Schlagwort: IT-Sicherheit

Kryptographie, Netzwerk, Post-Quanten-Kryptografie, Quantencomputing, Risikomanagement

Die Uhr läuft: Warum die Post-Quanten-Migration jetzt beginnen muss

Be liberal in what you accept – don’t trust anything. Das Thema Vertrauen in Netzwerken hat einen radikalen Wandel vollzogen. Wo es in den Anfangszeiten der modernen IT noch mit einer guten Portion Vertrauensvorschuss voranging, ist heute große Skepsis angebracht. Und mit Quantencomputern steht bereits der nächste Paradigmenwechsel bevor.

Vertrauen im Wandel – eine kurze Geschichte der Netzwerksicherheit

In general, an implementation should be conservative in its sending behavior, and liberal in its receiving behavior.” Diesen Satz formulierte Jon Postel in den Anfangstagen des Internets. Mit diesem Satz in seinem RFC 760 zum Internet-Protokoll im Jahr 1980 sollte er die Netzwerkentwicklung nachhaltig prägen. Nur ein Jahr später, im RFC 793 zur Spezifikation des TCP, erhob er diesen Gedanken explizit zum Robustheitsprinzip: „Be conservative in what you do, be liberal in what you accept from others.

Zum damaligen Zeitpunkt galt dies als pragmatische Ingenieursweisheit. Es entsprach dem Geist einer Zeit, in der das Netz eine überschaubare Gemeinschaft von Universitäten und Forschungseinrichtungen verband. Man kannte sich. Man vertraute sich. Und genau dieses Grundvertrauen wurde zum Fundament eines Netzwerks, das nie für das gebaut wurde, was es heute ist: Ein globales Netzwerk, wo die nächste Gefahr fürs eigene Netzwerksegment nur einen Hop entfernt ist.

Als das Internet in den 1990er-Jahren seinen Weg in Unternehmen fand, wurde schnell klar, dass Postels großzügiges Prinzip allein nicht ausreichen würde. Nicht jeder Teilnehmende im Netz hatte gute Absichten. Die Antwort der IT-Sicherheit folgte einer Logik, die so alt ist wie die Zivilisation selbst: Man baute eine Mauer. Das Modell des Perimeterschutzes war geboren – eine klare Grenze zwischen Innen und Außen. Firewalls filterten den Datenverkehr an den Toren. Was innerhalb der Mauern lag, galt als vertrauenswürdig. Postels Prinzip der Großzügigkeit lebte dort weiter – aber nur noch im geschützten Inneren.

Doch Mauern haben ein grundsätzliches Problem: Sie schützen nur, solange niemand sie überwindet. Wer einmal drinnen ist – ob berechtigt oder nicht – genießt volles Vertrauen. Und die Welt jenseits der Mauern wurde größer, feindseliger, unübersichtlicher.

Parallel dazu reiften kryptografische Verfahren heran, die eine fundamental andere Art von Vertrauen ermöglichten: nicht mehr Vertrauen durch Zugehörigkeit zu einem Netzwerk, sondern Vertrauen durch mathematisch überprüfbare Identität. SSL und sein Nachfolger TLS sicherten die Kommunikation zwischen Endpunkten. VPNs schufen verschlüsselte Tunnel zwischen perimetergeschützten Umgebungen über unsicheres Terrain. Public-Key-Infrastrukturen etablierten Vertrauensketten, die an keine physische Netzwerkgrenze gebunden waren. Was als Ergänzung zum Perimeterschutz begann, wurde zunehmend zu einer eigenständigen Sicherheitsschicht – und schließlich zu einer Alternative.

Nach der Jahrtausendwende formulierte John Kindervag bei Forrester Research im Jahr 2010 den konsequenten Schluss aus dieser Entwicklung: Zero Trust. Das Prinzip ist in seiner Radikalität bemerkenswert einfach: Vertraue niemandem. Verifiziere immer alles.  Kein Netzwerkstandort, keine IP-Adresse, keine Firewall-Regel gewährt Vertrauen – nur die kryptografisch gesicherte, kontinuierlich überprüfte Identität eines Akteurs und der Kontext seiner Anfrage.

Zero Trust ist damit nicht nur eine technische Architektur. Es ist die konsequente Umkehrung von Postels Erbe. Wo das Robustheitsprinzip noch sagte “Sei großzügig in dem, was du akzeptierst”, antwortet Zero Trust “Akzeptiere nichts, was sich nicht zweifelsfrei ausweisen kann”. Aus implizitem Vertrauen wurde explizite Verifikation. Was einst als Tugend galt – Offenheit, Toleranz gegenüber dem Unbekannten – wurde in einer feindlichen Umgebung zur Schwachstelle.

Die Geschichte der Netzwerksicherheit ist damit auch eine Geschichte darüber, wie sich der Begriff des Vertrauens selbst gewandelt hat: vom sozialen Grundkonsens einer akademischen Gemeinschaft über die territoriale Logik befestigter Grenzen hin zu einem System, in dem Vertrauen nicht vorausgesetzt, sondern in jedem einzelnen Moment mathematisch bewiesen werden muss. Postel entwarf sein Prinzip für eine Welt, in der guter Wille die Regel war. Zero Trust wurde für eine Welt gebaut, in der man sich diesen guten Willen nicht mehr leisten kann.

