Sicherheit
30.04.2025

eco Expertenaustausch: Zukunftsthemen der Cybersicherheit 

Die rasante Entwicklung digitaler Technologien und die zunehmende Vernetzung aller Lebensbereiche stellen Unternehmen vor eine Vielzahl komplexer Herausforderungen. Angesichts von Bedrohungen wie Cyber-Angriffen, Datenmissbrauch und Manipulation von Informationssystemen wird es immer wichtiger, neue Strategien und Lösungen zu entwickeln, um sich zu schützen. In einer Welt, in der künstliche Intelligenz, das Internet der Dinge und Quantencomputing an Bedeutung gewinnen, eröffnen sich neue Chancen, aber auch neue Risiken. Im Rahmen eines Treffens der Kompetenzgruppe Sicherheit tauschten sich Experten über zentrale Zukunftsthemen der Cybersicherheit aus und analysierten, wie mit innovativen Ansätzen die digitale Welt sicherer gestaltet werden kann. 

Cybercrime und der Faktor Mensch 

  • Angriffe werden komplexer und vielfältiger 
  • Social Engineering bleibt zentrale Gefahr 
  • KI und geopolitische Interessen verstärken Bedrohungslage 
  • Cyberangriffe nehmen kontinuierlich zu – sowohl in Zahl als auch in technischer Raffinesse.  

Besonders tückisch bleibt Social Engineering: Angreifer nutzen zunehmend soziale Netzwerke, personalisierte Kommunikation und gefälschte Sprachnachrichten, um Nutzer zu täuschen. Durch den Einsatz künstlicher Intelligenz werden diese Angriffe automatisierter und individueller. Zudem geraten Unternehmen immer häufiger ins Visier staatlich unterstützter Hackergruppen, etwa aus Russland oder Nordkorea. Diese gezielten, oft politisch motivierten Attacken sind schwer zu erkennen und noch schwerer abzuwehren. 

Handlungsempfehlungen für Unternehmen 

  • Mitarbeiterschulungen sind essenziell 
  • Sicherheitskultur muss verankert werden 
  • Bildung und gesellschaftliche Verantwortung stärken Prävention 

Technische Schutzmaßnahmen wie Firewalls oder Phishing-Filter bieten wichtige Grundlagen – reichen allein jedoch nicht aus. Der Mensch bleibt die entscheidende Verteidigungslinie. Regelmäßige Schulungen für Mitarbeitende erhöhen das Bewusstsein für Bedrohungen wie KI-gestützte Phishing-Mails oder betrügerische Telefonanrufe. Gleichzeitig ist es notwendig, Cybersicherheit als Bestandteil der Unternehmenskultur zu etablieren. Dazu gehört auch ein strategischer Blick auf Bildung: Bereits in Schulen sollte der Umgang mit digitalen Risiken thematisiert werden, um langfristig eine resiliente Gesellschaft zu fördern. 

Cybersicherheitsregulierung 

  • Neue EU-Gesetze wie NIS-2 und CER bringen Verpflichtungen 
  • Unternehmen müssen flexibel auf Gesetzgebungsverfahren reagieren 
  • Uneinigkeit über EU-Zertifizierungen bleibt Herausforderung 

Im Bereich der Cybersicherheit müssen Unternehmen zunehmend nicht nur technologische Maßnahmen ergreifen, sondern auch die zunehmende gesetzliche Regulierung berücksichtigen. Ein zentraler Aspekt dieser Regulierung sind die verschiedenen neuen und angepassten Gesetzgebungen auf europäischer Ebene. Im Jahr 2022 wurden beispielsweise die Critical Entities Resilience (CER) und die NIS-2-Richtlinie verabschiedet. Während sich die NIS-2-Richtlinie primär auf die Cybersicherheit von Unternehmen konzentriert, bezieht sich die CER auf die physische Sicherheit kritischer Infrastrukturen. 

