Was erwartet die IT-Sicherheitsverantwortlichen von Unternehmen und Organisationen 2017? Diese Frage beantwortet Utimaco, Hersteller für Hardware-Sicherheitsmodul (HSM)-Technologie, zum Jahresausklang mit folgenden Prognosen:
Sicherheitsstandards bei Industrie 4.0 setzen
Industrie 4.0 und das Industrial Internet of Things (IIoT) werden 2017 vorherrschende Themen sein. Deutschen Unternehmen bietet sich die große Chance, bei den digitalen Produktionsprozessen in Sachen Datensicherheit eine Vorreiterrolle einzunehmen: Insbesondere die Maschinenbau- und Automobil-Branche verfügen schon heute über das Know-how, Komponenten mit Sicherheitsmechanismen wie kryptografische Schlüssel tief in die Geräte einzubauen. Ob die Umsetzung im neuen Jahr gelingt, hängt maßgeblich von zwei Faktoren ab: Zum einen ist es notwendig, IT-Sicherheitsansätze deutlich früher in der Entwicklungsphase zu berücksichtigen. Zum anderen müssen die zwei bisher getrennten Welten IT und Industrie stärker zusammenwachsen.
Internet of Things (IoT) absichern
Vernetzte Geräte werden auch im nächsten Jahr einen Hype erleben. 2017 gilt es jedoch, nicht nur den Nutzen, sondern auch die Sicherheitsrisiken zu sehen. Die Gründe dafür zeigt das Beispiel BYOD (Bring Your Own Device): Viele Unternehmen setzten die Idee mit Blick auf Kosteneinsparungen und Nutzen ohne Sicherheitskonzepte sehr schnell um. So landeten sensible Unternehmensdaten außerhalb des geschützten Unternehmensumfeldes auf privaten Geräten nicht nur ein Sicherheits-, sondern auch ein Compliance-Problem. Um diesen Fehler nicht zu wiederholen, steht also für IT-Verantwortliche im neuen Jahr erst einmal eine Bestandsaufnahme bevor: Wie viele und welche IoT-Geräte befinden sich im Netzwerk? Wo befinden sie sich? Welche ortsbezogenen Nutzer- oder Unternehmensdaten kann das Gerät preisgeben? Anschließend gilt es, die Geräte mit Sicherheitsmechanismen wie eindeutiger Identifikation, Authentisierung oder Verschlüsselung abzusichern und klare Sicherheitsrichtlinien einzuführen – idealerweise bevor eines dieser Geräte im Netzwerk aktiv wird.
Cloud-Anwendungen mit Strategie
Der Kostendruck in den IT-Abteilungen bleibt hoch. Deshalb kommen verstärkt Cloud-Anwendungen zum Einsatz – häufig jedoch ohne ganzheitliches Sicherheitskonzept. Die große Aufgabe für Unternehmen aller Branchen besteht 2017 darin, eine einheitliche Sicherheitsstrategie für die unterschiedlichen Cloud-Anwendungen zu entwickeln und durchzusetzen. Hier empfiehlt sich die Zusammenarbeit mit einem Trusted Service Provider.
Gesetzliche Sicherheitsvorgaben umsetzen
2017 läuft der Countdown: Es gilt, die IT-Struktur und -Prozesse an das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen anzupassen, das ab 2018 für viele Branchen verpflichtend sein wird. Betreiber von Energieversorgungsnetzen müssen bereits bis Ende Januar 2017 ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und zertifizieren. Für Unternehmen aller Branchen sind Absicherungen nach dem jeweiligen Stand der Technik gefordert. Hier sind Hersteller und Service-Provider gefragt, Sicherheitslösungen anzubieten und diese je nach aktueller Bedrohungslage laufend anzupassen.
Die Gesundheitsbranche ist zudem gefordert, ihre IT-Infrastruktur auf das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz)“ vorzubereiten. Bis Mitte 2018 sollen Arztpraxen und Krankenhäuser flächendeckend an die Telematik-Infrastruktur angeschlossen sein. Im Fokus steht dabei unter anderem eine sichere Verschlüsselung der Patientendaten.
Auch bei der 2016 in Kraft getretenen Signaturverordnung eIDAS, die einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung elektronischer Identifizierungsmittel und Vertrauensdienste schafft, tickt die Uhr: Anbieter von Vertrauensdiensten, Zeitstempeln und Siegeln müssen bis 1. Juli 2017 die technischen Vorgaben umsetzen und ihre Systeme zertifizieren lassen. Schon jetzt bietet der Markt eIDAS-konforme Lösungen, etwa mit integrierten Hardware-Sicherheitsmodulen (HSM) als qualifizierte elektronische Signaturerstellungseinheiten.
Das EU-US Privacy Shield hingegen wird vermutlich nach Überprüfung des Europäischen Gerichtshof (EuGH) das neue Jahr in dieser Form nicht überstehen: Viele Datenschutzbeauftragte sehen hier Verstöße gegen EU-Standards. Unabhängig vom Urteil sind Unternehmen und Organisationen auf der sicheren Seite, wenn sie sensible Informationen so nah wie möglich an der Datenquelle verschlüsseln und einen unknackbaren Tresor für die Schlüsselverwaltung einrichten. Diesen Vertrauensanker bieten beispielsweise Hardware-basierte Sicherheitselemente wie Smartcards, Token und Hardware-Sicherheitsmodule an der Infrastrukturbasis.