, weshalb sie in der aktuellen Situation in den Fokus von Betrügern rücken. Es kommt einiges zusammen – mit eventuell dramatischen Folgen: Gesundheitsdienstleister arbeiten fieberhaft daran, Systeme für Telemedizin aufzusetzen und den Ansturm auf die Termine zu bewältigen, während Hacker nach bequemen, vielversprechenden Zielen suchen. Sobald es zu Datenlecks kommt und darüber berichtet wird, wird das das Vertrauen der Patienten erschüttern.

Prognose: Die „neue Normalität“ unter Beschuss

Für 2021 gehen wir davon aus, dass wir uns an die neue Normalität gewöhnt haben werden – Einzelpersonen wie Unternehmen. Dazu werden verstärktes Reisen, weniger Arbeitslose und eine Rückkehr zur Arbeit im Büro gehören, weshalb sich Angreifern folgende Ziele bieten:

• Reisen: Betrüger, die sich die neue Normalität zunutze machen möchten, werden Reisehungrige mit unwiderstehlichen Angeboten im Web oder per E-Mail ködern. Das Mittel der Wahl wird Phishing sein, mit vorhersehbarem Erfolg.
• Rückkehr ins Büro: Bei der Rückkehr an den eigentlichen Arbeitsplatz wird uns ein Trommelfeuer an angeblich produktivitätssteigernden Tools erwarten, die uns die Rückkehr aus dem Homeoffice erleichtern sollen. Bei diesen trojanischen Pferden kann es sich beispielsweise um Apps für Umgebungsgeräusche zur Ablenkung und Beruhigung handeln. Zu erwarten sind nicht nur neuartige Social-Engineering-Versuche, sondern auch Angriffe auf Heimelektronik, wie sie häufig bei Arbeitnehmern zu finden ist, die sich die Arbeitszeit auf das Homeoffice und die Dienststelle aufteilen. Solche Angriffsvektoren können zuerst das Individuum ins Visier nehmen, um darüber ins Unternehmen einzudringen. Im Wechsel Arbeitende werden die Übergangszeit nur hinauszögern; das stiftet Verwirrung und setzt das Unternehmen einem erhöhten Sicherheitsrisiko aus.
• Meldungen zu Datenlecks: 2021 wird die Öffentlichkeit häufiger von Datenlecks bei Unternehmen hören, die ihre Remote-Mitarbeiter nicht ausreichend abgesichert haben.

Prognose: Automatisierung und effizienzsteigernde Lösungen 2021 Trend im Sicherheitsmarkt

• Angesichts der Tatsache, dass viele Unternehmen Existenzsicherung betreiben und dabei das Geschäftsergebnis genau im Auge behalten, wird der Ruf nach Effizienz bei Sicherheitstechnologien lauter werden.
• Das heißt, Sicherheitsteams werden aufgefordert, mit noch weniger noch mehr zu leisten. Im Jahr 2021 wird der Fokus auf Technologien liegen, die Unternehmen genau diese Arbeitsweise ermöglichen. Automatisierung wird im nächsten Jahr bei sicherheitsrelevanten Innovationen eine wichtige Rolle spielen. Laut einer 2020er SANS-Untersuchung zu Automatisierung und Integration besaßen 12 % der Befragten 2019 keine Lösung zur Automatisierung im Sicherheitsbereich. 2020 waren es nur 5 %. Für 2021 sehen wir beim Automatisierungsgrad einen exponentiellen Anstieg.
• Die Vielfalt unter Sicherheitsanbietern wird 2021 abnehmen, weil Unternehmen die Lösungen in ihren Umgebungen konsolidieren möchten. Bewährte Anbieter mit weltweit führenden Technologien und Ansprechpartnern in der Nähe des Kunden werden das Rennen machen, auch wegen ihrer Schwerpunktsetzung: Automatisierung von Sicherheitsaufgaben.
• Da bei den Sicherheitsinvestitionen der unmittelbare Nutzen im Vordergrund steht, wird das Quantum Computing weiter Auftrieb erhalten. Das Mooresche Gesetz wird sich auch beim Quantum Computing zeigen. Mit Quantum Computing lässt es sich effizienter arbeiten, daher werden Unternehmen die Fortentwicklung in diesem Bereich priorisieren. Verbesserungen und Effizienz sind Währungen, die in keiner Rezession an Wert verlieren.

