Laut Sailpoint wird schon jetzt eine Zunahme gezielter Angriffe beobachtet, bei denen Hacker detaillierte Recherchen über Unternehmen anstellen. So werden inzwischen etwa stundenlang Geschäftsführer eines Unternehmens ausgeforscht und Details gesammelt, die für einen erfolgreichen Angriff notwendig sind.
KI – Freund oder Feind
Die Strategie ist einfach: Wenn die Angreifer genügend Leute beobachten, finden sie irgendwo eine Schwachstelle. Sie werden nicht nur ihre Methoden intensivieren, sondern auch zunehmend Technologien wie KI einsetzen, um ihre Angriffsmethoden zu perfektionieren. Der Einsatz von generativer KI kann beispielsweise Phishing-E-Mails überzeugend echt gestalten, ebenso Deepfakes.
Andererseits sieht Sailpoint im Einsatz von KI ein effektives Mittel gegen Cyberangriffe. Sie könne von Unternehmen zielführend zur Erkennung potenzieller Attacken und unzulässiger Zugriffe auf Unternehmensdaten genutzt werden.
Schulungen
Cybersicherheitsschulungen werden für alle Mitarbeiterinnen und Mitarbeiter im kommenden Jahr wichtiger denn je. Nur so können die Mitarbeiterinnen und Mitarbeiter das Potenzial von Cyberangriffen erkennen und bekämpfen. Jeder muss vom ersten Tag an für die Risiken sensibilisiert werden – egal ob Praktikant oder CEO. Darüber hinaus werden immer mehr Schulungsmaßnahmen auf den Prüfstand gestellt – zum Beispiel indem IT-Abteilungen Test-Phishing-E-Mails an ihre Beschäftigte versenden, um sicherzustellen, dass diese die Best Practices konsequent anwenden.
Zero Trust – Vertrauen ist gut, Kontrolle ist besser
Auch wenn die Mitarbeiterinnen und Mitarbeiter geschult und stets vorsichtig sind, sollten Unternehmen weiterhin Vorsicht walten lassen. In vielen Unternehmen gilt bereits das Konzept „Zero Trust“. Bei diesem ganzheitlichen Sicherheitsansatz wird grundsätzlich niemandem vertraut: Sowohl Mitarbeitende, Partner, Lieferanten als auch Anwendungen und Geräte werden überprüft, sobald sie versuchen, auf Unternehmensdaten zuzugreifen.
Da sich die Grenzen der IT-Sicherheit ständig verschieben, wird Zero Trust auch in Zukunft eine wichtige Rolle spielen. Ein Zero-Trust-Modell basiere auf Identitäten, und alle Benutzer haben nur so viele Zugriffsrechte wie nötig, um ihre täglichen Aufgaben effizient erledigen zu können, so Sailpoint.
Regularien: NIS2 tritt in Kraft
Inzwischen hat auch der Gesetzgeber erkannt, dass er eingreifen muss, damit sich Unternehmen vor möglichen Angriffen schützen können. So tritt im Oktober 2024 die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) in Kraft. Sie soll die Cybersicherheit in der EU umfassend und ganzheitlich verbessern.
Die Folgen der Nichteinhaltung der Richtlinie können für Unternehmen teuer werden: Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens sind möglich. Dennoch haben nur ein Drittel (34 Prozent) der Unternehmen in Großbritannien, Frankreich und Deutschland ihre Vorbereitungen für NIS2 abgeschlossen, wie eine aktuelle Studie von SailPoint zeigt.
Darüber hinaus tritt Mitte Januar 2025 der Digital Operational Resilience Act (DORA) der Europäischen Union für den Finanzsektor in Kraft. Ziel der Verordnung ist es, den europäischen Finanzmarkt vor Cyberrisiken und Vorfällen in der Informations- und Kommunikationstechnologie zu schützen.
Zudem müssen Zertifizierungen regelmäßig erneuert werden. Im Oktober 2022 wurde der neue ISO-Standard ISO 27001 Annex 9, der die Anforderungen an ein Informationssicherheits-Managementsystem festlegt, an die neuen Standards angepasst. Unternehmen haben drei Jahre Zeit, ihre Zertifizierung zu erneuern.