Die Umsetzung dieser und weiterer Gesetze, wie z.B. das KRITIS-Gesetz in Deutschland, hat sich jedoch mehrfach verzögert, u.a. durch die vorgezogene Bundestagswahl, die zu einem Neustart der Gesetzgebungsverfahren geführt hat. Für Unternehmen bedeutet dies, dass sie sich auf eine zeitnahe Gesetzgebung ohne Übergangsfristen einstellen müssen. Für die Verabschiedung der Gesetze sind drei Szenarien denkbar: ein langsames reguläres Verfahren, ein beschleunigtes 100-Tage-Verfahren oder eine Mischform. Unabhängig vom Verfahren ist es unerlässlich, dass die Unternehmen ab dem Zeitpunkt des Inkrafttretens des Gesetzes vollständig konform sind. 

Die EU wird auch bestehende Cybersicherheitsgesetze wie die NIS-2-Richtlinie regelmäßig überprüfen, um sicherzustellen, dass sie die gewünschte Wirkung erzielen. Konkrete Umsetzungsvorschriften, etwa zur Ausfallsicherheit von IT-Systemen, werden im Laufe des Jahres erwartet, wobei die Regierungen pragmatisch vorgehen sollten, um eine ineffiziente und überregulierte Lösung zu vermeiden. Unternehmen sollten daher ein marktbasiertes Sicherheitsmodell bevorzugen und die regulatorischen Entwicklungen aufmerksam verfolgen. 

Unternehmen können auch von der seit Jahren diskutierte Europäische Cybersicherheitszertifizierung (EUCS) betroffen sein. Derzeit gibt es noch Uneinigkeit, insbesondere in Bezug auf digitale Souveränität und Mindeststandards. Einige Staaten streben strengere Regeln an, was die Einführung verzögert. Auch die Einführung einheitlicher Zertifizierungen für IT-Sicherheitsprodukte und -dienstleistungen bleibt eine Herausforderung, da nationale Behörden wie das BSI sowie marktgetriebene Anbieter die Zertifizierung weiterhin dominieren. 

Darüber hinaus ist die Zukunft des Transatlantic Data Privacy Framework (TADPF) zunehmend ungewiss. Dies betrifft den Datenschutz zwischen der EU und den USA, wobei die EU-Entscheidung über die Angemessenheit des US-Datenschutzes als instabil gilt. US-Unternehmen streben ihrerseits zunehmend europäische Zertifizierungen wie das C5 an, um Vertrauen zu schaffen und die regulatorischen Anforderungen zu erfüllen. 

Zero Trust: Ein Sicherheitskonzept für die Zukunft der Unternehmens-IT 

In der heutigen, zunehmend vernetzten und dynamischen IT-Landschaft wird das Sicherheitskonzept Zero Trust immer relevanter. Es stellt eine grundlegende Veränderung gegenüber traditionellen Sicherheitsmodellen dar, die davon ausgehen, dass Benutzer innerhalb des Netzwerks vertrauenswürdig sind. Zero Trust basiert hingegen auf der Annahme, dass weder interne noch externe Benutzer oder Geräte automatisch vertrauenswürdig sind. Jede Anfrage nach Zugriff auf Daten oder Anwendungen muss daher vorab einer strengen Identitäts- und Zugriffsprüfung unterzogen werden. 

Warum Zero Trust für Unternehmen wichtig ist 

Zero Trust ist besonders relevant für Unternehmen, die in verteilten Arbeitsumgebungen tätig sind, in denen Cloud-Dienste und mobiles Arbeiten zunehmend die Norm sind. In solchen Umgebungen verschwimmen die Grenzen zwischen internen und externen Netzwerken, was die Notwendigkeit einer robusten Sicherheitsarchitektur verstärkt.  

