von Morey J. Haber, Chief Security Officer
Die Zeit der jährlichen Prognosen über wahrscheinliche Cybersicherheitstrends ist da. In diesem Blogbeitrag stellen wir unsere Top-Prognosen für das Jahr 2023 vor.
Zunächst aber erst einmal ein kurzer Blick auf die zurückliegenden Monate: Die „wilden Zwanziger“ sind zurück! Wir haben eine globale Pandemie erlebt, die unsere Arbeitsbedingungen grundsätzlich verändert hat. Andere dramatische Ereignisse, wie der Krieg in der Ukraine haben die dunkelsten Seiten der menschlichen Natur offengelegt.
Auch aus IT-Sicht gibt es grundlegende Entwicklungen, die sich in unseren Prognosen für 2023 wiederfinden. So haben unzählige Hackerangriffe offengelegt, dass die Dringlichkeit von Cybersicherheitsinitiativen weiter steigt. Der Einsatz für den Schutz digitaler Assets und kritischer Infrastrukturen vor Cyberangriffen ist wichtiger denn je.
Cybersecurity-Vorhersagen für 2023
1. Sicherheitsunterschiede bei Zero Trust
Bei der Implementierung von Zero Trust erwarten wir im Jahr 2023 deutliche Unterschiede. Einige Lösungen werden alle sieben Zero-Trust-Grundsätze des NIST 800-207-Modells umfassend implementieren, um eine IT-Architektur gemäß NIST 1800-35b zu unterstützen. Die Bandbreite reicht von Technologien zur Zero-Trust-Authentifizierung und Verhaltensüberwachung bis zu einem geschlossenen IT-Sicherheitsmodell, das eine Reaktion auf unterschiedliche Ereignisse ermöglicht.
Für diesen Zweck stellen SOAR-Lösungen (Security Orchestration Automation and Responses) verschiedene Softwareprogramme und Verfahren zur Verfügung, mit denen sich Informationen über Sicherheitsbedrohungen sammeln und automatisiert entschärfen lassen. In den nächsten Jahren wird diese Technologie weiter reifen und die einzelnen Aspekte des Zero-Trust-Modells integrieren. Auf diese Weise lassen sich unterschiedlichste Anwendungsfälle und das darauf basierte Zero-Trust-Modell durch komplette End-to-End-Lösungen abbilden.
2. Kamera-Malware: Bitte lächeln!
Mittlerweile dokumentieren Smartphones per Kamera jeden Tag unseren Alltag, der von unterschiedlichsten Veranstaltungen, Reiseerlebnissen und persönlichen Erinnerungen gekennzeichnet ist. Mobilgeräte setzen dabei leistungsstarke Algorithmen und künstliche Intelligenz zur Verbesserung der Bildqualität ein. Schon längst missbrauchen raffinierte Hacker diese Features, um die Daten von Nutzern abgreifen zu können. So lassen sich Foto- und Videotechnologien auch für die Einschleusung von Schadsoftware ausnutzen. Manipulierte QR-Codes sind erste Beispiele dafür, wie Hacker immer mehr Malware auf Smartphones installieren.
3. Angriffswelle durch Erpresser-Vaporware
Im vergangenen Jahr haben wir geradezu eine Ransomware-Flut erlebt, die so massiv war, dass Organisationen angesichts der Gefahrenlage jederzeit mit dem Schlimmsten rechnen. Das machen sich gewiefte Bedrohungsakteure zunutze, indem sie erfolgreiche Angriffe lediglich fingieren, um Lösegelder zu erpressen. Rechnen Sie deshalb im Jahr 2023 mit einer Welle an Vaporware zu fiktiven Sicherheitsverstößen. Cyberkriminelle werden mit der Veröffentlichung von sensiblen Daten drohen, in deren Besitz sie aber überhaupt nicht sind. Und die Unternehmen werden womöglich lieber zahlen, als das Risiko von Reputationsverlusten einzugehen.
