zurück zur Homepage
 


Wie sicher sind biometrische Entsperrmethoden?

Sicherheit
Um private Dateien auf dem Mobilgerät durch physische Fremdzugriffe abzusichern, gibt es verschiedene biometrische Entsperrmethoden. Die bekanntesten sind der Fingerabdrucksensor, die Gesichtserkennun... [weiter]

Was bringt die Zukunft?

Kurz vor dem Jahreswechsel geben Sicherheitsexperten von Symantec und Norton ihre Einschätzung über die Bedrohungen im Internet, mit denen im neuen Jahr zu rechnen ist:

Integrierte Softwaresicherheit - Security by Design

Ohne eine Integration der erforderlichen Sicherheitsmaßnahmen, angefangen in der Entwicklung und im Design (Security by Design), wird das Internet der Dinge auch im nächsten Jahr ein "Internet der Schwachstellen" bleiben.

Verbraucher

Angreifer attackieren Ziele, wenn sich ihnen die Gelegenheit dazu bietet. Mit der steigenden Anzahl vernetzter Geräte werden sie auch für Hacker zu einem immer reizvolleren Ziel. IoT-Geräte werden allerdings noch nicht breit genutzt, deshalb rechnen wir im kommenden Jahr mit keinen umfangreichen Angriffen auf private Endgeräte. Dennoch ist mit Attacken kleineren Ausmaßes zu rechnen. Insbesondere die Gruppe der Early Adopter, d.h. Anwender die neue Technologien frühzeitig nutzen, sollten in diesem Fall gewarnt werden.

Wir erwarten, dass IoT-Geräte in erster Linie von Klickbetrug und Ransomware-Angriffen betroffen sein werden. Bei Attacken auf vernetzte Medizingeräte oder Fahrzeuge kann aber die Sicherheit von Menschen bedroht sein, was sich wiederum auf das Haftungsreglement auswirken kann. Zertifikate und Code-Signaturen werden bei der Absicherung von IoT-Geräten eine wichtige Rolle spielen. In Zukunft muss aber die Sicherheit neuer IoT-Geräte schon in der Designphase im Fokus stehen.

Industrie

Durch die fortschreitende Vernetzung der Industrie werden enorme Produktivitätsgewinne erwartet. Allerdings werden viele Unternehmen gleichzeitig auch angreifbarer, denn die zunehmende Vernetzung generiert eine hohe Zahl an neuen Angriffsvektoren. Die Industrie 4.0 muss sich dieser Herausforderung stellen, denn Angriffe können beispielsweise zu kritischen Ausfällen in der Produktion oder IT führen. Die stetige Weiterentwicklung von Datenschutzstrategien und Bedrohungstelemetrie sind angesichts des unaufhaltbaren Trends in Richtung Konnektivität unabdingbar. Jedes Unternehmen braucht einen Chief Information Security Officer, der sich umfassend der Sicherheit seiner IT-Infrastruktur widmet und dedizierte Schutzmechanismen einführt.

In den kommenden Jahren wird es immer wichtiger sein, bei der Entwicklung neuer Technologien den Aspekt Sicherheit bereits im Designprozess von Produkten zu berücksichtigen (Security by Design). Ob bei der Gestaltung von intelligenten Städten, Infrastrukturen oder Robotern, die immer mehr Alltagsaufgaben übernehmen werden - es muss immer gewährleistet sein, dass deren Programmierung, Updates und Identifizierung sicher sind. Die Umgebungen, in der neue Technologien heranreifen, müssen das Prinzip Sicherheit in ihrem Kern wiederspiegeln, denn nur so können Technologien bestmöglich abgesichert und Angriffe auf Systeme zu einem späteren Zeitpunkt vermieden werden.

Datensicherheit und Datenschutz

In der Sicherheitsbranche stellte man sich häufig die Frage, wie viel wir für ein bequemes Leben preisgeben wollen. Mit der zunehmenden Akzeptanz von Wearables in der breiten Bevölkerung wird diese Debatte neu entzündet. Es werden immer mehr Daten erfasst und immer mehr Systeme und Geräte konkurrieren miteinander. Kunden, Unternehmen und Regierungen fangen an, die richtigen Fragen zu stellen: Wo landen meine Daten? Wofür werden sie verwendet? Und sind die Daten sicher?

