logo lineofbiz

Cyber-Security-Prognosen für 2023Konsolidierung und Regulierung

7. Februar 2023
adobestock lob k e n
Quelle: k_e_n, Adobe Stockphoto

2022 war für die gesamte Cyber-Sicherheitsbranche ein immens wichtiges Jahr. Der Markt ist auf ein bis dato unerreichtes Volumen angeschwollen. Gleichzeitig sind die Angriffszahlen in die Höhe geschnellt, und die Bedrohung durch einen Cyber-Krieg ist inzwischen beunruhigend nahe an der Realität. Das Jahr 2023 hat durchaus das Potenzial, noch einschneidender zu werden. Auf der Agenda stehen eine weitere Konsolidierung seitens der Anbieter und die Regulierung von Unternehmen, die zur Critical National Infrastructure (CNI) zählen. Beides wird die Branche in einem nie da gewesenen Ausmaß erschüttern.

Die Anbieterkonsolidierung wird zu einem der wichtigsten Trends des laufenden Jahres 2023. Der Markt schreit förmlich nach Konsolidierung und Vereinfachung. Anzeichen dafür konnten wir bereits in der zweiten Hälfte des Jahres 2022 beobachten. Kunden verabschieden sich zunehmend von einzelnen, punktuellen Sicherheitslösungen und wenden sich einheitlicheren Sicherheitskonzepten zu. Dies bestätigt eine aktuelle Umfrage von One Identity. Aus den Ergebnissen geht hervor, dass 83 Prozent der Sicherheitsexperten einräumen, dass der hohe Komplexitätsgrad sie davon abhält, geeignete Sicherheitskontrollen zu implementieren. 65 Prozent der Befragten befürworten ein einheitliches Modell. Diese Kombination wird 2023 zu einer Flut an großen Fusionen und Übernahmen führen.

Für die Weiterentwicklung der Branche ist das naturgemäß ein großer Schritt. Die erste Phase wird aber nicht störungsfrei verlaufen. Ein Punkt, der für Kunden besonders heikel zu werden verspricht, ist das Erneuern von Verträgen – eine zwangsläufige Folge von Fusionen und Übernahmen. Dabei werden sich einige Anbieter von traditionellen, auf Verlängerung basierenden Lizenzmodellen verabschieden und stattdessen Abonnement-Services anbieten, die jährlich wiederkehrende Roherlöse versprechen. Diese Strategie erlaubt es Anbietern, Kosten zu senken und wird zur Einstellung von On-Premises-Produkten zugunsten von SaaS-basierten Lösungen führen.

Für viele Kunden wird das zum Problem, insbesondere für diejenigen mit unbefristeten Lizenzen. Man kann davon ausgehen, dass diese Kunden nicht bereit sein werden, komplett auf ein Abonnementmodell umzusteigen und sich in der Folge von solchen Anbietern verabschieden werden.
Um das zu vermeiden, sollte der Übergang so reibungslos wie möglich verlaufen. Der Markt bewegt sich zwar in Richtung SaaS, aber nicht für alle Kundensegmente und Regionen im gleichen Tempo. Etliche Unternehmen werden noch mindestens zwei bis drei Jahre lang hybride Modelle nutzen müssen. Die Realität allerdings macht eine Konsolidierung der Anbieter dringend erforderlich.

Laut Microsoft Research hat das durchschnittliche Großunternehmen sage und schreibe 75 Sicherheitslösungen im Einsatz, während 13 Prozent aller Unternehmen immer noch über 20 verwenden. Mit der Verwaltung so vieler Sicherheitslösungen gehen zahllose Probleme einher, die schlimmstenfalls in eine Katastrophe münden, wenn sie nicht rechtzeitig behoben werden.

Angesichts des sich abzeichnenden wirtschaftlichen Abschwungs versuchen Firmen, an vielen Stellen Kosten zu sparen. Im zurückliegenden Jahr waren zahllose Beispiele zu beobachten, warum es definitiv keine gute Idee ist, speziell Cyber-Sicherheitsprogramme über Bord zu werfen.
Dennoch ist genau das passiert, und es wird weiterhin passieren. Jedenfalls dann, wenn es nicht gelingt, die Kosten für Cyber-Sicherheitsprogramme zu senken. Ein Weg ist die Konsolidierung von Sicherheitslösungen, was zumindest einen Kahlschlag bei Cyber-Sicherheitsinitiativen in ihrer Gesamtheit verhindert. Die Verwaltung von viel zu vielen Sicherheits-Tools macht Unternehmen angreifbar.

Beziehungen zu unterschiedlichen Anbietern aufrecht zu erhalten ist zudem nicht nur kostspielig und zeitaufwendig, sondern führt zu Informationssilos. Informationen, die sich aus Silos speisen, münden fast zwangsläufig in mangelnde Transparenz. Ein Umstand, den sich Cyber-Kriminelle zunutze machen. Durch die Konsolidierung von Cyber-Sicherheitsprogrammen ist gewährleistet, dass diese Silos beseitigt werden. Das bedeutet auch weniger Dashboards, auf denen die gewonnenen Sicherheitserkenntnisse visualisiert werden. Wichtige Ergebnisse laufen damit nicht länger Gefahr in einer Flut von Informationen aus verschiedenen Quellen unterzugehen.

