- Anzeigen -


Sie sind hier: Home » Markt » Hintergrund

Kaufen Sie nicht den Hype


Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Sicherheit im Handel 2019: Bequemlichkeit = Risiko

- Anzeigen -





Kunden werden was ihr ganz persönliches Einkaufserlebnis anbelangt immer anspruchsvoller. Händler tun folglich alles, um für die bevorstehende Feiertagssaison sämtliche Möglichkeiten auszureizen. Ladenlokale werden digitaler und vernetzter sein als je zuvor und Online-Shoppern wird eine Einkaufserfahrung geboten, die mit dem des stationären Handels vergleichbar ist. Das ist auf den ersten Blick erfreulich. Allerdings hat diese Entwicklung einige unerwünschte Nebenwirkungen in punkto Sicherheit. Händler setzen sich neuen Sicherheitsrisiken aus, zumal wenn wir über die Weihnachtszeit hinaus bis ins folgende Jahr 2019 weiterdenken. Technologien, die Komfort versprechen und bequem sind, setzen Verbraucher und Händler gleichermaßen erhöhten Risiken aus. Dessen sollte sich die Branche bewusst sein.

Die Hälfte der im Rahmen einer Retail-Studie befragten Unternehmen meldete im vergangenen Jahr eine Datenschutzverletzung. Es liegt auf der Hand, dass das Weihnachtsgeschäft für Cyberkriminelle die ideale Zeit ist, sowohl Händler als auch Verbraucher ins Visier zu nehmen. Händler sollten also sehr wachsam sein und nachverfolgen, wer sich warum mit ihrem Netzwerk verbindet – und aus welchen Motiven. Der Schutz von Kundendaten, wie beispielsweise Kreditkarten- und Zahlungsdaten, steht an oberster Stelle.

Informieren Sie sich 2019 so umfassend wie möglich über Händler, die zusätzliche Sicherheitsmaßnahmen einführen. Insbesondere was den Schutz von wichtigen Informationen von IoT-Geräten anbelangt. Händler müssen grundlegende Sicherheitsmaßnahmen, wie Verschlüsselung an jedem Kontaktpunkt einsetzen, innerhalb der gesamten Lieferkette, am Einkaufsort und am Bestimmungsort. Nur das gewährleistet einen wirklichen Schutz von Verbraucher- und Unternehmensdaten.

Dazu kommt, dass die nächste Händlergeneration langsam auch in bargeldlosen Umgebungen Fuß fasst. Schlange stehen entfällt und Zahlungen werden automatisch abgewickelt. Ein bargeldloser Marktplatz scheint die ideale Option für Kunden zu sein, die möglichst komfortabel einkaufen wollen. Allerdings gibt es eine Reihe von berechtigten Sicherheitsbedenken. Mehr Bequemlichkeit an der einen Stelle bringt fast immer ein höheres Sicherheitsrisiko an anderer Stelle mit sich.

Kunden, die sich beispielsweise mit einem zum Ladengeschäft komplementären WLAN verbinden, erhöhen die Wahrscheinlichkeit, dass Hacker im Netzwerk des Händlers Schaden anrichten.

Zu den Daten, die Händler üblicherweise speichern, zählen Trackingdaten zum Einkaufsverhalten ihrer Kunden. Damit sind unendlich viele personenbezogene Daten einem Risiko ausgesetzt. Händler müssen sich fragen, ob ein außergewöhnliches Shopping-Erlebnis wirklich eine Datenschutzverletzung wert ist. Oder, was noch wichtiger ist, ob zu diesem Shopping-Erlebnis nicht automatisch ein Höchstmaß an Datenschutz und Datensicherheit gehören sollte. (Von Vikram Ramesh, Head of Solutions, Thales eSecurity)


Quanten-Computing schreibt die Regeln neu: Wie Unternehmen Post-Quantum-Algorithmen nutzen können
Der Fortschritt bei der Entwicklung von Quantenrechnern hat sich im Laufe der Jahre verändert. Einige Experten glauben schon nicht mehr an eine Umsetzung im großen Stil. Trotzdem sollte man die Möglichkeit eines plötzlichen Durchbruchs nicht völlig außer Acht lassen. Quantenrechner im großen Maßstab einzusetzen verspricht in einigen Bereichen wesentliche Fortschritte. Bestimmte schwierige Probleme lassen sich so viel einfacher lösen. Die NASA prüft beispielsweise derzeit, Quantenrechner bei der Analyse der riesigen Datenmengen, die sie über das Universum sammelt, einzusetzen sowie zur Erforschung besserer und sichererer Methoden der Raumfahrt *.