Rückendeckung: Versicherung, Haftung, Verordnungen

Allein aufgrund der Häufigkeit von Sicherheitsverstößen im Jahr 2015 sind Internetversicherungen für Unternehmen wie Verbraucher dringend erforderlich. Klauseln und Bezeichnungen, die im Zusammenhang mit "Cyber" stehen, gehören schon bald zum Alltag. Zudem werden wohl Unternehmen und Verbraucher gleichermaßen gezwungen sein, mehr Sicherheitsvorkehrungen zu treffen als bisher. Falls sie das nicht tun, setzen sie sich den Gefahren des Internets aus und handeln sich von den Versicherern ein "Das haben wir Ihnen doch gleich gesagt" ein. Unternehmen müssen Prozesse einführen, Schulungen abhalten und Mitarbeiter aufklären und informieren. Verbraucher hingegen sollten vor allem die Daten, die sie preisgeben, einer genaueren Prüfung unterziehen und verstärkt darauf achten, wem sie ihre Daten geben. Um Angriffe abzuwehren und sichere Praktiken zu fördern, muss insgesamt eine verbesserte Datenkontrolle erfolgen.

Datenschutzgesetze gehen noch einen Schritt weiter

Durch die neue EU-Datenschutzrichtlinie wird sich Data-Governance in der Europäischen Union deutlich wandeln. Organisationen werden verpflichtet, die neuen Vorgaben für die Verarbeitung von personenbezogenen Daten zu erfüllen und strengere Richtlinien zur Einhaltung der neuesten Sicherheitsregeln einzuführen. Das ist eine große Herausforderung, selbst für diejenigen, die bereits sehr gut über das Thema informiert sind. Zudem werden Bedenken hinsichtlich der Komplexität der neuen Informationsverwaltungsprozesse und der steigenden Kosten laut. Dennoch ist eine Richtlinie erforderlich, damit alle Menschen das wahre Potenzial des Internets und neuer Technologien sehen, gleichzeitig aber auch die notwendigen Sicherheitsvorkehrungen getroffen sind, um den Schutz personenbezogener Daten zu gewährleisten.

Entwicklung der Bedrohungslandschaft

Die Raffinesse von Angriffen seitens der Geheim- und Aufklärungsdienste wird künftig auch bei Attacken von Einzelkämpfern zu finden sein. Die hohe Zahl an Hackergruppen, die extrem anspruchsvolle Angriffe durchführen, lassen die Grenze zwischen der altbekannten Internetkriminalität und den gezielten Angriffen verschwimmen. So werden Konflikte der "realen Welt" immer öfter im Internet ausgetragen, bei denen neue, politisch motivierte Akteure beteiligt sind.

Gezielte Angriffe

Darüber hinaus werden die gezielt durchgeführten Angriffe auf Regierungsstellen und Unternehmen aufgrund zunehmender Professionalisierung der Hackergruppen noch systematischer. Um der Entdeckung zu entgehen und Sicherheitskontrollen zu umgehen, werden Angreifer künftig spezielle Ziele im Visier haben. Zu erwarten ist, dass für jedes Angriffsopfer ein spezifischer C&C-Server, neue Malware und verschiedene Angriffsvektoren eingesetzt werden. Dadurch wird es wesentlich schwieriger, Angriffe anhand der bloßen Weitergabe von Indicators of Compromise (IoC) zu entdecken. In diesem Zusammenhang sind moderne, branchen- und länderübergreifende Korrelationsverfahren gefragt.

Hackergruppen werden immer besser, wenn es darum geht, Spuren zu verwischen und die Aufmerksamkeit von ihren dezidierten Zielen abzulenken. Diese Gruppen verbessern die Betriebssicherheit ihrer Backend-Infrastruktur und erschweren damit die Identifizierung der gestohlenen Daten sowie das Aufspüren laufender Attacken. Um einer frühzeitigen Entdeckung zu entgehen, erfolgt die Kommunikation per Standard-SSL-Verschlüsselung. Zudem werden gängige Trojaner eingesetzt, um in der Masse der herkömmlichen Internetkriminalität unterzutauchen.