Zu den Grundprinzipien von Zero Trust gehören: 

  • Eliminierung des vertrauenswürdigen Perimeters: Das traditionelle Sicherheitsmodell, das Netzwerke als sicher und vertrauenswürdig ansieht, wird durch einen sichereren, kontinuierlich überprüfenden Ansatz ersetzt. 
  • Kontinuierliche Überprüfung von Identitäten und Geräten: Statt einmaliger Authentifizierung wird der Zugriff permanent überwacht. 
  • Minimale Privilegien: Benutzer erhalten nur die Rechte, die sie für ihre Aufgaben benötigen. 
  • Mikrosegmentierung: Netzwerkressourcen werden in kleinere Segmente unterteilt, um den Zugriff granular zu steuern.

Einführung von Zero Trust 

  • Zero Trust ersetzt klassische Sicherheitsmodelle 
  • Zugang wird kontinuierlich geprüft 
  • MFA und Segmentierung als zentrale Elemente 

Die vollständige Einführung eines Zero-Trust-Modells wird mehrere Jahre in Anspruch nehmen, da bestehende IT-Infrastrukturen und Geschäftsprozesse berücksichtigt werden müssen. Eine gründliche Analyse der aktuellen Sicherheitsarchitektur ist dabei der erste Schritt. Zero Trust erfordert keinen Technologiewechsel, sondern einen strategischen Wandel: Sicherheitsprozesse müssen überdacht und alle relevanten Stakeholder eingebunden werden. Auch langfristige Anpassungen bei Dienstleister- und Lizenzstrukturen können nötig werden. 

Ein zentrales Element ist die Identität der Nutzer. Multi-Faktor-Authentifizierung (MFA), idealerweise hardwarebasiert, ersetzt zunehmend klassische Passwortsysteme. So lassen sich unberechtigte Zugriffe verhindern. 

Darüber hinaus unterstützt Zero Trust Unternehmen bei der Erfüllung regulatorischer Anforderungen, etwa durch NIS-2 oder DORA. Der kontinuierliche Abgleich von Zugriffsrechten verbessert sowohl die IT-Sicherheit als auch die Compliance. Trotz möglicher Hürden – besonders in Deutschland – wächst das Bewusstsein für die Notwendigkeit solcher Konzepte. Wer den Wandel aktiv gestaltet, profitiert langfristig von einem robusteren Sicherheitsniveau. 

Quantencomputing und die zukünftige Sicherheitslandschaft 

  • Quantencomputer gefährden heutige Verschlüsselung 
  • PQC und QKD sichern Kommunikation von morgen 
  • Erste Pilotprojekte weltweit in Umsetzung 

Quantencomputing wird die Sicherheitslandschaft der nächsten Jahre erheblich verändern. Die potenziellen Auswirkungen auf die Datensicherheit sind weitreichend, da Quantencomputer in der Lage sein werden, bestehende Verschlüsselungsmethoden zu brechen und dadurch die Vertraulichkeit von Daten in Frage zu stellen. Quantencomputer werden voraussichtlich in den nächsten 10 bis 15 Jahren einsatzbereit sein.  Besonders relevant ist dies schon heute für Daten, die über lange Zeiträume vertraulich bleiben müssen, wie zum Beispiel Gesundheits- oder militärische Informationen. Mit Hilfe von Quantencomputern könnte diese Informationen in der Zukunft entschlüsseln, wenn sie derzeit durch nur klassische Verschlüsselungssysteme geschützt sind (Store Now, Decrypt Later). 

