10 Thesen für Cyber Security in 20 Jahren

Cyber Security in 20 Jahren

Die Datenschützer werden den Kampf gegen den Daten-Raubbau verlieren

Keyfacts über Big Data

  • Berufliche und private IT verschmelzen
  • Cyber Threats werden zur großen Bedrohung
  • Cyber Security muss neu gedacht werden
Zusammenfassung lesen

Hacker greifen unsere Konten, unser Unternehmen, unsere Presse an. Wie sieht unsere Sicherheit in 20 Jahren aus? Erste klare Strömungen lassen sich jetzt schon feststellen. Meine Thesen:

1. Wissen ist im Überfluss verfügbar.

Wertvoll wird die Ordnung sein, die Strukturierung der Informationen. In Zukunft gilt es den Information-Overload abzuwehren. Den größten Wert wird dann vielleicht der beste Filter haben.

2. Den ITler gibt es nicht mehr.

Derzeit kann man ansatzweise noch IT-Security-Generalist sein, in 20 Jahren wird das nur noch sehr oberflächlich möglich sein. Spezialisierungen haben aber auch immer zur Folge, dass der Überblick verloren geht. Vielleicht entsteht der IT-Security-Orchestrierer als Spezialist dafür, die richtigen Spezialisten zusammen zu bringen.

3. Berufliche und private IT sind verschmolzen.

Bereits heute wachsen die beiden Bereiche zusammen – das wird sich verstärken. Aus Mitarbeiter-Sicht nimmt die persönliche Betroffenheit bei Angriffen zu, aus Unternehmenssicht erweitert sich die Angriffsfläche.

4. Der Daten-Raubbau hat den Daten-Rohstoff verdrängt.

Schon heute tobt der Kampf zwischen der Nutzung von Daten als Rohstoff einerseits und dem Datenschutz andererseits. Wo verläuft die Front in 20 Jahren? Ich prognostiziere: Die Schlacht der Datenschützer ist dann (leider) endgültig geschlagen.

5. Freiheit wurde gegen Sicherheit getauscht.

Staaten beanspruchen immer mehr Daten. Die Argumente sind eingängig. Gerechtigkeit bei Steuern beispielsweise oder Sicherheit, wenn es um die Vorratsdatenspeicherung geht. Wie wird der Preis aussehen?

6. Die Arbeit hat sich stark verändert.

Aus dem Home Office wird das „Everywhere Mobile Office“. Aus der Trennung von internen und externen Mitarbeitern werden virtuelle Projektteams. Aus Bring-Your-Own-Device (BYOD) wird Use-Your-Own-Devices-Only (UYODO).

7. Angriffe wurden kommerzialisiert.

Einzelne Hacker werden durch organisierte Banden oder gar staatliche Stellen überholt. Der Trend lautet „bigger weapons“ – „persistent action“.

8. Die Produktion hat sich komplett gedreht.

Aus IT-gestützter Produktion wird über Unternehmensgrenzen hinweg vernetzte und individualisierte Produktion.

9. Der Körper ist digital gewachsen.

Aus technischen Hilfsmitteln werden technische körperliche Ergänzungen, zum Beispiel intelligente Prothesen, Chip-Implantate usw.

10. Daten werden nicht hinterlassen, sondern gewonnen.

Aus Data Protection wird Data Management. Aus hinterlassenen Datenspuren wurden aktiv gewonnene Daten. Aus Passwörtern wird Biometrie. Aus dem Zugriff auf Daten wird Zugriff auf Dinge wie Produktionsanlagen, Häuser oder Fahrzeuge.

Die Konsequenz: Wir müssen Cyber-Security neu denken.

Cyberspace wird üblicherweise verstanden als der virtuelle (Daten-)Raum. Cyber Threats sind Bedrohungen in diesem Raum. Die Bedrohung für die Sicherheit geht von Angreifern aus, die im Cyberspace agieren, vielleicht sogar Cyberterroristen sind.

Aber: Wie sinnvoll ist diese Abgrenzung auf den Cyberraum?

Fahren wir mit unserem Auto im Real-Raum oder im Cyber-Raum? Beides! Ein Hochofen, eine Bank, ein Chemiewerk: Die Abgrenzung eines scheinbar virtuellen Raumes gegenüber eines realen Raums ist obsolet geworden. Jeder von uns lebt in einem komplexen Geflecht von Räumen.

Der Netz-Raum ist auch nur ein weiterer dieser Räume. Durch Smartphones, Playstations, Workstations, Industrie 4.0 und das Internet der Dinge ist dieser schon lange genauso mit allen anderen Räumen verwoben wie diese untereinander.

29 %

der Führungskräfte empfinden Cyber Security als das Thema mit den aktuell stärksten Auswirkungen auf ihr Unternehmen.

Was das für die Cyber-Security bedeutet:

1. Wir müssen uns nicht erst in den Cyber Space begeben, damit „Cyber Threats“ und in der Folge „Cyber Security“ für uns relevant werden. Wir sind schon mittendrin – permanent.

