Lassen Sie uns über Security sprechen!

Vom 6.–9. Juni fand in San Francisco – endlich wieder als Vor-Ort-Variante – die RSA Konferenz statt. Schon seit vielen Jahren ist die RSA Konferenz im Cyber-Security-Umfeld eine der wichtigsten Veranstaltungen und zeigt Trends und Neuerungen rund um das Cyber-Security-Themenfeld auf. Ich möchte an dieser Stelle die aus meiner Sicht relevantesten Erkenntnisse mitgeben. 

1. Zero Trust ist für mich weiterhin das dominierende Thema. Alle Sessions dazu waren extrem gut besucht und es war auch auf der Hersteller-Messe eines der Kernthemen. Spannend fand ich darüber hinaus, den Experten/Autoren vom NIST (National Institute of Standards & Technology in den USA) zuzuhören – hier kommt klar heraus, dass Zero Trust ein Ansatz und eine Philosophie ist und nicht eine klar definierte Lösung. Der Fokus von Zero-Trust-Ansätzen bezog sich überwiegend allerdings auf die klassische IT in Organisationen. Der Aspekt von Operational Technology (OT) und IoT (Internet of Things) wurde nur selten angesprochen. Für mich eine Lücke, denn eine umfassende Zero-Trust-Strategie funktioniert nur dann, wenn IT und OT/IoT adressiert sind. 
2. Viele Anbieter drehen Zero Trust dahingehend so, dass es genau zu ihrer Lösung passt. Kann man so machen, ist aber leicht zu durchschauen. Was fehlt, sind hier wohl Standards zu Zero Trust, mal schauen, wann das stärker kommt. Auch wenn ich nicht damit rechne, dass es jemals den einen Industriestandard zur Umsetzung von Zero Trust geben wird. 
3. Security Poverty Line – kannte ich als Begriff so noch nicht (auch wenn es den wohl schon seit 2013 gibt) – beschreibt den Zustand, wenn ein Unternehmen sich unterhalb von Minimum-Standards für Cyber Security befindet. Sprich, unterhalb dieser Linie ist man als Organisation mehr oder minder ungeschützt und für Angreifer ein recht leichtes Opfer. Und je tiefer man unter der Security Poverty Line ist, desto schwieriger wird es auf Dauer, den Rückstand nochmal aufzuholen. 
4. Mit Blick auf die Zukunft wurden auch Prognosen gewagt – speziell die Rolle von AI/ML (Artificial Intelligence/Machine Learning) betreffend. In der näheren Zukunft (ein bis zwei Jahre) sollen Security Incidents wesentlich besser in Echtzeit erkannt und unterbunden werden. In etwa drei bis fünf Jahren werden dann echte Erklärungen des jeweiligen Systems vorliegen, warum und wie diverse Entscheidungen getroffen worden sind. 
5. Neben den vielen eher technischen Themen war ich positiv davon überrascht, dass es auch in zahlreichen Vorträgen um das Thema Cyber Security Awareness und den Faktor Mensch ging. Ich finde, das ist ein Thema, welches noch immer zu stiefmütterlich behandelt wird. Leider haben sich viele Vorträge jedoch sehr stark auf Cyber Security Awareness in der Softwareentwicklung fokussiert. Das ist natürlich ein wichtiger Bereich, aber ich denke, dass es wichtiger ist, die Cyber Security Awareness in allen Bereichen einer Organisation zu erhöhen. 
6. Weiterhin bleibt eine große Challenge, dass im Cyber-Security-Umfeld der Bedarf an Personal weit hinter den verfügbaren Arbeitskräften hinterherhinkt. Neben kreativen Ansätzen, „Nachwuchs“ für Cyber-Security-Teams zu finden, steht als Ansatz dabei immer stärker die Automatisierung. So sollen Security-Teams entlastet werden, um sich auf kritische Themen zu fokussieren. Ich bin sehr gespannt, ob die Prognosen der Hersteller nach Entlastung durch AI/ML-Optimierung auch tatsächlich eintreffen – wünschenswert wäre es auf jeden Fall. 

Nach etwas mehr als zwei Jahren Pause stelle ich fest, dass die Kongresszentren in den USA für meinen persönlichen Geschmack noch immer zu stark gekühlt sind. Man erkannte die europäischen Teilnehmer schon daran, dass sie sich etwas wärmer angezogen hatten. In puncto Nachhaltigkeit fände ich es sehr wünschenswert, die Temperatur vielleicht um 1–2 Grad zu erhöhen. 

Mit Blick auf all diese Aspekte stellt sich zum Schluss die Frage, was denn nun nächste Schritte sind? Für mich spielen insbesondere zwei Aspekte eine Rolle. Zum einen sollte man als Organisation prüfen, wo man denn mit Blick auf Zero Trust steht. Gibt es schon eine Strategie? Wie weit ist die Umsetzung? Und zum anderen einmal überprüfen, was im Unternehmen in Richtung Security Awareness unternommen wird. Ist es noch das klassische Web-based-Training, welches einmal im Jahr von jedem Mitarbeitenden durchgearbeitet wird? Oder sind es moderne Ansätze, die auf kontinuierliche Security Awareness setzen?