Unternehmen sollten sich mit 2 Technologien in diesem Umfeld auseinandersetzten 

  • Post-Quantum-Kryptographie (PQC): Es handelt sich dabei um eine Sammlung von kryptographischen Verfahren, die entwickelt wurden, um auch gegenüber zukünftigen Quantencomputern sicher zu sein. Quantencomputer haben das Potenzial, viele der heute verwendeten klassischen Verschlüsselungsverfahren zu brechen, insbesondere solche, die auf mathematischen Problemen wie der Faktorisierung von großen Zahlen (RSA) oder dem Diskreten Logarithmus (DSA, DH) basieren. Bestehende Verschlüsselungsverfahren werden durch quantensichere Algorithmen ersetzt. Diese Lösung kann auf den bestehenden Infrastrukturen aufbauen, hat aber ihre eigenen Herausforderungen, insbesondere bei der Integration. 
  • QKD (Quantum Key Distribution, QKD) ist eine Technologie zur sicheren Verteilung von kryptographischen Schlüsseln, die auf den Prinzipien der Quantenmechanik basiert. QKD ist theoretisch unknackbar, weil jeder Versuche des Abfangens oder Störens von Quantenbits die übertragenen Daten verändert und damit sofort bemerkt wird. In einer Welt, in der Quantencomputer klassische Verschlüsselungsverfahren gefährden könnten, bietet QKD eine Möglichkeit, auch in Zukunft sichere Kommunikation zu gewährleisten. 

Quantenkommunikationsnetze und internationale Entwicklungen 

Einige Länder, darunter China, Korea und Polen, haben bereits Quantenkommunikationsnetze aufgebaut, um sich gegen künftige Quantenangriffe zu schützen. Auch in Städten wie Bonn, Berlin und Frankfurt sowie in asiatischen Ländern wie Singapur und Südkorea laufen erste Pilotprojekte. Die EU arbeitet ebenfalls an der Standardisierung solcher Technologien, doch einheitliche Vorgaben fehlen bislang. Da Migrationsprozesse in der Kryptografie viele Jahre in Anspruch nehmen können, sollten sich Unternehmen frühzeitig vorbereiten. 

Security by Design 

  • Sicherheit muss früh in Entwicklung integriert werden 
  • CRA fordert kontinuierliche Updates und Patch-Management 
  • Kleine Unternehmen stehen vor Umsetzungsproblemen 

Die Sicherstellung der Produktsicherheit von Anfang an wird in der modernen digitalen Welt immer wichtiger. Für bestimmte Produktkategorien gibt es inzwischen regulatorische Vorgaben wie den Cyber Resilience Act (CRA), aufgrund derer Unternehmen Sicherheitsaspekte konsequent in den gesamten Entwicklungsprozess ihrer digitalen Produkte integrieren. Die Anforderungen des CRA können durch das Konzept Security by Design umgesetzt werden.. 

Security by Design: Ein integrativer Ansatz für Produktsicherheit 

„Security by Design“ bedeutet, dass Sicherheitsaspekte nicht nachträglich, sondern von Anfang an in die Entwicklung digitaler Produkte integriert werden. Durch diesen proaktiven Ansatz werden potenzielle Schwachstellen frühzeitig identifiziert und verhindert, dass Sicherheitslücken erst im späteren Entwicklungsverlauf auftreten. 

Kernprinzipien von Security by Design: 

  • Identifikation von Bedrohungen: Bereits zu Beginn der Entwicklung sollten alle potenziellen Bedrohungen und Schwachstellen analysiert und berücksichtigt werden. 
  • Sicheres Datenmanagement: Der Umgang mit sensiblen Daten muss von Anfang an sicher gestaltet werden, insbesondere durch Verschlüsselung und Datenschutzmaßnahmen. 
  • Minimierung von Funktionen und Datenzugriffen: Die Produktfunktionalität sollte auf das Nötigste beschränkt werden, um unnötige Angriffsflächen zu vermeiden. 
  • Failsafe-Maßnahmen: Das Produkt muss auch bei Systemfehlern sicher bleiben, z. B. durch Notfallmechanismen oder automatisierte Sicherheitsprotokolle. 
  • Regelmäßige Sicherheits-Patches und Tests: Produkte sollten kontinuierlich durch automatisierte Sicherheits-Scans und Penetrationstests auf Schwachstellen überprüft werden. 

Cyber Resilience Act (CRA): Stärkung der Widerstandsfähigkeit von Produkten 

Der Cyber Resilience Act (CRA) verfolgt das Ziel, die Widerstandsfähigkeit von Produkten gegen Cyberangriffe zu erhöhen. Unternehmen müssen sicherstellen, dass ihre Produkte kontinuierlich den neuesten Sicherheitsstandards entsprechen, schnell Sicherheits-Patches bereitgestellt werden und potenzielle Sicherheitslücken regelmäßig geschlossen werden. 