Wenn man sich die Datenspeicherstruktur des Internets ansieht, erinnert sie ein wenig an alte Städte wie Rom oder Istanbul, bei denen moderne Strukturen auf die alten aufgesetzt werden. Ganz ähnlich verhält es sich mit aktuellen Internetspeicherstrukturen, die auf darunter liegende Schichten von veraltetem, nicht gepflegtem Code eingerichtet werden. Die Sucht der IT-Branche nach Neuheiten kann so zum Bumerang für den Datenschutz werden. Zum Beispiel weil diese vernachlässigten Codebereiche leicht zugänglich sind und von böswillig agierenden Experten ausgenutzt werden könnten. Für Unternehmen ist es unerlässlich, sich auf Kryptographie-Ansätze für das Zeitalter der Quantenrechner und die Post-Quantum-Welt zu konzentrieren. (Duncan Jones, Head of Research bei Thales eSecurity)


2019 besteht die Chance noch rechtzeitig zu handeln und jetzt in Post-Quantum zu investieren.
Das aktuelle Quantum-Klima - Erst jetzt, nach Jahrzehnten allmählichen Fortschritts, stehen Forscher kurz vor dem Bau von Quantenrechnern, die leistungsfähig genug sind, um Dinge zu tun, zu denen herkömmliche Computer nicht in der Lage sind. Google hat bei diesen Bemühungen eine führende Rolle, aber auch Intel und Microsoft haben erhebliche Anstrengungen in diesem Bereich unternommen.

Der Schlüssel zum Entsperren der Kryptographie - Computernetzwerke sind nur deshalb sicher weil aktuelle Computer bestimmte mathematische Probleme nicht lösen können. Sobald Quantencomputer einsatzbereit sind, ändert sich das grundlegend und einige der derzeit bestehenden Schutzmaßnahmen sind wertlos.
Aktuelle Maßnahmen – Einige der gegenwärtigen Initiativen versuchen verschiedene quantenresistente Kryptografievorschläge frühzeitig an den Start zu bringen, sodass die Internet-Kryptographie nicht von Quantum-Fähigkeiten zunichte gemacht werden kann.

Maßnahmen ergreifen - Organisationen müssen auf kryptografisch agile Systeme hinarbeiten, sodass sie sobald es nötig wird diese Systeme umstellen. Diese müssen in der Lage sein, die derzeitig verwendeten Verschlüsselungsalgorithmen und Typen von Algorithmen im Falle einer auftretenden Schwachstelle auszutauschen. (Duncan Jones, Head of Research bei Thales eSecurity)


Blockchain: Eine Lösung, die immer noch nach einem Problem sucht?
Zwar sollen die Ausgaben für Blockchain bis 2022 weltweit fast 12 Milliarden US-Dollar betragen*, aber es ist fraglich, ob die Technologie tatsächlich schon so weit ist.

2019 könnte der Höhepunkt im Hype-Zyklus um Blockchain werden. Das ist sicherlich noch nicht der Gipfel was die Zahl der Implementierungen anbelangt. Von diesem Zeitpunkt sind wir nach wie vor Jahre entfernt. Der Technologie fehlen ausgereifte Funktionen, wie Benutzer- und Schlüsselverwaltung, die nötig sind, um den Trend der Enterprise-Blockchain in Schwung zu bringen.

Wenn es um Blockchain-Budgets geht, haben Führungskräfte entweder ein Problem, für dessen Lösung Blockchain notwendig ist, oder es gibt ein Blockchain-Budget, das quasi nach einem Problem sucht. Und genau das ist meistens der Fall. (Duncan Jones, Head of Research bei Thales eSecurity)

Kaufen Sie nicht den Hype - Blockchains sind eine brillante Anwendung der Kryptografie für das Konzept eines verteilten, unveränderlichen Protokolls. Trotzdem sind Blockchains für die weitaus meisten Probleme über deren Lösung Unternehmen nachdenken völlig ungeeignet. Gerade was die Nachteile der Technologie anbelangt.
Blockchain ist kein riesiger, verteilter Computer - Es gibt keine Parallelschaltung, keine Synergien und keine gegenseitige Unterstützung. Es gibt nur eine sofortige millionenfache Vervielfältigung. Das ist das Gegenteil von effizient - und das ist entscheidend.