4. Multi-Faktor-Authentifikation (MFA) versagt
Hackergruppen wie Lapsus$ haben 2022 die Zwei-Faktor-Authentifizierung durch MFA Bombing oder MFA Fatigue ausgehebelt. Im Jahr 2023 folgt eine neue Runde an weiterentwickelten Phishing-Angriffen, die gängige Verfahren umgehen. Das National Institute of Standards and Technology (NIST) in den USA empfiehlt daher, SMS für die Authentifizierung grundsätzlich nicht mehr zu verwenden. Unternehmen sollten damit rechnen, dass SMS- oder E-Mail-basierte Authentifikationsverfahren durch Exploit-Techniken untergraben werden. Zur Einhaltung der erforderlichen Integrität steigt der Bedarf an MFA-Lösungen, die biometrische oder FIDO2-konforme Technologien einsetzen.
5. Fehlender Cyber-Versicherungsschutz ist die neue Normalität
Aufgrund der finanziellen Schäden durch Cyberkriminalität und der nicht enden wollenden Welle an Ransomware-Angriffen ist es schwierig geworden, eine qualitativ hochwertige Cyberversicherung zu einem darstellbaren Preis zu erhalten. Im Jahr 2023 werden immer mehr Unternehmen zur ernüchternden Erkenntnis kommen, dass sie entweder die Anforderungskriterien der Versicherungsträger nicht erfüllen oder die Policen einfach zu teuer sind. Dieser Trend der Vorjahre verstärkt sich weiter und beraubt Organisationen wertvoller Optionen. Der Verzicht auf eine Cyberversicherung oder die Reduzierung des Versicherungsschutzes auf einen eng begrenzten Umfang reißt große Lücken in ihre Sicherheitsstrategie und hat langfristige, finanzielle Auswirkungen.
6. Neue Gefahren durch Wearables und E-Waste
Nach den Corona-Restriktionen in den letzten Jahren ist die Sehnsucht überwältigend groß, endlich wieder ein Musikkonzert zu besuchen. Die Veranstalter nutzen die neuesten Wearables wie LED-Armbänder oder Leuchtstäbe, um das Live-Erlebnis der Besucher zusätzlich aufzuwerten. Feuerzeuge haben also ausgedient, aber die billigen Wegwerfgegenstände hinterlassen eine Menge Elektroschrott. Hinzu kommt, dass Bedrohungsakteure die Funksignale mit Tools wie Flipper Zero leicht auslesen und durch Fernsteuerungs- und Kartenauslesefunktionen für Chaos sorgen können.
7. Aufkommende IT-Compliance-Konflikte
Bei wichtigen IT-Compliance-Standards, Best-Practice-Empfehlungen und IT-Sicherheits-Frameworks gibt es mittlerweile bedeutende Unterschiede und separate Philosophien. So fordern einige Organisationen, dass Endanwender ihre Passwörter spätestens nach 90 Tagen ändern. Andere Anbieter argumentieren, dass eine Passwortänderung keinen Sicherheitsgewinn bringt, wenn es nicht Anzeichen für eine Kompromittierung gibt. Die Diskussion ist in vollem Gange und es gibt gute Argumente für beide Sichtweisen.
Nach den neuesten Richtlinien gemäß PCI DSS 4 wiederum sind auf einem Host hinterlegte Zertifikate keine gangbare Lösung für die mehrstufige Authentifizierung. Trotzdem ist diese Praxis bei vielen Unternehmen der gängige Sicherheitsstandard, obwohl neben dem PCI Council auch Zero-Trust-Strategien dem widersprechen. Leider werden moderne Sicherheitstechniken oft zu langsam übernommen und neue Technologien mit überlegener Sicherheit mitunter komplett ignoriert. Die passwortlose Authentifizierung ist ein gutes Beispiel dafür — hier braut sich ein größeres Konfliktpotenzial zusammen. Bei der Einhaltung gesetzlicher Vorschriften erwarten wir deshalb 2023 mehr Konflikte, insbesondere für Unternehmen, die moderne Technologien, Zero-Trust- und digitale Transformationsinitiativen einsetzen.