Wichtige Anforderungen des CRA: 

  • Widerstandsfähigkeit von Produkten: Produkte müssen so entwickelt werden, dass sie gegenüber Cyberangriffen resistent sind. 
  • Schnelle Bereitstellung von Sicherheits-Patches: Unternehmen sind verpflichtet, Sicherheitslücken umgehend zu beheben, sobald sie entdeckt werden. 
  • Kontinuierliche Aktualisierung der Sicherheitsstandards: Unternehmen müssen ihre Produkte regelmäßig auf den neuesten Stand der Sicherheitstechnik bringen. 

Herausforderungen für Unternehmen bei der Umsetzung des CRA 

Die Umsetzung des CRA kann insbesondere für kleinere Unternehmen eine Herausforderung darstellen, insbesondere wenn es um die Zertifizierung und kontinuierliche Sicherheitsmaßnahmen geht. Größere Unternehmen haben oft spezielle Abteilungen, die sich mit der Umsetzung der Sicherheitsanforderungen befassen. Kleinere Unternehmen müssen gegebenenfalls externe Unterstützung suchen oder partnerschaftliche Lösungen entwickeln, um die Anforderungen des CRA zu erfüllen. 

Fazit 

Unternehmen müssen sich mit aktuellen Cybersicherheitstrends beschäftigen, um sich wirksam gegen die ständig wachsenden und sich wandelnden Bedrohungen in der digitalen Welt zu schützen. Cyberangriffe werden immer raffinierter, und veraltete Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz mehr. Wer nicht rechtzeitig reagiert, riskiert nicht nur finanzielle Schäden, sondern auch den Verlust sensibler Daten, einen Imageschaden sowie rechtliche Konsequenzen. Darüber hinaus verlangen Kunden, Geschäftspartner und gesetzliche Vorgaben zunehmend ein hohes Maß an IT-Sicherheit. Die kontinuierliche Auseinandersetzung mit Cybersicherheitstrends ist daher nicht nur ein technischer, sondern ein strategischer Erfolgsfaktor für jedes moderne Unternehmen. 

eco Expertenaustausch: Zukunftsthemen der Cybersicherheit 

Das könnte Sie auch interessieren

7 aktuelle Herausforderungen in der OT-Security
7 aktuelle Herausforderungen in der OT-Security
Sicherheit

7 aktuelle Herausforderungen in der OT-Security

An einem Industriestandort können schnell mal bis zu 500 einzelne OT-Geräte im Einsatz sein – ausreichend Angriffsfläche für Hacker und Cyberkriminelle. Diese sieben Herausforderungen sollten Unternehmen heutzutage auf dem Schirm haben.
29.04.2025
Dr. Julian Weber, Beirat KG Mobility
Dr. Julian Weber, Beirat KG Mobility
Mobility

„Die Internetwirtschaft ist das Herz der Mobilität von morgen“

Die eco Kompetenzgruppe Mobility freut sich über das neue Beiratsmitglied Dr. Julian Weber. Als Senior Consultant In-car Data, Cybersecurity & AI beim Verband der Automobilindustrie e.V. (VDA) will er Potenziale der smarten Mobilität ausbauen, sie vor Risiken absichern und die Branche gemeinsam für die Zukunft fit machen.
15.04.2025
Zero Trust im Mittelstand: Vom Schlagwort zu Strategie
Sicherheit

Zero Trust im Mittelstand: Vom Schlagwort zu Strategie

Zero Trust ist längst mehr als ein IT-Schlagwort – es wird zum neuen Sicherheitsstandard in einer digital vernetzten Welt. Im Interview erklärt Mike Majunke, Solutions Engineer Cloudflare, warum gerade jetzt der richtige Zeitpunkt für den Einstieg ist – und wie besonders KMU typische Stolperfallen vermeiden können.
14.04.2025