Zürich, Dezember 2022 – Das Jahr 2022 war ein Ausnahmejahr, geprägt von der Corona-Pandemie, Lieferengpässen, geopolitischen Konflikten und wirtschaftlichen Attacken. Hinzu kam die ansteigende Zahl von Cyberangriffen. Diese Entwicklungen machen Unternehmen schwer zu schaffen. Experten wie beispielsweise von Interpol prognostizieren auch für die kommenden Jahre, dass Cyberattacken wie Ransomware und Phishing deutlich zunehmen werden. Damit Unternehmen sich auf das kommende Jahr vorbereiten können, ist es wichtig, dass sie ihre Sicherheitslücken kennen und auch beheben. Dabei zeichnen sich einige Trends ab, die für 2023 wichtig werden.
Kritische Infrastrukturen bleiben im Visier von Cyberkriminellen
Kritische Infrastrukturen sind laut Medienberichten fast täglich Ziel einer Cyberattacke. Diese Lage verunsichert Unternehmen zunehmend. Gerade hochsensible Infrastrukturen wie das Gesundheitswesen oder die Energieversorgung werden 2023 von Cyberkriminellen noch stärker attackiert werden. Auffallend ist, dass die Angriffe häufiger, schneller und fokussierter werden. Der Grund dafür ist nicht nur die zunehmende Professionalisierung der Hacker, sondern auch der Trend zu Cybercrime-as-a-Service (CaaS). Damit wird es auch für Hobbykriminelle einfacher, ihre eigenen Angriffe zu entwickeln und dadurch Profit zu machen.
Neue Regulierungen auf dem Weg
Ende dieses Jahres hat sich das Europäische Parlament mit den Mitgliedsstaaten der EU auf einen Rahmen (NIS 2) geeinigt, der das Netz und Informationssysteme besser vor Cyberattacken schützen soll. Die Staaten haben dann 21 Monate Zeit, NIS 2 in nationales Recht umzusetzen. Mit NIS 2 werden Mindestanforderungen zur Zusammenarbeit zwischen den Ländern geschaffen und diese so harmonisiert. Auch hier steckt die kritische Infrastruktur im Fokus, da hohe Bußgelder verhängt werden, sollten die neuen Anforderungen nicht eingehalten werden. Andere Unternehmen müssen ebenfalls auf Grundlage des neuen Rahmens ihre Sicherheitsmaßnahmen nachbessern und Behörden innerhalb von 24 Stunden nach einem Vorfall einen Bericht zur Verfügung stellen. Erschreckend ist aber, dass 47 Prozent der IT-Sicherheitsverantwortlichen in Unternehmen im aktuellen Sicherheitsbarometer angaben, die gängigen Maßnahmen überhaupt nicht zu kennen. Zehn Prozent der Befragten gaben an, keine Vorkehrungen für erhöhte IT-Sicherheit zu treffen. Unternehmen sollten demnach jetzt Maßnahmen ergreifen, um ihre Schwachstellen zu schließen und die Sicherheitsmaßnahmen auf den neuesten Stand bringen, um nicht nur Cyberangriffe zu vermeiden, sondern auch Bußgelder vorzubeugen.
IT-Fachkräftemangel macht den Unternehmen nach wie vor zu schaffen
Laut dem Statistischen Bundesamt hatten mehr als drei Viertel der deutschen Unternehmen Probleme, im Jahr 2022 Stellen zu besetzen. Auch international sieht die Lage nicht besser aus. Laut der Cybersecurity Workforce Studie 2022 fehlten im Bereich IT-Sicherheit im Vergleich zu 2021 mehr als 26 Prozent der Sicherheitsexperten. In Zahlen ausgedrückt, brauchen Unternehmen 3,4 Millionen zusätzliche Arbeitskräfte. Gleichzeitig nehmen Cyberattacken zu. So verschärft sich im nächsten Jahr die Lage weiter, da Sicherheitslücken zu spät oder gar nicht geschlossen werden können, da diese schlichtweg übersehen werden. Um diesen Herausforderungen zu begegnen, sollten Unternehmen junge Nachwuchstalente einstellen, auch wenn diese noch über geringe Berufserfahrung verfügen. Zudem eignen sich Schulungen und Weiterbildungen, wenn Firmen neue Sicherheitsstandards und Regularien rechtzeitig implementieren wollen.
Social-Engineering wird verstärkt Banken treffen
Social-Engineering-Attacken sind oft nur der Anfang eines größer angelegten Cyberangriffs. Das wird auch zukünftig der Fall sein und die Kriminellen werden 2023 ihre Ziele ausweiten, denn zunehmend gerät auch der Banken- und Finanzsektor in den Fokus. Eine hohe Gefahr geht von sogenannten Social-Engineering-Attacken in Echtzeit aus. Hier ruft ein vermeintlicher Bankmitarbeiter oder eine angeblich staatliche Organisation einen Kunden an und drängt diesen sein Geld auf ein „sicheres“ Konto zu überweisen. Da der Kunde das Geld selbst überweist, ist es für die echte Bank nur schwer zu erkennen, dass in diesem Fall ein Betrugsdelikt vorliegt. Aber auch die Anzahl von Identitätsdiebstahl und Kontoübernahmen für kriminelle Zwecke werden im Bankensektor im Jahr 2023 ansteigen, da sich auch hier die Cyberkriminellen professionalisieren.
Deepfakes als neue Gefahr
Laut Europol und dem FBI geht eine ernsthafte Gefahr von Deepfakes aus. Auch wenn diese noch nicht so ausgereift sind, dass sie als massentauglich eingeschätzt werden, wird die Technologie zukünftig von Cyberkriminellen missbraucht werden, um ihre Betrugsszenarien noch authentischer zu gestalten. Es gibt bereits Fälle, in dem gefälschte Videos oder auch Voice-overs durch Deepfake zum Einsatz kamen und so Know-Your-Customer-Prozesse (KYC) ausgehebelt wurden. Da die Technologie sich auch hier immer weiter entwickelt, ist es nur eine Frage der Zeit, bis diese von Cyberkriminellen genutzt wird. Denn die technischen Grundlagen sind vorhanden und der Quellcode, um ein Deepfake zu erzeugen, ist öffentlich zugänglich.
Gefahren ernst nehmen
Unternehmen und IT-Entscheider sollten sich auf die zunehmenden Herausforderungen bezüglich IT-Sicherheit vorbereiten. Sie sollten auch ihre Sicherheitsmaßnahmen auf den neuesten Stand bringen, um ihre Kunden besser zu schützen. Denn das Risiko Opfer einer Cyberattacke ist nur mehr eine Frage der Zeit.
###
Über Nevis
Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland und Ungarn.
Pressekontakt
LEWIS Communications GmbH
Mareike Funke, nevis-security@teamlewis.com