2019 wird der Hype sich zerstreuen - Unternehmen werden Komplexität sowie die Art und Weise der Zusammenarbeit besser einschätzen können, die für die Integration von Enterprise-Blockchain-Anwendungen in den Geschäftsalltag nötig sind. (Duncan Jones, Head of Research bei Thales eSecurity)


Wenn wir die Algorithmen verstehen wollen, die über unser Leben entscheiden, müssen wir mehr Forschungsarbeit leisten
Jeden Tag lesen wir etwas zum Potenzial von intelligenter werdenden Algorithmen. Wir trainieren sie, alle Arten von Entscheidungen zu treffen - von der Frage, was ein Auto an einer Kreuzung tun soll, bis zu der Frage, ob ein inhaftierter Krimineller eine Anhörung für seine vorzeitige Entlassung verdient.

Künstliche Intelligenz (KI) und maschinelles Lernen haben in letzter Zeit große technische Fortschritte gemacht. Laut einer Salesforce-Studie werden bis 2020 57 Prozent der Geschäftskunden davon abhängig sein, dass Unternehmen wissen, was Kunden brauchen, bevor sie danach fragen. Unternehmen benötigen solide Prognosefähigkeiten, und KI wird wesentlich dazu beitragen, Kunden zu binden. Allerdings sollte man nicht vergessen, dass jeder technologische Fortschritt auch eine Kehrseite hat. Und, dass es ganz sicher jemanden gibt, der diesen Fortschritt zu unlauteren Zwecken missbrauchen will und wird.

Auf der Jagd nach Autonomie und fortschrittlicheren Entscheidungen durch Maschinen ist Due Diligence von entscheidender Bedeutung. Sie erst gewährleistet, dass wir ausreichend in die Forschung investieren um Algorithmen und ihre Entscheidungsfindung besser zu verstehen.

Ohne dieses grundlegende Verständnis können weder die Industrie noch die Gesellschaft selbst absehen, wie ein Algorithmus auch untergraben werden kann. Soviel ist jedenfalls sicher: Wir werden den Tag erleben, an dem ein Algorithmus kompromittiert wird. (Duncan Jones, Head of Research bei Thales eSecurity)


Wie man Algorithmen anwenden kann – Techniken und Methoden maschinellen Lernens sollen den Sicherheitsanalytiker nicht ersetzen, sie sollen mit ihm zusammenarbeiten und ihn entlasten.
Algorithmen auf beiden Seiten - Wir haben es bereits erlebt: Algorithmen sind in der Lage manuelle Vorgehensweisen zu ersetzen, wenn es gilt Systeme zu kompromittieren. Das werden wir 2019 noch häufiger sehen. Algorithmen lassen sich schließlich von beiden Seiten nutzen. Und maschinelles Lernen wird zweifelsohne dazu verwendet werden, Angriffe zu lancieren sowie dazu sie vorauszusehen und abzuwehren.

Der Faktor Mensch - Obwohl künstliche Intelligenz Vorteile für viele Aspekte des privaten und beruflichen Lebens bietet, gab und gibt es Bedenken hinsichtlich ihres zukünftigen Einsatzes in der Gesellschaft. Viele traditionelle berufliche Positionen wie Bankangestellte und Supermarktmitarbeiter sind bereits vielfach durch Maschinen ersetzt worden. Was die Arbeitslosenquoten anbelangt löst das begründete Besorgnis aus.
(Duncan Jones, Head of Research bei Thales eSecurity)


Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem
Im kommenden Jahr werden die Themen "mangelnde Qualifikation" und "Fachkräftemangel" in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen. Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei
Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

Sicherheit auf die Agenda
Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: "Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?" Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des kommenden Jahres mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2 Prozent des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4 Prozent - die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt. (Bridget Kenyon, Global CISO, Thales eSecurity)
(Thales eSecurity: ra)

eingetragen: 08.12.18
Newsletterlauf: 10.01.19

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • 50 Jahre Internet: Von 4 auf 4 Milliarden Nutzer

    Ursprünglich war das Internet etwas kleiner geplant, als wir es heute kennen. Gerade einmal vier Universitäten in den USA sollte das sogenannte Arpanet verbinden, als die Pläne für eine Vernetzung von Computern Ende der 1960er Jahre Gestalt annahmen. Der erste Knoten des Arpanet, ein sogenannter Host an der Universität von Los Angeles, nahm vor 50 Jahren, am 30. August 1969, seinen Betrieb auf. Er legte die Grundlage für das Internet und eine weltweite Erfolgsgeschichte. Im vergangenen Jahr war nach Zahlen der International Telecommunications Union (ITU) erstmals mehr als die Hälfte der gesamten Weltbevölkerung online. Demnach nutzten 2018 rund 3,9 Milliarden Menschen das Internet. 2001, als diese Zahlen erstmals erhoben wurden, waren es gerade einmal 495 Millionen oder 8 Prozent der Weltbevölkerung.