Prognose: Sicher im Internet

Mit zunehmender Bedeutung der Identitätsprüfung und Verantwortlichkeit der Anwender für Berechtigungen und die Kontrolle ihrer Daten wird auch das Interesse an sicherem Surfen und Internet der Dinge (IoT) steigen. Bedenken wegen der Kontaktnachverfolgung und ähnlichen staatlich angeordneten Eingriffen in die Privatsphäre werden in der Öffentlichkeit den Wunsch wecken, Unternehmen und Organisationen im Internet besser identifizieren zu können. Außerdem wird der Ruf nach sicherer IoT-Alltagstechnik wie vernetzten Fahrzeugen, Privatgeräten, Gebäuden oder Websites, E-Mails usw. lauter werden.

Der Blick fünf bis zehn Jahre in die Zukunft

Kurzfristige Prognosen reichten uns nicht, daher entwarfen unsere Experten auch Szenarien über 2021 hinaus: Was sagte die Glaskugel über die nächsten fünf bis zehn Jahre im Sicherheitssektor?

• Weniger Reisen dank Hologramm-Telekonferenzen: Mit jeder neuen Generation geht eine neue Technologie einher, die die Welt „schrumpfen“ lässt. Im frühen 20. Jahrhundert waren dies die Dampfschiffe, mit denen man den Atlantik in nur einer Woche überquerte. Propellerflugzeuge verkürzten die Reisedauer dann auf zwei Tage (mit Zwischenstopps). Als der Linienbetrieb von düsengetriebenen Flugzeugen aufgenommen wurde, dauerte die Reise, die zuvor eine Woche per Schiff in Anspruch genommen hatte, kaum noch zehn Stunden. Mit dem Internet und der Einführung der E-Mail war die Sofortkommunikation geboren. Und heute? Wir nutzen Videotelefonie bei unseren Konferenzen und Besprechungen, weshalb das Reisen häufig gleich ganz entfallen kann. Wahrscheinlich werden wir in zehn Jahren als Hologramme konferieren oder raffinierte Geräte nutzen, mit denen wir Gesprächspartner ohne Spezialbrille in 3D sehen können. Holografieprojektoren auf der Rückseite von Kameras werden Hologramme erzeugen, die einer Besprechung mehr Leben einhauchen können. Dadurch werden sich zahlreiche internationale Reisen zu persönlichen Meetings erübrigen. Damit diese Vorstellung Realität wird, braucht es flächendeckend High-Speed-Datenübertragung, die dazu noch sicher ist. Gerätetechnisch müssen leistungsstärkere Prozessoren und höher auflösende Kameras und Projektoren her. Und bezüglich der Software sind 3D-fähige Codecs mit angemessenen Verschlüsselungsoptionen ein Muss. Hologramme werden zunächst in der Geschäftswelt zum Einsatz kommen, sich aber schnell in den Verbrauchermarkt ausdehnen, weil sie Familien-„Besuche“ der etwas anderen Art ermöglichen.
• Datenschutz: Die Daten, die von der heutigen Jugend „verschenkt“ werden, werden später wie ein Bumerang zurückkommen und Probleme verursachen. Als Konsequenz wird die nächste Generation Informationssicherheit zu einem Thema der Zukunft machen. Einzelne Mitglieder der vom virtuellen Lernen geplagten Generation werden ihr Interesse an Technologie entdecken und darauf aufbauend selbst neue Technologien und Sicherheitslösungen entwerfen, die wiederum andere Entdecker und Erfinder inspirieren werden.

Das war es auch schon. Bei DigiCert blicken wir in die Zukunft, damit wir heute schon bestmöglichen Schutz bieten können. Wir können 2021 kaum erwarten.