Blick in die IT-Security-Glaskugel: Was bringt 2022? (Teil 2)

Malware, die es auf mobile Endgeräte abgesehen hat, Angriffe im Weltall und SMSishing via Messenger wurden bereits im ersten Teil der WatchGuard-Vorhersagen für 2022 thematisiert. Damit ist das Ende der Fahnenstange im Hinblick auf potenzielle, zukünftige IT-Security-Trends jedoch nicht erreicht. Am Horizont zeichnen sich für WatchGuard darüber hinaus noch drei weitere Entwicklungen ab.

Ohne Multifaktor-Authentifizierung ist die kennwortlose Windows-Einwahl zum Scheitern verurteilt

Es ist nun offiziell, dass Microsoft mit Windows den Weg der passwortlosen Authentifizierung geht. Obwohl WatchGuard diesen Schritt grundsätzlich begrüßt, ist es mit der Abkehr von Kennwörtern und alleiniger Konzentration auf einzelne andere Faktoren aus Expertensicht nicht getan. Zum Hintergrund: Bei Windows 10 und 11 unterstützt Microsoft mittlerweile die komplett kennwortlose Authentifizierung. Stattdessen besteht die Wahl zwischen biometrischer Validierung („Windows Hello“), Hardware-Token oder Einmalkennwort (OTP) per E-Mail – alles Faktoren, die in der Vergangenheit bereits erfolgreich kompromittiert wurden.

So hat die bisherige Forschung hinreichend bewiesen, dass Biometrie keine Wunderwaffe ist. Auch wenn die dahinterstehende Technologie immer präziser arbeitet, darf nicht vergessen werden, dass auch Angreifer nicht stillstehen. Gleichzeitig hat der Angriff auf RSA gezeigt, dass selbst der Einsatz von Hardwaretoken als Option, die für besonders sicher gehalten wird, keinen hundertprozentigen Schutz bietet. Und Klartext-E-Mails mit einem OTP sind generell keine gute Idee.

Die verlässlichste Lösung zum Schutz digitaler Identitäten ist und bleibt die Multifaktor-Authentifizierung (MFA). Mit deren obligatorischer und ebenso einfacher Integration hätte Microsoft (neben anderen Unternehmen) wirklich was erreichen können. Kür bleibt die Kombination von mindestens zwei Authentifizierungsmethoden, beispielsweise in Form von Biometrie oder Token und Push-Freigabe auf dem Mobiltelefon, wobei ein verschlüsselter Kanal genutzt wird.

Daher geht das WatchGuard Threat Lab davon aus, dass sich die kennwortlose Windows-Authentifizierung 2022 zwar durchsetzt, aber auch deren Fehlbarkeit deutlich wird – als Beweis, dass nichts aus bereits gemachten Fehlern gelernt wurde.

Erhöhte Anforderungen und Kosten bei Abschluss einer Cyberversicherung

Es lässt sich vermuten, dass die Versicherungswirtschaft ihren Teil zum Siegeszug von Multifaktor-Authentifizierung beiträgt. Schließlich sind die ausgezahlten Leistungen zur Deckung von Schäden, die durch Ransomware-Angriffe entstehen, in jüngster Vergangenheit drastisch in die Höhe geschnellt. In Folge erhöhen die Anbieter nicht nur die Prämien, sondern nehmen ebenso die IT-Security-Vorkehrungen auf Unternehmensseite gezielt unter die Lupe, bevor sie Versicherungsschutz gewähren.

Organisationen, die 2022 nicht über die richtigen Sicherheitsmaßnahmen – einschließlich Multifaktor-Authentifizierung – verfügen, laufen also durchaus Gefahr, möglicherweise nicht die Cyberversicherung zu erhalten, die sie vielleicht gerne hätten – und schon gar nicht zum gewünschten Preis. Einem Bericht von S&P Global zufolge stieg die Schadensquote der Cyberversicherer im Jahr 2020 das dritte Jahr in Folge um 25 Prozentpunkte auf insgesamt mehr als 72 Prozent. Dadurch erhöhten sich die Prämien für eigenständige Cyberversicherungen um 28,6 Prozent und erreichten eine Gesamtsumme von 1,62 Milliarden US-Dollar.

WatchGuard glaubt daher, dass MFA-Implementierungen auch aus diesem Grund weiter zunehmen werden.

Nennen wir es Zero Trust

Dass es darauf ankommt, jedem Anwender nur die Zugriffsrechte zu gewähren, die er tatsächlich braucht, haben viele IT-Security-Verantwortliche bereits in der Ausbildung gelernt. Trotzdem sind Theorie und Praxis nicht das gleiche. In den letzten Jahren konnte immer wieder beobachtet werden, wie einfach es für Angreifer ist, sich in Netzwerken ungehindert fortzubewegen und ihre Zugriffsrechte zu erweitern – weil IT-Administratoren diese grundlegende Regel nicht befolgen.

Gleichzeitig gelten Zero-Trust-Konzepte heute als der letzte Schrei beim Aufbau von Informationssicherheitsarchitekturen. Diesem „Null-Vertrauen-Ansatz“ liegt dabei nichts anderes zugrunde als die Annahme, dass Angreifer bereits Fuß gefasst haben könnten und es nun gilt, eine weitere Ausdehnung – insbesondere auf die kritischen Bereiche des Unternehmensnetzwerks – aufzuhalten. Von „Mikrosegmentierung“ und „gesicherten Identitäten“ ist dabei die Rede. Das heißt nicht, dass Zero Trust nur Schall und Rauch bedeutet – ganz im Gegenteil. Endlich wird das umgesetzt, was seit den Anfängen der Vernetzung hätte getan werden sollen.

Es ist also damit zu rechnen, dass Unternehmen 2022 einem der ältesten Sicherheitskonzepte überhaupt flächendeckend Folge leisten – und das Ganze „Zero Trust“ nennen.

Probe aufs Exempel

An dieser Stelle endet der Blick in die Glaskugel. Ob die Experten des WatchGuard Threat Lab mit ihren Annahmen recht behalten, wird die Zukunft zeigen.

Alle Prognosen für 2022 werden hier auch nochmal im Video festgehalten:  https://www.watchguard.com/wgrd-resource-center/cyber-security-predictions

Autor: Michael Haas, WatchGuard

Zum WatchGuard Blog