Mit welchen Themen müssen sich CISO im Jahr 2025 befassen? Zwei Experten werfen einen Blick in die Zukunft und skizzieren mögliche Strategien. Spoiler: Die Zukunft wird nicht komplett anders.
Text: Andreas Heer, Bilder: Swisscom
12. Dezember 2022
Wie schaut eigentlich Cybersecurity im Jahr 2025 aus? Bis dann dauert es nur noch gute zwei Jahre. Dennoch hatte in einer Teilnehmerbefragung an den Swisscom Business Days die grosse Mehrheit noch keine Strategie oder wollte sich dazu nicht konkret äussern. Wie eine solche aussehen kann, zeigten Martin Weder, CISO der Zürcher Kantonalbank (ZKB), und Marco Wyrsch, CISO Swisscom für den Bereich Geschäftskunden auf.
So anders als heute schätzen die beiden CISOs die Bedrohungslage 2025 nicht ein. «Wir müssen antizipieren, auch einmal von einer Cyberattacke betroffen zu sein und daher unsere Cyberresilienz entsprechend stärken», fasst Martin Weder das Ziel der viertgrössten Schweizer Bank zusammen. Das bedeutet unter anderem einen besseren Schutz vor Ransomware, um Angriffe möglichst frühzeitig zu erkennen und zu stoppen – bevor Daten verschlüsselt werden und der Unternehmensbetrieb beeinträchtigt wird. Und auch, bevor Lösegeldforderungen anstehen: «Ich gehe davon aus, dass 2025 die Hürden für die Bezahlung von Lösegeldern höher sein werden, entweder vonseiten der Versicherungen oder aufgrund gesetzlicher Regulierungen», prognostiziert Martin Weder.
Durch die weitergehende Vernetzung von Eigen- und Fremdsystemen gewinnt das Monitoring der Software Supply Chain an Bedeutung. Das zeigen Vorfälle wie «log4shell» im Dezember 2021. «Solche Risiken müssen wir besser überwachen, damit wir bei einer Sicherheitslücke sofort reagieren können», ist für Martin Weder die Konsequenz daraus. Ein Ansatz dazu liegt gemäss dem ZKB-CISO in sogenannten SBOM, Software Bills of Material, einer Art Stückgutliste für Softwarekomponenten und Bibliotheken. Das vereinfacht es Unternehmen, festzustellen, welche Bibliotheken sie nutzen. Dadurch können Firmen schnell identifizieren, ob sie von einer Sicherheitslücke betroffen sind.
Eine andere Ausgangslage präsentiert sich bei den heute omnipräsenten Cloud-Lösungen unterschiedlicher Anbieter. Deren Nutzung wird bis 2025 weiter zunehmen. «Wir müssen hier über unterschiedliche Technologien hinweg denselben Grundschutz sicherstellen wie On-Premises», fasst Martin Weder die Herausforderungen zusammen.
Marco Wyrsch fügt einen weiteren erschwerenden Faktor an: «Bei Cloud-Lösungen stellt sich zusätzlich die Herausforderung, dass Unternehmen den Schutz zusätzlicher Umgebungen mit denselben Ressourcen sicherstellen müssen.» Das muss nicht unbedingt finanzielle Gründe haben, sondern kann schlicht am Fachkräftemangel liegen – ein Faktor, den beide CISO als erschwerend einstufen.
Um das benötigte Schutzniveau weiterzuentwickeln, hat die ZKB ein Securitymodell entwickelt. Im Kern geht es um die Identifikation und periodische Bewertung der in Zukunft benötigten Fähigkeiten in der Organisation. Eine Standortbestimmung dient als Basis für die Securitystrategie. «Darauf aufbauend fragen wir uns systematisch, welchen Reifegrad wir in welchem Bereich erreichen wollen. Das bestimmt die Massnahmen, die wir ergreifen», erklärt Martin Weder das Vorgehen der ZKB.
Die IT-Sicherheit muss sich weiterentwickeln. Das liegt nicht so sehr an den Angriffsmustern der Cyberkriminellen, sondern an der Weiterentwicklung der IT selbst. Hybride und Multi-Cloud-Ansätze eröffnen zusätzliche Angriffsvektoren und werfen neue Fragen nach der Datensicherheit auf, so Marco Wyrsch: «Wo sind welche Daten gespeichert, und wie gut sind sie geschützt?»
Die Zugriffskontrolle und damit das Identity Management gewinnen in der Cloud an Bedeutung. «Wir müssen neue Securitymodelle wie den Zero-Trust-Ansatz anwenden», sagt dazu Wyrsch. «Das ist eine Weiterentwicklung der Architektur, die Zeit braucht und ein schrittweises Vorgehen erfordert.»
Doch die Cloud bringt auch neue Möglichkeiten für die Cybersicherheit, so Weder: «Cloudbasierte Schutzmassnahmen wie moderne XDR-Lösungen (Extended Detection and Response) helfen bereits heute, auch On-Premises-Infrastruktur zu besser zu schützen und so die Maturität zu erhöhen.»