Diese Entwicklungen fördern die Offenheit und Zusammenarbeit im Bereich der Sicherheitsanalyse. Es wird noch einige Zeit dauern, bevor alle Sicherheitsaspekte integriert werden. Im Verlauf des Jahres 2016 rechnen wir aber mit einem zunehmenden Austausch von anonymisierten Sicherheits-Telemetriedaten. In diesem Zeitraum werden sich voraussichtlich auch neue Partnerschaften ergeben.

Mehr digitale Erpressungen

Erpressungsfälle durch Schadsoftware werden weiter an Popularität gewinnen, da sie profitabel und relativ einfach durchzuführen sind. Insgesamt wird die sogenannte Crypto-Ransomware zunehmen, die Daten so lange sperrt, bis das geforderte Lösegeld bezahlt wird. Darüber hinaus werden sich auch die Fälle häufen, bei denen Angreifer drohen, Daten öffentlich zu machen. Das sehen wir beispielsweise bei der neuesten Chimera Ransomware oder den Erpressungsfälle im Dating-Portal Ashley Madison. Wir erwarten auch, dass Unternehmen zunehmend in das Visier von Erpressern geraten und Angreifer versuchen, sie mit der Veröffentlichung von Daten zu erpressen oder diese bei einer Zahlungsverweigerung anderweitig zu nutzen.

Schwachstellen bei mobilen Endgeräten

Die Zahl der neuen Varianten pro Android-Malware-Familie bleibt voraussichtlich hoch oder wird sogar noch steigen. Da immer mehr Funktionen wie Authentifizierungstoken, Unternehmensanwendungen oder Bezahlsysteme auf das Smartphone verlagert werden, sind mobile Endgeräte künftig ein Hauptangriffsziel von Hackern. In diesem Zusammenhang wird es stärkere Sicherheitskontrollen für Büroanwendungen geben und Unternehmen werden sich darauf konzentrieren müssen, die Übernahme von Systemfunktionen zu erschweren.

Sicherheitsverletzungen hebeln Authentifizierungsmethoden aus

Aufgrund der vielen Sicherheitsverletzungen im Jahr 2015 haben Organisationen erkannt, dass Anmeldenamen und Kennwörter, wie wir sie heute nutzen, nicht mehr sicher sind. Daher werden Sicherheitssysteme auf Basis von Anmeldenamen und Kennwörtern künftig durch die 2-Faktoren-Authentifizierung (2FA) ersetzt. Sie fragt nicht nur eine Information ab, die der tatsächliche Eigentümer wissen sollte, wie beispielsweise ein Kennwort, sondern auch ein Gegenstand, den der Eigentümer besitzt - etwa ein Mobiltelefon. Obwohl Verbraucher damit in Zukunft eine Vielzahl von Anmeldekombinationen handhaben müssen, ist der flächendeckende Einsatz dieser Methode unabdingbar. Zudem werden umfangreichere und ausgereiftere Lösungen mit biometrischen Features ausgestattet. Allerdings wird der Fingerabdruck nicht die ultimative Lösung des Problems sein. Vielmehr wird man von der "EKG-basierten Identifizierung" und von einem "Venenabgleich" hören, sobald Unternehmen erkennen, dass Fingerabdrücke vergleichsweise einfach nachgebildet werden können.

Ausblick auf 2016 und darüber hinaus (2016 und die Sicherheit)

Derzeit werden Roboter entwickelt und konzipiert, die in den nächsten zehn Jahren unsere alltäglichen Arbeiten übernehmen werden. Der "Security by Design"-Ansatz muss auch in der Robotik greifen, um die Programmierung, Updates und Identifizierung von Systemen sicherzustellen und die Umgebung, in der Roboter entwickelt und produziert werden, so sicher wie möglich zu gestalten und potenziellen Hackern von vornherein das Handwerk zu legen.

3D-Stadtmodellierung

Die wirklich intelligente Stadt liegt noch in weiter Ferne, aber im kommenden Jahr wird der Gestaltung und Planung von Lebensräumen der Zukunft sehr viel Aufmerksamkeit geschenkt. In diesem Bereich werden die ersten technologischen Schritte in konfigurierbaren 3D-Modellen von Städten der Zukunft realisiert, bei denen der Mensch im Mittelpunkt steht. Stadtplaner und andere Akteure können so im Rahmen der virtuellen und erweiterten Realität Entwürfe für die Zukunft erstellen. Auch dafür ist ein Security by Design-Ansatz erforderlich.
[Quelle: Symantec]
nlg