  • Neue Vertriebsstrategie im Dark Web

    Das Konto von Anwender zu hacken ist wie der Einbruch in ein Haus: Entweder man verschafft sich gewaltsam Zutritt oder sucht nach dem Ersatzschlüssel unter der Fußmatte. In der Cyberwelt scheint letztere Vorgehensweise so einfach wie nie. Die Zahl der exponierten Zugangsdaten im Open, Deep und Dark Web hat einen neuen Höchststand erreicht. Allein auf der Website Haveibeenpwned können Betroffene in über 8 Mrd. Datensätze nach geleakten Logindaten suchen. Das Repository von Digital Shadows umfasst über 16 Mrd. Anmeldeinformationen - ein Wachstumsende ist nicht in Sicht. Cyberkriminelle gelangen auf unterschiedlichen Wegen zu Login/Passwort-Kombinationen. Dazu gehört neben Phishing, Malware und Harvesting Bots auch der Großeinkauf auf kriminellen Foren. Das Photon Research Team hat hier eine neue Masche beim Verkauf von sogenannten Combolisten aufgedeckt. Gewöhnlich handelt es sich dabei um lange Textdateien, die Millionen von Benutzernamen- und Passwortkombinationen enthalten. Bekanntestes Beispiel ist die 2017 entdeckte "The Anti Public Combo List", die mehr als 562 Mio. Zugangsdaten enthielt und sich aus unterschiedlichen Datenleaks zusammensetzte.

  • Neue Sextortion-Masche

    Forscher von Kaspersky haben ein neues Erpressungsschema aufgedeckt: Cyberkriminelle geben sich als korrupte CIA-Beamte aus und fordern 10.000 US-Dollar in Bitcoins von den Opfern, deren Namen angeblich bei Untersuchungen im Zusammenhang mit Online-Pädophilie aufgetaucht sind. Bis dato ist unklar, wie viele Personen von diesem Betrug betroffen sind. Sextortion, also Erpressungsversuche, die damit drohen, das vermeintliche Interesse an Online-Pornographie zu enthüllen, ist nicht neu. Private Informationen, die aus früheren Datenlecks stammen, dienen meist als Grundlage für eingeblendete Informationen. Typischerweise sind solche falschen Erpresser-E-Mails aufgrund ihrer mangelhaften Aufmachung und der fehlerhaften Sprache leicht zu identifizieren. Die nun von Kaspersky entdeckte "CIA-Sextortion"-E-Mail wurde jedoch sorgfältig formuliert und ist mit einem kopierten CIA-Logo versehen.

  • Statische Angriffstaktiken sind Vergangenheit

    Vor einigen Tagen jährte sich der erste bekannte Fall einer Cyberangriffsmethode, die Unternehmen jeglicher Branche und Größe auch weiterhin in Atem hält. Am 22. Juli 1999 wurde ein Computer der University of Minnesota in den USA von einem Netzwerk 114 weiterer Rechner attackiert - auf ihnen lief das Programm Trin00, welches später immer wieder für die Lancierung von DDoS-Attacken genutzt wurde. Damals veranlasste der schadhafte Code auf den betroffenen Computern diese schließlich dazu, das Netzwerk der Forschungseinrichtung mit Datenpaketen zu bombardieren. Dies führte zur Überlastung der Rechner und legitime Anfragen konnten nicht mehr bearbeitet werden. Das System der Universität lag zwei Tage lahm. Der Vorfall in den Vereinigten Staaten stellte die erste Distribued-Denial-of-Service-Attacke dar.

  • IT-Security 2019: die Zwischenbilanz

    Die erste Halbzeit ist vorbei: Wie lautet der Zwischenstand für das Jahr 2019 im Bereich IT-Sicherheit? Dies soll aus fünf Perspektiven betrachtet werden: Datenschutz-Verletzungen, Cloud Computing, Domain Name System (DNS), mobile Geräte und Bots. Durch Cyberangriffe, Ransomware und Datenschutz-Verletzungen wurden von Januar bis April 2019 etwa 5,9 Milliarden Datensätze offengelegt. Fast jeder Privatnutzer erhält inzwischen Erpressungs-Mails von Cyberkriminellen, weil sie im Besitz seines Passworts oder der E-Mail-Adresse seien. Ob Gesundheitswesen, Automobilbranche, öffentliche Hand, Einzelhandel oder IT-Sektor: Auch Unternehmen jeder Branche werden heute angegriffen.