8. Das Ende persönlicher Passwörter
Die Beliebtheit passwortfreier Authentifizierungsverfahren steigt und leitet das Ende persönlicher Kennwörter ein. Immer mehr Applikationen integrieren fortschrittliche Technologien, die biometrische Merkmale statt Passwörter zur Identifizierung einsetzen — Microsoft Hello, Apple FaceID oder TouchID beispielsweise. Noch setzen persönliche Konten häufig Kennwörter für den Fallback ein, aber die Bereitschaft nimmt deutlich ab, Passwörter erstellen, abrufen und eingeben zu müssen. Zukünftig werden Passcodes überflüssig, weil die Zugangssysteme mehrere Erkennungsmethoden (Fingerabdruck, Tipp-Dynamik oder Spracherkennung) zur Authentifikation nutzen werden. Zwar wird das Ende persönlicher Passwörter schon länger vorhergesagt, aber jetzt scheint der Wendepunkt tatsächlich in Reichweite.
9. Gesetzliche Vorschriften gegen Cyberterroristen
Ransomware ist ein riesiges Geschäft, das immer mehr Bedrohungsakteure anlockt. Jetzt versucht die Politik, durch gesetzliche Verbote die Finanzierung von Cyberterroristen zu stoppen. Die Überweisung von Cyberlösegeldern soll verboten werden, damit sich kriminelle Ransomware-Angriffe nicht mehr lohnen. Auf diese Weise soll dem Geschäft mit Lösegelderpressungen der Boden entzogen werden — so die Theorie. Deshalb wird der Kauf eines Entschlüsselungs-Keys zukünftig keine Option für Betroffene mehr sein. Alle Organisationen werden dazu gezwungen sein, sich ganz auf Best Practices für Cybersicherheit zu verlassen.
10. Kunden wollen mehr Transparenz über Cloud-Prozesse
Die unterschiedlichsten Cloud-Dienste sind Teil unseres privaten und beruflichen Alltags. Allerdings haben wir nur einen begrenzten Einblick in die Sicherheit der genutzten Cloud-Angebote. Das CVE-Programm (Common Vulnerabilities and Exposure) beispielsweise gilt nicht für die Cloud, so dass Unternehmen über die tatsächlichen Risiken oder das Patchen identifizierter Schwachstellen nicht im Bilde sind. Cloud-Service-Provider und SaaS-Anbieter (Software-as-a-Service) verschleiern häufig ihre IT-Sicherheits- und Betriebsabläufe, um sich vor Bedrohungsakteuren zu schützen. Auf Druck der Kunden wird die Transparenz über Cloud-Sicherheitsrisiken und die Sicherheitsprozesse von SaaS-Lösungen, Cloud-Anbietern und ihren Diensten in Zukunft zunehmen (müssen). Das betrifft sowohl Fragen der IT-Architektur mit ihren grundlegenden Komponenten als auch entdeckte Schwachstellen, die anhand von SOC- und ISO-Zertifizierungen sowie CVEs dokumentiert werden.
11. Social Engineering in der Cloud
Jedes gefälschte Social-Media-Profil kann unabsehbare Risiken nach sich ziehen, wenn sich Cyberkriminelle unter falscher Identität gefährlichen Zugriff auf vertrauliche Daten und Dienste verschaffen. So tauchten auf dem Karriereportal LinkedIn unlängst gefälschte CISO-Profile auf, über die Betrüger in fremdem Namen agierten. Arbeitgeber sollten daher robuste Sicherheitsprozesse wie Hintergrundüberprüfungen nutzen, um nicht im Geschäftsalltag oder bei der Suche nach Bewerbern in die Irre geleitet zu werden. Die Gefahr durch soziale Medien als Angriffsvektor in Cloud-Strukturen wächst 2023. Betrüger werden sich aus frei verfügbaren Quellen mit unterschiedlichen Informationen versorgen, um Social-Engineering-Angriffe auf Arbeitgeber und Organisationen durchzuführen.
12. Anstieg digitaler Identitäten ohne Zuordnung
Digitale Identitäten sind ein bewegliches Ziel. Jahr für Jahr erweitert sich die Zahl der IT-Assets und Objekte. Auch im Jahr 2023 wird die Liste der zugeordneten digitalen Identitäten weiter wachsen. Dabei kann es sich um Dienste, Anwendungen, Prozesse und sogar Geräte in der realen Welt, wie zum Beispiel Roboter, handeln. Letztendlich zählen alle vernetzten Systeme dazu, die Identitäts- und Authentifizierungsinformationen weitergeben.