Die vier Bedrohungsachsen der Kryptografie

Heute ist die Netzwerksicherheit fundamental von der Sicherheit der eingesetzten kryptografischen Verfahren abhängig. Diese Verfahren sehen sich vier zentralen Bedrohungsachsen ausgesetzt:

  1. Kontinuierliche Steigerung der Rechenleistung – was heute als sicher parametrisiert gilt, kann morgen durch brute-force-fähige Hardware fallen.
  2. Protokoll- und Implementierungsfehler – von Heartbleed (CVE-2014-0160) über ROBOT (CVE-2017-17382, CVE-2017-6168) bis hin zu Timing-Seitenkanalangriffen. Die Lücke liegt oft nicht im Algorithmus, sondern im Code.
  3. Mathematische Fortschritte – neue analytische Methoden können die effektive Sicherheit eines Verfahrens über Nacht reduzieren, wie zuletzt die Diskussionen um Angriffe auf gitterbasierte Verfahren zeigten.
  4. Quantencomputer – ein kryptografisch relevanter Quantencomputer (CRQC) würde RSA, ECDSA und Diffie-Hellman mittels Shors Algorithmus in polynomialer Zeit brechen.

Die strategische Antwort auf diese Bedrohungen trägt einen Namen: Kryptoagilität – die architektonische Fähigkeit, kryptografische Verfahren in bestehenden Systemen zügig und ohne disruptive Umbaumaßnahmen austauschen zu können (vgl. Fraunhofer SIT: Kryptoagilität). Kryptoagilität ist keine Option mehr. Sie ist eine Überlebensfähigkeit.

Die Quantenbedrohung: Näher als viele glauben

Lange Zeit galt ein kryptografisch relevanter Quantencomputer (CRQC) als akademische Spekulation. Doch die Faktenlage hat sich verdichtet:

  • 2015 veröffentlichte Prof. Michele Mosca, Mitgründer des Institute for Quantum Computing an der University of Waterloo, eine vielbeachtete Risikoabschätzung: Die Wahrscheinlichkeit, dass die heute eingesetzte Public-Key-Kryptografie durch einen Quantencomputer gebrochen wird, liege bei ca. 14 % bis 2026 und bei 50 % bis 2031 (Mosca 2015, eprint.iacr.org/2015/1075).
  • 2016 rief das NIST den Standardisierungsprozess für Post-Quantum Cryptography (PQC) ins Leben. In der Begründung (NIST IR 8105) hieß es unmissverständlich: Ein CRQC könne innerhalb von ein bis zwei Jahrzehnten zur realen Bedrohung werden.
  • August 2024 veröffentlichte das NIST die finalen PQC-Standards: FIPS 203 (ML-KEM, basierend auf CRYSTALS-Kyber), FIPS 204 (ML-DSA, basierend auf CRYSTALS-Dilithium) und FIPS 205 (SLH-DSA, basierend auf SPHINCS+). Der Werkzeugkasten für die Post-Quanten-Ära existiert. Die Standards sind da.
  • 2025 und darüber hinaus setzt sich die Standardisierungsdynamik fort: Mit FIPS 206 (FN-DSA, basierend auf FALCON) steht ein weiterer NIST-Standard für digitale Signaturen kurz vor der Veröffentlichung – ein Verfahren, das insbesondere durch kompakte Signaturen bei gleichzeitig moderaten Schlüsselgrößen besticht. Parallel dazu treibt die ISO die Standardisierung zweier Verfahren voran, die bewusst auf konservativere – und damit besser verstandene – mathematische Grundlagen setzen: FrodoKEM, dessen Sicherheit auf dem allgemeinen Learning-with-Errors-Problem (LWE) ohne Gitterstruktur basiert, sowie Classic McEliece, ein codebasiertes Verfahren mit über 40 Jahren kryptoanalytischer Resistenz (vgl. BSI TR-02102-1, Kryptografische Verfahren: Empfehlungen und Schlüssellängen, Version 2026-01, Abschnitte 2.4.1 & 2.4.2). Damit zeichnet sich ein diversifiziertes PQC-Ökosystem ab – eines, das nicht von einer einzelnen mathematischen Annahme abhängt und der Forderung nach Kryptoagilität auch auf Verfahrensebene Rechnung trägt.

Ein bemerkenswertes Detail verdient besondere Aufmerksamkeit: Anders als bei der Kernfusion, die stets „in 50 Jahren“ einsatzbereit sein soll – egal, wann man fragt –, hat sich die Einschätzung der Krypto-Community zum Zeithorizont eines CRQC über das letzte Jahrzehnt nicht nach hinten verschoben. Die Prognosen konvergieren beständig auf den Zeitraum 2030 bis 2035. Das ist keine vage Zukunft. Das ist dieses Jahrzehnt.