2. Der Angreifer ist auch schon da. Angriffe können sich auf Daten beziehen aber ebenso auf Industrieanlagen oder auf Leib und Leben.

3. Ebenso wie die Angriffe muss daher die Abwehr der Bedrohungen umfassend gedacht werden – unter Einbeziehung aller verfügbaren Informationen über die Kern-IT-Security Produkte hinaus, orientiert an den Geschäftszielen und -werten und durch eine Orchestrierung der Technik mit den Prozessen und den handelnden Menschen.

4. Für Unternehmen bedeutet es, dass sie die Abgrenzung ihrer Sicherheitsprozesse zwischen IT und non-IT-Themen ebenso wie die Strukturierung ihrer Sicherheitsabteilungen überdenken müssen.

Unternehmen sollten rechtzeitig beginnen, nicht nur Schutzbedarfsanalyen für IT-Produkte zu erstellen. Sondern sie müssen bei der Kontrolle, Steuerung und Überwachung über die klassischen IT-Daten hinausdenken.

11. Mai 2015
Zusammengefasst

»Einzelne Hacker werden durch organisierte Banden oder gar staatliche Stellen überholt. Der Trend lautet „bigger weapons“ – „persistent action“.«

Cyberspace wird üblicherweise verstanden als der virtuelle (Daten-)Raum. Cyber Threats sind Bedrohungen in diesem Raum. Die Bedrohung für die Sicherheit geht von Angreifern aus, die im Cyberspace agieren, vielleicht sogar Cyberterroristen sind. Unternehmen sollten rechtzeitig beginnen, nicht nur Schutzbedarfsanalyen für IT-Produkte zu erstellen. Sondern sie müssen bei der Kontrolle, Steuerung und Überwachung über die klassischen IT-Daten hinausdenken.

Wilhelm Dolle Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

Reicht die derzeitige IT Security zur Abwehr von Cyber Threats aus?

Kommentar von R.S.
14. Juli 2015 | 02:45 Uhr

Wenn von Freiheit und Sicherheit die Rede ist, dann meist – wie hier – als Gegensätze, die in Ausgleich zu bringen seien oder einander bedrohten. Das halte ich für falsch. Beide sind gegenseitige Bedingungen und zugleich amorphe Gebilde im Auge des Betrachters. Ein einfaches Beispiel ist eine Kreditkartenzahlung: Viele Menschen erleben bargeldloses Zahlen als Freiheit – und geben damit die Sicherheit des Bargeldtransfers auf. Sie werden aber in der Regel nicht individuell Opfer dieser Unsicherheit. Denn die Freiheit der Kreditkartennutzung wird durch Sicherheitsmaßnahmen begleitet, ganz wesentlich auch durch „Überwachung“. Jede Freiheit muss so gesichert werden. Das bedeutet Aufwand, den die Menschen bezahlen. Sind es nun Unfreie, die für ihre Überwachung bezahlen, oder Freie, mit der Freiheit zur unsicherem Verhalten? Es sind schlicht Menschen, deren spezifische Wahrnehmung von Freiheit und Sicherheit ihnen erlaubt, eine Leistung in Anspruch zu nehmen, welche Aspekte von Freiheit, Unfreiheit, Sicherheit und Unsicherheit in sich vereint. Ebenso ambivalent sind der internationale Flugverkehr, eine BYOD-Richtlinie, ist eben alles zu beurteilen, was wir aus unserer individuellen Perspektive in überwiegend Freiheit oder Sicherheit zerlegen. Eine diesbezügliche Entwicklung kann deshalb nicht pauschal in „gut“ und „schlecht“ eingeordnet werden, sondern nur an dem Bewusstsein gemessen werden, in dem sie demokratisch zustande kommt.

Kommentar von Kevin Waechter
10. Juli 2015 | 07:58 Uhr

Sehr interessante und nützliche Artikel hier. Ich stimme mit ihm. Es gibt viele Punkte, die vollständig beschrieben so leicht sind und jeder leicht verstehen.