Digitale Identitäten ohne Zuordnung umfassen dabei verzeichnisbasierte Identitätsdienste, die häufig innerhalb von Organisationen oder als Dienst angeboten werden. Dabei kann es sich um Anbieter, Gastnutzer oder andere Personen und Maschinen von Drittanbietern handeln, die nur kurzzeitigen Zugriff auf einzelne IT-Assets und Services benötigen. Sie befinden sich damit außerhalb der Kontrolle und können durchaus große Bereiche eines Unternehmens betreffen. Mit Blick auf eine zuverlässige Zugriffskontrolle wird diese Situation den IT-Verantwortlichen heftiges Kopfzerbrechen bei IT-Bereitstellung und IT-Management bereiten.
13. OT wird smarter und verschmilzt mit IT
Es zeichnet sich ab, dass sich die Angriffsvektoren für Operational Technology (OT) analog zur IT-Cybersicherheitslage entwickeln. Industrielle OT-Umgebungen beschränken sich nicht mehr auf einzelne Spezialfunktionen, sondern nutzen verstärkt intelligente Prozesse und kommerzielle Betriebssysteme oder Anwendungen. Mit der Erweiterung der Aufgaben erhöht sich indes die Zahl der Schwachstellen und Risiken. Die Folge: OT-Systeme müssen wie andere IT-Assets auch gewartet und aktualisiert werden, so dass OT- und IT-Technologien zusammenwachsen. Durch die Umstellung dieser Abläufe wachsen die Probleme, weil die Fehleranfälligkeit und Komplexität steigt.
14. Weniger Schlagzeilen zur Cybersicherheit
Die meisten Sicherheitsverstöße schaffen es nicht mehr auf die Titelseite — es sind einfach zu viele. Große Sicherheitsvorfälle wie bei Yahoo oder SolarWinds erregten ein riesiges, mediales Interesse, aber jetzt sorgen nur noch völlig neue oder besonders gefährliche Attacken für eine breite, öffentliche Berichterstattung. Die Gefahren sind allerdings weiterhin real und wirksame Sicherheitsvorkehrungen unverzichtbar. Und werden Sicherheitsvorfälle nicht offengelegt, kann das ebenfalls unangenehme Folgen haben. Der ehemalige Chief Security Officer von Uber muss beispielsweise dafür haften, dass massive Datendiebstähle verschleiert wurden.
15. Ein Rekordjahr an Sicherheitsverstößen
2023 wird ein Rekordjahr bei der Zahl der Sicherheitsverletzungen und der damit verbundenen Kosten. Viele Unternehmen haben schon einen Großteil des Jahres 2022 damit verbracht, die schnell aufgebauten Remote-Access-Strukturen der Pandemie-Jahre zu überprüfen und abzusichern. Und die Umsetzung robuster Cybersicherheitsvorkehrungen wird weitergehen, um Unternehmen gegen neue Eindringlinge zu schützen. Die wirtschaftlichen Folgen durch einen angriffsbedingten Ausfall von Betriebsabläufen und Lieferketten sind schlicht zu hoch, teilweise sogar existenzgefährdend für den Fortbestand einer Firma. Wir erwarten im nächsten Jahr eine Rekordzahl an Cybersicherheitsverletzungen, was nicht nur der Raffinesse von Bedrohungsakteuren, sondern auch den großen Veränderungen im Unternehmensumfeld zuzuschreiben ist.
Bisherige Prognosen
Das BeyondTrust-Expertenteam hat sich nicht zum ersten Mal mit dem Blick in die Zukunft beschäftigt. Wie treffend unsere bisherigen Cybersicherheitsprognosen waren, lässt sich hier nachlesen:
BeyondTrusts Cybersicherheitsvorhersagen für 2022 (und darüber hinaus)
BeyondTrusts Cybersicherheitsvorhersagen für 2021
BeyondTrusts Cybersicherheitsvorhersagen für 2020 (und darüber hinaus)
IT-Vorhersagen für das Jahr 2019

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.