Harvest Now, Decrypt Later – die Bedrohung von heute

Die Quantenbedrohung ist keine Zukunftsmusik – sie materialisiert sich bereits. Unter dem Paradigma „Harvest now, decrypt later“ (HNDL) werden heute verschlüsselt übertragene Daten von staatlichen Akteuren und nachrichtendienstlichen Einheiten systematisch abgefangen und gespeichert, um sie zu einem späteren Zeitpunkt mit einem CRQC zu entschlüsseln.

Betroffen sind alle Daten, deren Vertraulichkeit über den Zeitpunkt der Übertragung hinaus Bestand haben muss: Staatsgeheimnisse, medizinische Daten, Geschäftsgeheimnisse, Verhandlungspositionen, Quellenschutz. Wer heute verschlüsselt kommuniziert, aber klassische Verfahren nutzt, gewährt retrospektive Einsicht, sobald ein CRQC verfügbar ist.

Die Bedrohung durch Quantencomputer ist daher nicht erst in zehn Jahren relevant. Sie ist es bereits jetzt.

Moscas Ungleichung: Warum die Schere bereits aufgegangen ist

Die eigentliche Eskalation liegt nicht im Quantencomputer selbst – sie liegt in der Asymmetrie zwischen Angriffs- und Verteidigungstempo.

Filippo Valsorda, einer der profiliertesten Stimmen im Bereich angewandter Kryptografie, hat diese Dynamik in einer vielbeachteten Analyse (words.filippo.io/crqc-timeline) auf den Punkt gebracht: Mit jedem Durchbruch in der Quantenfehlerkorrektur komprimiert sich die prognostizierte Zeitlinie für einen CRQC, während sich gleichzeitig die für eine vollständige kryptografische Migration benötigte Zeit als erschreckend lang erweist.

Das formalisiert Moscas Ungleichung:

x + y < z

x = benötigte Migrationszeit, y = geforderte Schutzfrist der Daten, z = verbleibende Zeit bis zum CRQC

Sobald x + y > z (die Summe aus Migrationszeit und Schutzbedarf die verbleibende Zeit bis zum CRQC übersteigt) ist das Zeitfenster für eine rechtzeitige Absicherung unwiderruflich geschlossen. Jeder Tag ohne begonnene Migration ist ein Tag, an dem die Schere weiter aufgeht. Es gibt keinen Weg, verlorene Zeit zurückzugewinnen.

Die konvergierenden Signale sind eindeutig: Google demonstrierte im Dezember 2024 mit dem Quantenprozessor Willow erstmals eine skalierende Quantenfehlerkorrektur unterhalb der Fehlerschwelle, wie sie seit den 1990er‑Jahren theoretisch vorhergesagt wurde. Die Ergebnisse, veröffentlicht in der wissenschaftlichen Fachzeitschrift Nature, zeigen, dass logische Qubits mit wachsender Größe exponentiell zuverlässiger werden. Ein Durchbruch, der Quantencomputing von einem physikalischen Experiment zu einer ingenieurtechnisch beherrschbaren Technologie und damit das Narrativ „Quantencomputer sind noch Jahrzehnte entfernt“ endgültig obsolet macht.

IBM, Google und Microsoft haben in den Jahren 2024–2025 konsistente Roadmaps veröffentlicht, die jeweils explizit auf fehlerkorrigierte (fault‑tolerante) Quantensysteme abzielen (Roadmap IBM, Roadmap Google, Roadmap Microsoft). Obwohl sie unterschiedliche Hardware‑Ansätze verfolgen, konvergieren ihre Zeitpläne auf die späten 2020er Jahre, mit ersten großskaligen, logisch geschützten Quantensystemen bis zum Ende dieses Jahrzehnts.

Nationale Sicherheitsbehörden gehen heute explizit davon aus, dass staatliche Akteure bereits verschlüsselten Datenverkehr massenhaft erfassen und langfristig speichern, um ihn mit zukünftigen kryptografischen Durchbrüchen – insbesondere durch Quantencomputer – nachträglich zu entschlüsseln. Dieses bereits weiter oben benannte Vorgehen ist als Harvest Now, Decrypt Later (HNDL) bekannt und wird in aktuellen Regierungs‑, Industrie‑ und Aufsichtsberichten als gegenwärtige, operative Realität beschrieben (stateofsurveillance.org, federalreserve.gov).

Damit hat sich die zentrale Frage verschoben: Es geht nicht mehr darum, ob die heutige Public-Key-Kryptografie fällt, sondern ob unsere Infrastrukturen schnell genug umgerüstet sein werden, wenn es so weit ist.

Was jetzt zu tun ist

Das klingt düster, ist aber kein Grund zur Resignation. Es ist ein Grund zum Handeln. Der Werkzeugkasten existiert. Die Standards sind verabschiedet. Die Migrationspfade werden klarer. Was fehlt, ist nicht Technologie. Was fehlt, ist Entschlossenheit und begonnene Arbeit.

