Suchen

GlobalSign-Prognose

Cybersicherheit: Was kommt 2018 auf uns zu?

| Redakteur: Jürgen Schreier

WannaCry, Datenklau bei Equifax (der amerikanischen Schufa) und jetzt das Botnetz Reaper: 2017 war (ist?) für die Profis im Bereich Cybersicherheit ein arbeitsreiches Jahr. Was aber steht uns 2018 bevor? Die Experten von GlobalSign haben in die "Kristallkugel" geschaut. Hier sind ihre Prognosen.

Firmen zum Thema

2017 hatten die IT-Security-Experten reichlich zu tun. Auch 2018 wird ihnen die Arbeit kaum ausgehen. Vor allem die Datenschützer sind wegen der EU-DSGVO gefordert.
2017 hatten die IT-Security-Experten reichlich zu tun. Auch 2018 wird ihnen die Arbeit kaum ausgehen. Vor allem die Datenschützer sind wegen der EU-DSGVO gefordert.
(Bild: Pixabay / CC0)

Nadim Fahrah, Manager Digital Signing Services

Das Jahr 2018 bringt zunehmend juristische Probleme für einfache elektronische Signaturen.

"Der Dezember 2016 markierte erstmals ein juristisches Problem für die Rechtswirksamkeit einfacher elektronischer Dokumente. Standardisierte und öffentlich vertrauenswürdige digitale Signaturen setzen sich immer mehr durch. Daher gehe ich davon aus, dass 2018 mehr juristische Probleme bei der Rechtswirksamkeit einfacher elektronischer Signaturen auftreten werden.

Dies liegt nicht zuletzt daran, dass die großen US-Anbieter für Dokumentenverwaltung und -signierung weiterhin in integrierte Ökosysteme zwischen Vertrauensanbietern, Dienste zur Identitätsverifizierung und Anbietern von Anwendungen investieren, wie z.B. das Cloud Signature Consortium von Adobe und die Trust Service Provider-Programme von DocuSign.

Darüber hinaus erwarten Sie Updates bei Vertrauensprogrammen von Anbietern wie z.B. Microsoft und Mozilla Root Trust, zusätzlich zu den bereits angekündigten Anforderungs-Updates des Adobe Approved Trust List (AATL) Programms im Juli. Ziel ist ein höheres Niveau von Compliance-Anforderungen für diese Programme voranzutreiben, gemäß Electronic Identification, Authentication, and Trust Services (eIDAS) in der EU zur Identitätsverifizierung."

Die Gesichtserkennung kann eine Rolle bei der Identitätsverifizierung übernehmen.

"Das kürzlich vorgestellte iPhone X von Apple verfügt über Funktionen zur Gesichtserkennung und speichert die Daten sicher lokal auf dem Gerät. Facebook hat bereits verlauten lassen an einer ähnlichen Technologie zu arbeiten.

Diese Technologien sind, was Genauigkeit und Sicherheit anbelangt, noch nicht ausreichend für eine zuverlässige Identitätsverifizierung anerkannt. Denn letztere wird dazu verwendet Zertifikate für öffentlich vertrauenswürdige digitale Signaturen auszustellen. Immerhin ist es möglich, sie in der ersten Phase 2018 zur Authentifizierung einfacher elektronischer Signaturen zu benutzen. Aber die Technologie entwickelt sich weiter, vor allem der von Apple eingesetzte Typ, der von verschiedenen Hardware-Sensoren und -Kameras unterstützt wird. Es ist durchaus möglich, dass er in den nächsten zwei bis vier Jahren als gleichwertig für die persönliche Identitätsprüfung angesehen wird."

Doug Beattie, Vice President Certificate Services

Bis Ende 2018 sind 85 Prozent aller Webseiten über HTTPS geschützt.

"Wir haben in diesem Jahr ein starkes Wachstum beim Aufrufen von HTTPS-geschützten und sicherten Websites beobachtet angetrieben nicht zuletzt von Google und Mozilla, die den HTTPS-Einsatz fördern. Chrome markiert seit der Version Chrome 56, HTTP-Websites, die Passwörter oder Kreditkartendaten erfassen, als unsicher, Chrome 62 markiert jetzt alle HTTP-Websites mit Eingabefeldern als unsicher. Es ist nur eine Frage der Zeit, bis wirklich alle HTTP-Sites als unsicher gekennzeichnet werden.

Da inzwischen kostenlose oder zumindest kostengünstige DV-Zertifikate verfügbar sind, halten sich die finanziellen Auswirkungen für Website-Betreiber in Grenzen. Ergo fordern sowohl Google als auch Mozilla die Betreiber auf, ihre Websites aufgrund des sich ändernden Browserverhaltens, je nach Inhalt der Website, abzusichern. Da Google und Mozilla weitere Warnungen auf HTTP-Seiten hinzufügen und sie mit dem auffallenden roten Ausrufezeichen in einem Dreieck kennzeichnen, gehen wir davon aus, dass die HTTPS-Akzeptanzraten weiterhin deutlich steigen. Ich prognostiziere, dass bis Ende 2018 85 Prozent des gesamten Webverkehrs durch HTTPS geschützt ist."

TLS 1.0 und frühere Protokolle werden (endlich) Geschichte.

"Sicherheit ist nur so gut wie das schwächste Glied. Mit der breiten Einführung von HTTPS ist es an der Zeit, sich von veralteten Protokollen zu verabschieden - SSLv3 und früher sowie TLS 1.0. Diese Protokolle haben zahlreiche Schwachstellen und sollten auf allen Websites deaktiviert werden.

Da TLS 1.2 weit verbreitet und 1.3 „in der Mache ist“, werden die älteren Protokolle 2018 auslaufen. Vor diesem Hintergrund prognostiziere ich, dass die Mehrheit der Seiten bis Ende 2018 TLS 1.2 unterstützen wird. TLS 1.0 und ältere Protokolle werden praktisch nicht mehr verwendet."

Lila Kee, General Manager und Chief Product Officer und NAESB-Vorstandsmitglied

Es wird 2018 keinen großen Angriff auf das US-Stromnetz geben.

"Trotz der Zunahme von Cyberangriffen im Energiesektor wie etwa Dragonfly gehe ich im Gegenteil davon aus, dass es im Jahr 2018 keinen dramatischen Angriff auf das US-Stromnetz geben wird. Warum? Erstens verfügen wir über ein sehr widerstandsfähiges Netz. Die staatliche Koordination zur Unterstützung der Cybersicherheit im Energiesektor ist deutlich verstärkt worden, und es gibt deutliche Fortschritte im Hinblick auf integrierte ‚Security by Design’ im Smart Grid.

Zweitens glaube ich, dass wir von der zunehmenden Akzeptanz und dem Vertrauen in Microgrids profitieren. Microgrids sorgen für eine höhere Widerstandsfähigkeit des Stromnetzes. Sie sind eine schnellere und sauberere Methode, um erneuerbare Energiequellen anzuzapfen, während das größere Stromnetz wiederhergestellt wird. Gemeinden sollten sich einige Early-Adopter-Modelle ansehen, wie sie in Kalifornien zur Verhinderung von Ausfällen aufgrund von Naturkatastrophen oder Cyberangriffen eingesetzt werden.

Darüber hinaus dient die Tatsache, dass Dragonfly keine größeren Störungen verursacht hat, als weiterer Beweis (für mich jedenfalls), dass wir das richtige tun. Wäre dem nicht so, wären auch die Folgen des Angriffs schwerwiegender."

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44978622)