Regularien

Zu Beginn dieses Jahres hat beispielsweise die britische Regierung einen Vorschlag für neue Regularien und Kodizes im Telekommunikationssektor vorgelegt. Der Vorschlag soll bis März 2023 umgesetzt werden und ist zweifelsohne eines der wichtigsten Dokumente zur Cyber-Sicherheit überhaupt. Der Vorschlag ist ein besonders aussagekräftiges Beispiel dafür, dass eine Regierung die Tatsache erkannt hat, dass das Internet einen tauglichen Weg zur Kriegsführung bereitstellt. Und das schon seit geraumer Zeit. Die aktuelle Initiative macht deutlich, dass eine ineffektive Cyber-Sicherheit innerhalb des britischen Telekommunikationssektors gleichzeitig die nationale Sicherheit bedroht.

Der Vorschlag ist vermutlich ein Vorläufer weitreichender Sicherheitsvorschriften für die kritischen nationalen Infrastrukturen (CNI) des Vereinigten Königreichs. Im Laufe des Jahres 2023 werden auf britische CNIs eine Reihe von neuen, bindenden Regularien als zukommen. Dazu zählen die obligatorische Multi-Faktor-Authentifizierung (MFA), die Simulation von Sicherheitsverletzungen und Angriffen (Breach and Attack Simulation, BAS) und die Nachverfolgung des Log-in-Standorts. Ähnliche Vorgaben sind wohl in Kürze auch für Unternehmen der Energie- und Wasserwirtschaft zu erwarten.

Die britische Regierung hat sich in der Vergangenheit höchst ungern in die Angelegenheiten der Privatwirtschaft eingemischt. Das war beim Thema Cyber-Sicherheit nicht anders. Inzwischen scheint der Damm gebrochen zu sein. Die Nationale Cyber-Sicherheitsstrategie von 2022 fordert ausdrücklich einen ganzheitlichen Ansatz für die nationale Cyber-Sicherheit, bei dem der private Sektor eine weitaus wichtigere Rolle spielen soll als bislang. Der aktuelle Vorstoß zur Telekommunikationssicherheit scheint der erste größere Schritt in diese Richtung zu sein, aber vermutlich nicht der letzte.

Neue Regeln zum Schutz der kritischen Infrastruktur kamen Ende des letzten Jahres auch aus der EU. Das Gesetz umfasst strengere Regeln für die Risikobewertung und Berichterstattung für wesentliche Akteure in insgesamt elf Bereichen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, digitale Infrastruktur, Trinkwasser, Abwasser, Lebensmittel (einschließlich Herstellung, Verarbeitung und Lieferung), Gesundheitswesen, öffentliche Verwaltung und Raumfahrt. Außerdem müssen die Mitgliedstaaten Resilienz-Strategien verabschieden und zentrale Anlaufstellen für eine länderübergreifende Kommunikation schaffen.

Für mehr Schutz soll auch das KRITIS-Dachgesetz sorgen. Energie, Trinkwasser, das Verkehrssystem und weitere Bereiche zählen zur kritischen Infrastruktur. Und die soll aus Sicht der Bundesregierung besser gegen Krisen geschützt werden. Wie, das soll ein neues Gesetz regeln. Dazu hat das Bundeskabinett Ende letzten Jahres die Eckpunkte des sogenannten KRITIS-Dachgesetzes verabschiedet.
Neben der Corona-Pandemie und dem Ukraine-Krieg hat auch die Kombination aus physischen und digitalen Angriffen wie bei den Sabotageakten

gegen die Deutsche Bahn und an den Gaspipelines Nord Stream die Bedeutung des Schutzes kritischer Infrastruktur nochmals hervorgehoben. Mit den neuen Regelungen sollen bundesweit einheitliche „verpflichtende Schutzstandards“ für Betreiber von Anlagen und Einrichtungen etabliert werden, die zur kritischen Infrastruktur zählen. Auch diese Vorgaben haben für öffentliche und private Einrichtungen gleichermaßen Gültigkeit.

Alles in allem wird 2023 eines der wichtigsten Jahre in der Geschichte der Cyber-Sicherheit werden. Die Anbieterkonsolidierung wird unzweifelhaft den Markt erschüttern. Dennoch erwarten wir ein überwiegend positives Jahr. Privatwirtschaftliche Unternehmen, insbesondere aus dem Bereich der kritischen Infrastruktur, werden sich allerdings mehr als je zuvor mit Regularien zum Schutz der nationalen Sicherheit auseinandersetzen müssen.

Alan Radford ist Global IAM Strategist.

One Identity

Lesen Sie auch

security

Was 2024 auf Unternehmen in Sachen NIS2 zukommt

vipre b

Die unverzichtbaren Schritte

Blurred people with facial recognition

Unsichtbarer Schutz gegen Cyber-Bedrohungen