Fünf Schritte, die Sie diese Woche anstoßen können:

  1. Kryptografisches Inventar erstellen Sie können nicht migrieren, was Sie nicht kennen. Erfassen Sie systematisch, wo in Ihrer Infrastruktur welche kryptografischen Verfahren im Einsatz sind – von TLS-Konfigurationen über VPN-Tunnel bis hin zu Signaturverfahren in CI/CD-Pipelines und Firmware-Updates. Das BSI bezeichnet diesen Schritt als unverzichtbare Grundlage jeder Migrationsstrategie.
  2. Daten nach Schutzfrist klassifizieren: Nicht alle Daten sind gleich betroffen. Identifizieren Sie Assets, deren Vertraulichkeit oder Integrität über 2030 hinaus gewährleistet sein muss. Diese Daten stehen unter akuter HNDL-Bedrohung und erfordern priorisierte Migration.
  3. Kryptoagilität architektonisch verankern: Kryptografische Verfahren dürfen nicht hart in Anwendungen und Protokolle eingebrannt sein. Abstraktionsschichten, konfigurierbare Cipher-Suites und modulare Kryptobibliotheken sind die Voraussetzung dafür, dass die PQC-Migration nicht zum Großprojekt mit Zeithorizont 2035 wird.
  4. Hybride Ansätze jetzt evaluieren und pilotieren: Die NIST-Standards (ML-KEM, ML-DSA, SLH-DSA) sind final. Große Anbieter wie Cloudflare, Google und Signal setzen bereits hybride Verfahren (klassisch + PQC) in Produktion ein. Pilotieren Sie hybride TLS-Konfigurationen und Key-Encapsulation in Ihren kritischsten Kommunikationskanälen.
  5. Migration als strategisches Programm aufsetzen – nicht als Technikprojekt: Selbst bei guter Kryptoagilität bleibt die PQC-Migration mehr als ein Algorithmentausch. Sie betrifft Procurement-Anforderungen, Compliance-Nachweise, Partnerkommunikation, Zertifikats-Lifecycles und Legacy-Systeme, die sich nicht per Konfigurationsänderung umstellen lassen. Diese organisatorische Breite erfordert ein Mandat auf Leitungsebene, ein dediziertes Budget und einen realistischen, aber ambitionierten Zeitplan. Kryptoagilität verkürzt die technische Migrationszeit erheblich. Aber nur ein strategisches Programm stellt sicher, dass auch alles drumherum rechtzeitig mitkommt.

Moscas Ungleichung ist keine Abstraktion. Sie ist eine Stoppuhr – und sie läuft. Jeder Tag, an dem Ihre Organisation die Post-Quanten-Migration nicht aktiv vorantreibt, ist ein Tag, an dem sich das Zeitfenster für eine geordnete Transition weiter schließt. Die gute Nachricht: Wer heute beginnt, hat noch die Chance, vor der Kurve zu sein statt hinter ihr. Die Standards stehen. Die Werkzeuge reifen. Die Early Movers haben angefangen.

Die Frage ist nicht mehr, ob Sie migrieren müssen. Die Frage ist, ob Sie es rechtzeitig tun.

Fangen Sie an. Heute.

News

To sign or not to sign

Zwischen Weihnachten und Neujahr fand erneut der Chaos Communication Congress statt. In der 39. Ausgabe ging es verstärkt um digitale Souveränität, ohne die klassischen Technikthemen zu vernachlässigen. Es wurden Schwachstellen in GPG-Signaturen aufgezeigt, die unter anderem über die klassischen Methoden der ANSI-Escape-Sequenzen funktionieren. Das bestätigt erneut, dass bei den gängigen Tools des GPG-Ökosystems die Usability auf der Strecke bleibt. Gerade für Signaturen bieten sich oft Alternativen wie bspw. SSH oder age an, auch wenn das eigene bunte Logo im GPG-Schlüssel hübsch aussieht.

Die Frage nach tragfähigen Vertrauensmodellen stellt sich nicht nur bei OpenPGP, sondern auch im Hardware‑Stack. Im Vortrag „Not To Be Trusted – A Fiasco in Android TEEs“ demonstrieren die Forschenden Code‑Execution in Xiaomis TEE. TEEs fungieren in Mobilgeräten wie Smartphones als isolierte, besonders geschützte Umgebung – ein Kernstück der Gerätesicherheit, ähnlich einer Smartcard.

Und weil Security auch Humor verträgt, gibt es im Podcast „Och Menno – IT und IT-Security-Uppsis“ von Sven Uckermann etwas zu lachen, in dem er Pleiten, Pech und Pannen der IT-Security vorstellt.

https://media.ccc.de/v/39c3-to-sign-or-not-to-sign-practical-vulnerabilities-i
https://media.ccc.de/v/39c3-not-to-be-trusted-a-fiasco-in-android-tees
https://media.ccc.de/v/39c3-och-menno-it-und-it-security-uppsis

Allgemein, Kolumne

Cybersicherheit 2026: Ein Blick in die Glaskugel

Die auf schwarzem Samt gebettete Glaskugel ist das traditionelle Requisit für die professionelle Hellseherei, um den Blick in die Zukunft zu wagen. Die Korrektheit der Aussagen aus den Tiefen der Glaskugel dürfte wissenschaftlich schwer zu belegen sein – aber vielleicht geht es auch mehr um eine gefühlte Zukunft, wenn gegen Ende des Jahres auf Grundlage von Daten aus der Vergangenheit darüber spekuliert wird, was die Zukunft bringen könnte.