Kommentar von Bokert
09. Juli 2015 | 08:07 Uhr

Herzlichen Dank für den wirklich interessanten Artikel. Ich selbst bin Betriebswirt, arbeite in einem beratenden Bereich im B2B zum Thema Prozessoptimierung bei KMUs und bin jedes Mal erstaunt, wie wenig Sensibilität in diesen Bereichen (ERP, Vernetzung von Prozessen, Sicherheit etc.) bei den Unternehmen vorherrscht. Darüber hinaus lege ich persönlich großen Wert darauf, dass der Faktor „Mensch“ und „Persönlichkeit“ bei allem nicht außer Acht gelassen wird und man die sich verändernden Bereiche als Chance und eben nicht als Risiko sieht! Trotzdem stehe ich den Themen aus sehr kritisch gegenüber. Als Mensch mit guter Auffassungsgabe und entsprechendem technischen Verständnis lasse ich mir Zusammenhänge sehr gerne erklären. Nur mit Verständnis kann man dem Wandel begegnen und diesen im eigenen Interesse mitgestalten. Was mir jedoch fehlt und immer mehr zunimmt ist die Tatsache, dass am Markt stets zwei Extreme gegenüberstehen (Datenschutz/Sicherheit vs. Geschäftstätig-/Wettbewerbsfähigkeit). Wir alle sprechen darüber, dass Unternehmen und Privatpersonen entsprechend schützen müssen, aber niemand sagt wie das geht! Jeder hat sein eigenes Mützchen auf, aber wer denkt in diesem Bereich übergreifend? Ich habe die letzte CeBit einmal u.a. unter diesen Gesichtspunkten betrachtet: Es gab Vorträge über Möglichkeiten neuer Telefonie, aber die Daten werden im Ausland gehostet. Gegenstimmen wurden abgetan mit den Worten „Was ist an irgendwelchen Ziffern wie einer Telefonnummer so relevant, dass diese geschützt werden müsste?“. Die Kosten seien im Ausland wesentlich geringer. Es gibt Möglichkeiten, Kundendisplays im stationären Handel per Auslesen einzelner Informationen des Smartphone-Lizenzschlüssels, zu steuern. Aus Datenschutzsicht nicht ganz trivial. Aber wen interessiert der Datenschutz? Per Smarthone bzw. Smartwatches kann bezahlt werden. Überspitzt: Es bezahlt, wer das Gerät besitzt. Per App werden Funktionen im Haus gesteuert, doch was, wenn jemand mein Smartphone knackt? Was ist, wenn ich mein Smartphone auch für die Firma nutze und der Eindringling damit auch Einsicht in meine Firma erhält? Ehrliche Frage: Kann ein KMU sich überhaupt in Gänze realistisch schützen, ohne dass die Daten Europa (noch besser Deutschland) verlassen? eCommerce kennt keine geographischen Grenzen. Heute sagen viele Unternehmer: „Was sollte an mir so interessant sein, dass man mich aushorcht? Da stehen wahrscheinlich erst einmal gefühlte 200 andere Unternehmen auf den entsprechenden Listen.“ Doch was sagt man denen, wenn sie nach finanzierbaren Möglichkeiten suchen? Die Margen (beispielsweise im Produktionsverbindungshandel) sind nicht so groß als das man davon noch sehr viel mehr an anderer Stelle investieren könnte. Das geht an die Substanz von Unternehmen. Ist das dann der mögliche Preis? Das Unternehmen kann sich keine Sicherheit leisten und muss die Gefahren eingehen, um am Markt noch eine Zeit bestehen bleiben zu können? Ich würde mir wünschen, wenn es hierzu einmal einen entsprechend aufbereiteten Artikel gibt. Die Unsicherheit am Markt ist sehr groß! Deutschland besteht nicht nur aus DAX-Unternehmen. Ich freue mich auf Ihre Antworten und weitere spannende Artikel – und nein, ich brauche keine individuelle Beratung. Grüße N.Fal

Kommentar von Sebastian Steffens
10. Juni 2015 | 01:50 Uhr

Vielen Dank für den ausführlichen Kommentar! Die Frage, ob (bzw. wie lange) sich – gerade ein kleines oder mittleres – Unternehmen eine angemessene IT-Sicherheit noch leisten kann, wird in der Tat immer relevanter. In Geschäftsbereichen, die nicht umhin können, an der Digitalisierung und der IT-Innovationsspirale teilzunehmen, entwickelt sich damit eine neue Hürde für den Markteintritt oder –verbleib, die sich als (zu) hoher Invest oder alternativ als (zu) hohes Risiko realisiert. Das ist ein (weiterer) Zentralisierungseffekt den man bedauern mag, aber bei dem sich realistisch wohl eher die Frage nach der Anpassungsstrategie als nach Vermeidungsmöglichkeiten stellt. Neu ist das Prinzip ja nicht. Je elaborierter bestimmte Techniken werden, je weniger Unternehmen können noch state-of-the-art Produkte liefern oder betreuen, fragen Sie ihren örtlichen Fernseher-Reparaturservice – ach halt… das wird schwierig. IT-Sicherheit ist eben im besten Fall tatsächlich auch eine intrinsische Produktkomponente – und nicht die simpelste.

Kommentar von Nino Messaoud
11. Februar 2015 | 08:51 Uhr

Ja, auch KMUs können sich wirkungsvoll schützen. Die beste Technologie bringt aber nichts, wenn das Bewusstsein nicht sensibilisiert ist oder Passwörter auf Post-Its am Monitor kleben oder unter dem Keyboard. Man muss sich doch nur die Frage stellen: WAS sind die KOnsequenzen, wenn alle Daten entwendet (Forschungsergebnisse) oder vernichtet warden? Wie lange überlebt der KMU dann noch? Wer diese Frage ehrlich beantwortet, wird die Dringlichkeit sich mit den Themen auseinander zu setzen deutlich erhöhen.

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen