Gartner-Prognosen

Auf diese Security-Trends sollten Sie sich einstellen

Mithilfe der Prognosen von Gartner können Unternehmen sich auf Entwicklungen in der IT-Security vorbereiten und ihre Strategien anpassen.
Von 
CSO | 27. Juni 2022 05:30 Uhr
Gartner gibt CISOs und Führungskräften einen Ausblick in das IT-Security-Management der kommenden Jahre.
Gartner gibt CISOs und Führungskräften einen Ausblick in das IT-Security-Management der kommenden Jahre.
Foto: Dean Drobot - shutterstock.com

IT-Sicherheit ist mehr als nur Technologie. Davon sind die Analysten des Markforschungsinstituts Gartner überzeugt, die acht Cybersecurity-Trends für die kommenden Jahre identifiziert haben. Sie prognostizieren, dass Führungskräfte künftig stärker zur Verantwortung gezogen werden, wenn es um die IT-Sicherheit und damit um die Sicherheit des gesamten Unternehmens geht. Außerdem werden sich staatliche Regulierungen hinsichtlich IT-Sicherheit und Datenschutz verschärfen.

Datenschutz für Verbraucher

Laut Gartner werden bis 2023 staatliche Verbraucherdatenschutzrechte für fünf Milliarden Bürger gelten und mehr als 70 Prozent des weltweiten Bruttoinlandsprodukts betreffen.

Im Jahr 2021 hatten bereits fast drei Milliarden Menschen in 50 Ländern Anspruch auf den Schutz ihrer Daten. Und die Datenschutzbestimmungen werden weiter ausgebaut. Gartner empfiehlt Unternehmen aktuelle Fälle zu beobachten, einschließlich der Kosten pro Klage und der Erfüllungszeit von Verbraucherrechten, um eigene Szenarien effizient zu regeln und zu automatisieren.

Security Service Edge

Bis 2025 werden 80 Prozent der Unternehmen eine SSE-Plattform nutzen, um den Zugriff auf das Internet, Cloud-Dienste und private Anwendungen zu vereinheitlichen. Security Service Edge beschreibt die Sicherheitstechnologien, die in einer SASE-Architektur angewandt werden.

Den Analysten zufolge bieten Lösungen von einem einzigen Anbieter im Vergleich zum Best-of-Breed-Ansatz eine erhebliche betriebliche Effizienz und höhere Sicherheit. Zudem haben Unternehmen dank der Konsolidierung weniger Konsolen, die sie verwalten müssen, und weniger Stellen, an denen sie Daten entschlüsseln, prüfen und wieder verschlüsseln müssen.

Zero Trust als Must have

Nach der Prognose von Gartner werden 60 Prozent der Unternehmen bis 2025 Zero Trust als grundlegende Technologie für die Sicherheit einführen.Bereits jetzt sei Zero Trust im Marketing der Sicherheitsanbieter und in den Sicherheitsrichtlinien von Regierungen und Unternehmen weit verbreitet.

Weil das implizite Vertrauen durch identitäts- und kontextbasiertes Vertrauen ersetzt wird, sei der Ansatz äußerst wirkungsvoll. Allerdings erfordere Zero Trust einen Kulturwandeln, da es sich nicht nur um ein Sicherheitsprinzip handele, sondern auch um eine "oganisatorische Vision".

Risiken durch Drittanbieter

Cyberangriffe über Lieferketten nehmen zu. Laut den Analysten überwachen jedoch nur 23 Prozent der Sicherheits- und Risikoverantwortlichen ihre Drittanbieter in Echtzeit auf Cybersecurity-Risiken. Deshalb geht Gartner davon aus, dass Unternehmen damit beginnen werden, das mögliche Risiko durch die Zusammenarbeit mit Dritten als wesentlichen Faktor bei der Geschäftsabwicklung zu berücksichtigen. Dazu gehöre die Überwachung besonders gefährdeter Technologielieferanten bis hin zu ausführlichen Prüfungen bei Fusionen und Übernahmen.

Gartner sagt vorher, dass 60 Prozent der Unternehmen weltweit bis 2025 mögliche Cybersicherheitsrisiken als Hauptkriterium für die Durchführung von Transaktionen und Geschäftsbeziehungen mit Dritten heranziehen werden.

Gesetze für Ransomware-Verhandlung

"Moderne Ransomware-Banden stehlen jetzt nicht nur Daten, sondern verschlüsseln sie auch. Die Entscheidung, das Lösegeld zu zahlen oder nicht, ist eine Entscheidung auf geschäftlicher Ebene, nicht auf der Ebene der Sicherheit", heißt es in dem Gartner-Bericht. Die Prognose der Analysten lautet, dass bis 2025 weltweit 30 Prozent der Nationalstaaten Gesetze erlassen werden, die Zahlungen, Bußgelder und Verhandlungen im Zusammenhang mit Ransomware regeln. 2021 waren es lediglich weniger als ein Prozent.

Grundsätzlich empfiehlt Gartner Unternehmen, die von Ransomware betroffen sind, ein professionelles Incident-Response-Team zu Rate zu ziehen sowie die Strafverfolgungsbehörden und alle Regulierungsbehörden einzuschalten, bevor sie mit den Angreifern verhadeln.

Lesetipp: 42 Prozent der deutschen Unternehmen zahlen Lösegeld

Cyberrisiken in OT-Umgebungen

In der Operational Technology gibt es Hardware und Software zur Überwachung und Steuerung von Endgeräten, Maschinen und Prozessen, die Hacker nur zu gerne ausnutzen. Laut Gartner sollten sich Sicherheits- und Risikomanagementverantwortliche in Betriebsumgebungen mehr Gedanken über reale Gefahren für Mensch und Umwelt machen als über Informationsdiebstahl. Denn wenn eine Maschine durch einen Cyberangriff nicht mehr korrekt funktioniert, kann diese Mitarbeiter verletzen, zum Beispiel durch Überhitzung oder kaputte Notfallabschaltungen.

Aufgrund zunehmender Attacken auf Industrieumgebungen prognostiziert Gartner, dass Bedrohungsakteure bis 2025 ihre Methoden ausbauen werden, um betriebliche Technologien als Waffe auszunutzen und Mensch und Umwelt zu gefährden.

Unternehmensweite Resilienz

Eine "Kultur der organisatorischen Widerstandsfähigkeit" werden 70 Prozent der CEOs bis 2025 fordern, sagt Gartner. Diese Resilienz soll Unternehmen ganzheitlich vor Risiken durch Cyberkriminalität, Naturkatastrophen und politischen Instabilitäten schützen.

Die Corona-Pandemie habe gezeigt, dass ein klassisches Business Continuity Management nicht in der Lage ist, Unternehmen bei dieser Art großer Herausforderungen effektiv zu unterstützen, betonen die Experten. Sie empfehlen Sicherheitsverantwortlichen deshalb, die organisatorische Resilienz als strategische Notwendigkeit anzusehen sowie eine unternehmensweite Resilienzstrategie zu entwickeln, die Mitarbeiter, Kunden und Lieferanten miteinbezieht.

Cybersicherheit ist Chefsache

Laut einer kürzlich durchgeführten Gartner-Umfrage betrachten die meisten Vorstände die Cybersicherheit inzwischen als Business-Aufgabe und nicht mehr nur als technische Anforderung. Somit gehen die Analysten davon aus, dass sich die Verantwortlichkeiten für Cyberrisiken von den Sicherheitsverantwortlichen zur Geschäftsführung verlagern werden. Genauer gesagt: Bis 2026 werden 50 Prozent der Führungskräfte Leistungsanforderungen für Cyberrisiken in ihren Arbeitsverträgen verankert haben.

"Wir können nicht alten Gewohnheiten verfallen und alles so regeln, wie das in der Vergangenheit getan wurde", fasst Richard Addiscott, Senior Director Analyst bei Gartner, zusammen. "Die meisten Sicherheits- und Risikoverantwortlichen haben erkannt, dass eine größere Betriebsstörung nur eine Krise entfernt ist. Diese können wir nicht kontrollieren, aber wir können unser Denken, unsere Einstellung, unsere Prozesse und unsere Organisation weiterentwickeln."

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.