Ein Blick auf die HiSolutions Cyber-Glaskugel 2026
Die Cyber-Sec-Glaskugel für 2026 (KI-generiert)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht seinen Bericht zur Lage der IT-Sicherheit regelmäßig gegen Ende des Jahres und fasst dort Beobachtungen und Zahlen aus dem vergangenen Jahr zusammen. Dabei gibt es auch Aussagen zum Jahr 2026.

Angriffsflächen schützen und mehr Resilienz

„Die Schlussfolgerung des BSI: Angriffsflächen schützen! Der Schutz der Angriffsflächen ist 2026 der entscheidende Hebel, um die Cybersicherheit zu verbessern“, resümiert die Behörde. Denn Angriffsflächen in Deutschland – besonders im Web – seien weiterhin in einem besorgniserregenden Zustand. Webbasierte Angriffsflächen bräuchten deutlich mehr professionelle Aufmerksamkeit durch wirksames Angriffsflächenmanagement, häufig würden bekannte Schwachstellen in Perimetersystemen zu spät oder gar nicht gepatcht, so das BSI. Außerdem seien im aktuellen Berichtszeitraum durchschnittlich täglich 119 neue Schwachstellen in IT-Systemen bekannt geworden, was einem Anstieg von rund 24 Prozent gegenüber dem vorherigen Zeitraum entspreche.

Besonders kleine und mittlere Unternehmen sowie politische oder zivilgesellschaftliche Institutionen stünden demnach im Fokus: „Nach dem Kosten-Nutzen-Kalkül cyberkrimineller Angreifer gibt es keine uninteressanten Ziele mehr, bei denen vermeintlich ‚nichts zu holen‘ wäre.“  Angreifer nutzten gezielt schlecht gesicherte Systeme und Web-Angriffsflächen, was zu verstärkter Ausnutzung von Schwachstellen und mehr Datenabflüssen führe. Vor dem Hintergrund geopolitischer Konflikte nähmen zudem APT-Aktivitäten zu. Insgesamt gilt ein wirksames Angriffsflächenmanagement als zentrale Voraussetzung, um die Präventionsfähigkeit der Gesellschaft zu erhöhen.

Die gesamtgesellschaftliche Cyber-Resilienz entwickelt sich laut dem BSI unterschiedlich: Verbraucherinnen und Verbraucher nutzen Sicherheitsmaßnahmen wie Passwortmanagement zunehmend seltener. Kritische Infrastrukturen verbessern sich langsam, erreichen aber nicht in allen Bereichen ausreichende Reifegrade. Besonders gefährdet bleiben KMU, die ihre Attraktivität als Angriffsziele häufig unterschätzen, sowie Institutionen des politischen und vorpolitischen Raums, die sensible Daten und Zugänge zu demokratischen Prozessen bieten. Beide Gruppen benötigen dringend wirksamere Schutzmaßnahmen, da sie im Fokus sowohl cyberkrimineller als auch geopolitisch motivierter Angreifer stehen.

Was sagt die Glaskugel bei HiSolutions?

Neben dem Überblick über die Cybersicherheit 2026 aus hoher Flughöhe durch das BSI haben wir auch Kolleginnen und Kollegen der HiSolutions an die Glaskugel gebeten, um ihre Sicht auf 2026 im Nebel der Kugel zu entdecken.

Ganz klar und deutlich lesbar war in der Kugel der Schriftzug „Dauerthema Supply-Chain-Security“. 2026 dürfte die Absicherung von Software-Lieferketten noch wichtiger werden. Angriffe über vorgelagerte Hersteller oder Softwarelieferanten bleiben beliebt, weil sie Angreifern Zugang zu vielen Zielen zugleich verschaffen. Wer nicht genau weiß, was in seiner eigenen Software-Lieferkette passiert, hat ein Problem.

Auch der „Faktor Mensch“ schimmerte in der HiSolutions-Glaskugel durch. Outsourcing bleibt angesagt, aber die Sicherheitsstandards der Dienstleister rücken stärker ins Visier. Fachkräfte und Erfahrung lassen sich nur schwer ersetzen, auch nicht durch ein beherztes Aufspringen auf den Hypetrain ins Land der Künstlichen Intelligenz. Organisationen könnten 2026 versucht sein, Fachpersonal einzusparen, weil KI-Tools anscheinend Vieles übernehmen. Der Irrglaube: „KI macht das schon.“ Die Realität: Weniger Security-Menschen heißt mehr Blindspots und weniger Ressourcen im Ernstfall.

Im Dunst der Glaskugel auch ablesbar: In Zeiten von Malvertising wird der Adblocker plötzlich ein Security-Feature. Malvertising, also manipulierte Werbeanzeigen, die Schadcode ausliefern, waren 2025 immer wieder ein Thema. 2026 könnten Malvertising-Kampagnen so aggressiv werden, dass klassische Adblocker von der Komfortfunktion zum legitimen Sicherheitswerkzeug aufsteigen. Werbung blocken heißt dann nicht nur Ruhe vor zappeligen Anzeigen, sondern wird zur Sicherheitsmaßnahme.

Und dann gab es ganz am Boden der Glaskugel noch die Worte „Pivot to Cloud“. Nicht nur Unternehmen modernisieren, auch Angreifer tun’s. Bei immer mehr Cyberkriminellen ist eine Adaption eines alten „Prinzen“-Songs Programm: „Das ist alles in der Cloud, e-oh, eh-oh.“ 2026 könnte es dazu kommen, dass Cyberakteure kompromittierte Cloud-Ressourcen nutzen, um Angriffe zu skalieren oder als Sprungbrett ins interne Netz zu dienen. Die Cloud wird damit zum neuen Hotspot – für Angreifer und Verteidiger gleichermaßen.

Fazit

Welche der Voraussagen sich für 2026 bewahrheitet haben, wissen wir erst im Jahr 2027. Bis dahin gilt der altbekannte Grundsatz: „Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen“. Eine Regel, von der sich die Zitationsforschung bis heute nicht vollständig über den Urheber einig ist – zugeschrieben wurde das Bonmot bereits dem Kabarettisten Karl Valentin, dem Schriftsteller Mark Twain, dem Naturwissenschaftler Niels Bohr, dem Physiker Georg Christoph Lichtenberg, dem Journalisten Kurt Tucholsky und dem Politiker Winston Churchill. Wer weiß, vielleicht kommt auch dieser Satz aus der Glaskugel.

News

KMU und raus bist Du? IT-Sicherheit für den Mittelstand

Eine wachsende Zahl von Ressourcen und Handreichungen beschäftigt sich mit der Frage, wie mittelständische Unternehmen Informationssicherheit wirtschaftlich und effektiv umsetzen können. Die Abschlussarbeit unseres Kollegen Patrick Taege beleuchtet die besonderen Herausforderungen, denen sich KMUs in der Security stellen.

https://research.hisolutions.com/2021/01/warum-der-mittelstand-besonders-auf-it-sicherheit-achten-sollte/

HiSolutions Empfehlung: Unsere Checkliste zur Cybersecurity für kleine und mittlere Einrichtungen 

News

Medientipps Januar 2021

Heute einmal nichts zu lesen. Aber zu:


Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“

Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.

https://www.deutschlandfunkkultur.de/datensicherheit-oder-abwehr-von-cyberkriminalitaet-politik.976.de.html?dram:article_id=491400


Sehen: ZDF WISO – Gestohlene Payback-Punkte

Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):

https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/


Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk

Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und  aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.

https://www.itsbb.net/veranstaltungen/its-bb-webinar-19-januar-2021/

News

Neues Schulungsformat bei HiSolutions: „Vorfall-Experte“

In unserer neuen dreitägigen Aufbauschulung zum Vorfall-Experten werden Teilnehmer befähigt, im Falle von IT-Sicherheitsvorfällen schnell und effektiv reagieren zu können sowie Schnittstellen zu den Vorfall-Experten des Cyber-Sicherheitsnetzwerks (CSN) des BSI aufzubauen. Das Training richtet sich an IT-Sicherheitsbeauftragte, CISOs, Business Continuity Manager (Notfallmanager), Auditoren und Experten, die mit einem Zertifikat den Status als Dienstleister des CSN oder IT-Sicherheitsdienstleister anstreben.

https://www.hisolutions.com/security-consulting/academy#c5601

KMU

Es steht so mittel: Mittelstand und IT-Sicherheit

Im Zuge der Digitalisierung werden immer mehr Informationen digital gespeichert, bearbeitet und verteilt. Während in kleineren Unternehmen oft eher eine verhältnismäßig geringe Menge an Daten verarbeitet wird und davon ein Großteil immer noch analog, verarbeiten mittelständische und große Unternehmen Informationen heute meist vorwiegend digital. Durch die Integration und automatisierte Verwaltung von – häufig sensiblen – Daten in Netzwerkstrukturen ergeben sich zwangsläufig Schwachstellen, die die Sicherheit der Informationen gefährden.

Die steigende Komplexität von Prozessen und Anwendungen führt fast unvermeidbar zu Fehlern in der Entwicklung, Wartung oder Handhabung. Zwar sind nicht alle Fehler sicherheitskritisch: Häufig greifen die Schutzmechanismen von Betriebssystemen und verwendeter Software, bevor ein Schaden entstehen kann. Doch mit der wachsenden Abhängigkeit von funktionierenden und vertrauenswürdigen Systemen wachsen auch die Risiken für deren Anwender*innen. 

Besondere Gefährdung des Mittelstands

Dabei sind mittelständische Unternehmen bzw. KMU besonders gefährdet: Den Grundstein hierfür legt die im Unternehmen verwendete IT-Infrastruktur. Sehr kleine Unternehmen, beispielsweise Einzelunternehmen, haben in der Regel keine eigens eingerichtete IT-Infrastruktur. Hier kommen häufig etwa Router zum Einsatz, wie sie auch in privaten Haushalten verwendet werden, um eine Verbindung zum Internet zu ermöglichen. Kommunikationswege wie etwa E-Mail oder eine Webseite werden meist von großen Anbietern wie Google Mail oder Strato bereitgestellt. Der Vorteil hierbei ist ein geringer Aufwand für die Unternehmen und eine relativ hohe Sicherheit durch die Verwendung von Systemen professioneller Anbieter, da diese starke Sicherheitskonfigurationen für ihre Geräte (etwa eine FritzBox) und Systeme (zum Beispiel Webhosting oder Webmail) bereitstellen und in der Regel auch die nötigen Ressourcen dazu haben. 

Nachteile bestehen in der Abhängigkeit vom Anbieter beziehungsweise von Dienstleistenden, die etwa bei der Einrichtung und Instandhaltung kontaktiert werden müssen. Zusätzlich ist eine derartig aufgebaute IT-Infrastruktur meist nicht sehr flexibel in ihren Konfigurationsmöglichkeiten oder bietet irgendwann nicht mehr alle Funktionen, die ein Unternehmen sich wünscht. Manche Unternehmen können oder wollen auch keinen Webmail-Anbieter einsetzen, da sie sich Sorgen um den Datenschutz machen, etwa wenn es sich um eine Arztpraxis handelt, die empfindliche Informationen verarbeiten muss.

Der nächste Schritt ist also der Einsatz flexiblerer IT-Systeme in einer gegebenenfalls wachsenden IT-Abteilung. Sich mit diesen Systemen auseinanderzusetzen stellt jedoch die meisten KMU vor Probleme. In diesem Fall wenden sich Unternehmen häufig an externe Dienstleister. Zwar wird dadurch das Unternehmen anpassungsfähiger in seiner IT. Aber meist ist der Fokus weder bei den Unternehmen noch bei ihren externen Dienstleistern auf IT-Sicherheit ausgerichtet, was zur Folge hat, dass potentielle Angriffswege entstehen, die ein großer Anbieter möglicherweise geschlossen hätte.

Große Unternehmen brauchen ein hohes Maß an Flexibilität und haben in der Regel auch eine entsprechende IT-Abteilung. Sie sind sich der Tragweite einer gut ausgeprägten IT-Sicherheit eher bewusst und besitzen im Zweifel die notwendigen Ressourcen, diese einzurichten und zu warten. Und wenn ein externer Dienstleister zu Rate gezogen werden muss, wird dieser meist entsprechende Schwerpunkte auf IT-Sicherheit vorweisen können.

Risiken für KMUs

Damit sind KMU von den drei vorgestellten Unternehmensgrößen am schwächsten aufgestellt, wenn es um ihre IT-Sicherheit geht, da sie zwar in ihren digitalen Unternehmensprozessen vielseitiger werden müssen, gleichzeitig aber aus unterschiedlichen Gründen selten den notwendigen Schwerpunkt auf IT-Sicherheit legen können.

IT-Sicherheit in Abhängigkeit der Unternehmensgröße [Taege 2020]

Es müssen daher Maßnahmen ergriffen werden, die sowohl von technischen Aspekten einer Offenlegung der Schwachstelle (Disclosure) abhängig sind als auch von der Kommunikation mit möglichen Betroffenen, beispielsweise Kunden. Gleichzeitig muss gegebenenfalls die Öffentlichkeit informiert werden, bzw. die Bekanntmachung der Schwachstelle ist als Teil eines angemessenen Krisenmanagements zu etablieren. Häufig haben KMU keine ausreichende Erfahrung im Bereich der IT-Sicherheit. Dieser Mangel an Erfahrung erschwert den Umgang mit den Prozessen, die kritische Schwachstellen mit sich bringen, da die Unternehmen dadurch schlecht auf Sicherheitsvorfälle vorbereitet sind. 

Formen von Schwachstellen

Im Bereich der Informationstechnik gibt es ein sehr breites Spektrum an möglichen Schwachstellen und Systemen, in denen diese auftauchen können. Vulnerabilities können sowohl in Hard- als auch in Software vorhanden sein – und sie können die unterschiedlichsten Ursachen haben: Diese erstrecken sich von veralteten Lizenzen oder Systemen über Verschleißerscheinungen eingesetzter Hardware bis hin zu Konfigurationsfehlern bei der Einrichtung oder Wartung. Die Möglichkeiten, einzelne schwerwiegende Schwachstellen in eingesetzten Systemen zu haben – beziehungsweise eine Kombination aus mehreren kleineren Schwachstellen, die zusammen eine kritische ergeben –, sind nahezu unüberschaubar vielfältig. Daher werden diese in der Mehrheit der Fälle, sofern sie keine direkt ersichtlichen gravierenden Auswirkungen haben, nicht als solche entdeckt.

Um eine repräsentative Übersicht der häufigsten Sicherheitsvorfälle in diesem Bereich wiedergeben zu können, wurden Daten der HiSolutions AG ausgewertet. Hierbei wurden die betreuten Sicherheitsvorfälle sowie Penetrationstests der Jahre 2016 bis 2019 nach der Vorgabe der OWASP Top Ten kategorisiert und anschließend jeweils nach Häufigkeit des Aufkommens und Kritikalität der entsprechenden Kategorie bewertet.

So ist beispielsweise die Kategorie „Mangelnde Systempflege“, die sich auf ein unzureichendes Patchmanagement bei Webservern oder die Verwendung trivialer Passwörter bezieht, 2019 in 56,7% aller Fälle bei Kunden der HiSolutions AG nachgewiesen worden. 

Prävalenz der Schwachstellentypen nach Jahren (HiSolutions Schwachstellen-Report 2020)

Es kann beobachtet werden, dass besonders Findings innerhalb der Kategorien der Authentifizierung von Nutzer*innen, der Verwendung veralteter Komponenten, der mangelnden Systempflege sowie einer ungeeigneten Sicherheitsarchitektur (beispielsweise eine unzureichende Konfiguration von Protokollen oder fehlende Konzepte im Netz-Management) kritische Schwachstellen für ein Unternehmen mit sich bringen.

Prävalenz der Schwachstellentypen (HiSolutions Schwachstellen-Report 2020)

Umgang mit Security in KMUs

Die Risiken für KMU, die von Schwachstellen in der IT-Sicherheit ausgehen, sind enorm vielfältig. Sie reichen von geringen Gefährdungen, etwa der Verlangsamung alltäglicher Prozesse und Aufgaben, bis hin zu existenzgefährdenden Krisen. Dabei steigert der Einsatz jedes Systems, welches in der Infrastruktur eingesetzt wird, die potentiellen Möglichkeiten eines Auftretens einzelner Schwachstellen beziehungsweise einer Kette von Schwachstellen exponentiell. Unternehmen betreiben in der Regel deutlich zu wenig Aufwand betreiben, mögliche Schwachstellen frühzeitig zu erkennen oder diese zu eliminieren, wodurch sie im Großteil der Vorfälle nicht ausreichend vorbereitet sind.

Es lässt sich festhalten, dass die Hürden im Umgang mit Vulnerabilities und eventuell daraus resultierender Vorfälle, im Speziellen was die interne und externe Kommunikation angeht, sehr vielfältig sind und ohne externe Hilfe nicht angemessen bewältigt werden können. Unternehmen, beziehungsweise Entscheidungsträger*innen, die mit der Thematik der IT-Sicherheit nicht vertraut sind, treffen häufig Entscheidungen, die mehr schaden als nutzen. Das Sparen von Ressourcen bei der Einrichtung und Wartung der eigenen IT-Infrastrukturen, bei der Auswahl externer Dienstleister oder beim Aufbau einer eigenen IT-Abteilung hat in der Regel negative Folgen für ein Unternehmen, die unter Umständen später nur schwer auszubessern sind.

Eine frühzeitige Auseinandersetzung mit den unternehmenseigenen Prozessen sowie eine zielführende Verteilung von Expertisen und Aufgaben haben einen beträchtlichen Anteil an der Sicherheit eines Unternehmens. Dafür muss speziell die IT-Sicherheit mehr in den Fokus rücken und mit entsprechenden Ressourcen gefördert werden. Hierzu gehören unter anderem die regelmäßige Auseinandersetzung mit möglichen Schwachstellen eingesetzter Systeme, die Schulung sämtlicher Mitarbeitenden sowie die Einführung von Prozessen und Maßnahmen für den Ereignisfall. 

Fazit

Es muss davon ausgegangen werden, dass Software – egal ob eigens entwickelt oder von Drittanbietern – Bugs hat. Und solange Software Fehler beinhaltet, werden diese auch Schwachstellen enthalten. Wenn eine solche Schwachstelle entdeckt wird und ein Unternehmen davon erfährt, sollte die Entdeckung gründlich untersucht werden, auch oder gerade dann, wenn es an einem detaillierten technischen Verständnis der Problematik mangelt. Die Idee, sich gegen den Melder der Schwachstelle zu wehren, indem Strafverfolgungsbehörden oder Anwälte eingeschaltet werden, ist zwar nicht in jedem Fall zwingend falsch (etwas wenn der Verdacht der Erpressung besteht). Es sollte jedoch eine angemessene und ausreichende Kommunikation mit Meldenden stattfinden, die deren Motivationen herausstellt und prüft, ob entsprechende rechtliche Schritte wirklich notwendig sind. Im schlimmsten Fall können verfrühte Schritte dieser Art zu negativer Aufmerksamkeit in der Öffentlichkeit führen, die unter Umständen schädlicher für das Unternehmen sein kann als die initiale Schwachstelle. Oder aber es werden wohlmeinedne Sicherheitsforscher*innen vergrault, die einen Beitrag zur Security der Organisation hätten leisten können und wollen.

Unabhängig von der Motivation von Melder*innen sollte ein Unternehmen bei kritischen Schwachstellen stets die Verantwortung selbst übernehmen. Eine transparente Kommunikation, extern und intern, die die gefundene Schwachstelle annimmt und ein rasches Handeln vermittelt, hilft dabei das Vertrauen bei Kund*innen, Mitarbeitenden oder dritten Interessengruppen zu fördern und beweist Integrität. Außerdem beugt sie eventuellen Annahmen, die Sicherheits-Situation sei kritischer als sie tatsächlich ist, vor. Die richtige Balance zwischen offener Kommunikation und Diskretion ist schwierig, aber essentiell.

Praktische Hinweise finden Sie auch in unserer Checkliste: https://www.hisolutions.com/detail/checkliste-zur-cybersecurity-fuer-kleine-und-mittlere-einrichtungen