Jahresausblick 2025: Process Consulting

2024 brachte einige spannende Entwicklungen in der IT-Security: vom Inkrafttreten des CRA hin zum CrowdStrike Vorfall im Sommer. Nun befinden wir uns im Jahr 2025 und es stellt sich die Frage: Was kommt als nächstes? Ganz beantworten kann man diese Frage natürlich nicht – dennoch haben unsere Practice Heads einen Blick in die Glaskugel gewagt und geben einen Ausblick auf das, was vielleicht 2025 in der Cybersecurity Welt kommen wird.

Heute im Gespräch: Christoph Zajic, Head des Process Consulting Teams

Das Jahr 2024 ist zwar vorbei, dennoch wollen wir einen kurzen Rückblick wagen. Was waren deiner Meinung nach die größten Herausforderungen für Unternehmen aus der Perspektive der Cybersicherheit?

Christoph Zajic: Eine große Herausforderung war sicher die Vorbereitung auf die Vielzahl regulatorischer Anforderungen wie zB. NIS 2, DORA oder CRA. Und kontraproduktiv war ganz klar die Verzögerung bei der Verabschiedung des NISG 2024. Diese hat es sicherheits- und NIS2-projektverantwortlichen Personen schwer gemacht, den internen Druck im Projektverlauf und -umsetzung aufrecht zu erhalten, um schlussendlich für die notwendige Sicherheit zu sorgen.

Wir befinden uns am Anfang von 2025 - welche Cyberbedrohungen siehst du für 2025 als besonders gefährlich oder relevant an?

Christoph Zajic: Ich denke, dass uns die drei folgenden – auch im Zusammenhang zu sehenden - Bedrohungen heuer massiv beschäftigen werden.

1. Angriff auf die Lieferkette: Drittdienstleister sind in die Pflicht zu nehmen, Unternehmen müssen sich davon überzeugen, dass ihre Mindestsicherheitsstandards vertraglich überbunden und nachweislich eingehalten werden.
2. Deep Fakes: In meinen Awareness-Schulungen zeige ich anhand mehrerer Beispiele, wie sich die Qualität von Deep Fakes innerhalb der letzten 12 Monate massiv verändert hat. Dem Technologiesprung werden ausgeklügelte Angriffsszenarien folgen.
3. Deep Learning Systeme bergen sowohl technische als auch gesellschaftliche Bedrohungen. Die Erstellung von Schadsoftware, die Täuschung von Menschen durch realistisch wirkende E-Mails, Fake-News und Social Media Manipulationen werden es noch schwerer machen, Betrug zu erkennen.

Wie wird sich die regulatorische Landschaft im Bereich der Cybersicherheit im Laufe dieses Jahres verändern?

Christoph Zajic: Das Jahr startet im Jänner mit DORA und das hat den betroffenen Unternehmen schon in den letzten 12 Monaten einiges abverlangt. Folgen wird Mitte des Jahres dann noch das NISG2024, dessen Umsetzungsprojekte im Q1/2025 wieder Fahrt aufnehmen werden.

Neben den obligatorischen Betriebsthemen zielen beide in unterschiedlicher Tiefe darauf ab, dass ein IKT-Risikomanagement etabliert ist, Drittparteirisiken betrachtet und Prozesse zur Erkennung, Behandlung und Überwachung von IKT bezogenen Vorfällen etabliert werden.

Welche Rolle wird Künstliche Intelligenz (KI) 2025 in der Cybersicherheit spielen – sowohl als Werkzeug zur Verteidigung als auch als Bedrohung?

Christoph Zajic: Siehe Frage 2 „Welche Cyberbedrohungen siehst du für 2025 als besonders gefährlich oder relevant an?“

Welche Entwicklungen in der Cybersicherheit haben dich in den letzten Jahren am meisten überrascht, und was erwartest du für 2025?

Christoph Zajic: Überrascht hat mich die rasante Entwicklung von KI und Machine Learing, einerseits im Angriff aber auch reaktiv in der Verteidigung. Dabei sind die Entwicklungen sicher noch lange nicht zu Ende.

Überrascht hat mich zudem, dass das fehlerhafte Update von CrowdStrike und der damit verbundene weltweite IT-Kollaps im Flug- und Bahnverkehr, im Gesundheitswesen und speziell der Zugang zu Microsoft Diensten so schnell vergessen war. Das paradoxe ist, dass gerade eine fehlerhafte Sicherheitslösung Unternehmen in die Knie gezwungen und eine weltweite funktionale Abhängigkeit aufgezeigt hat.

Was würdest du Unternehmen raten, um gut auf das Jahr 2025 vorbereitet zu sein?

Christoph Zajic: Unabhängig davon, ob ein Unternehmen von NIS2 betroffen ist oder nicht, würde ich empfehlen, zu den angeführten Handlungsfelder aus der Anlage 3 des parlamentarischen Entwurfes entsprechende Maßnahmen vorweisen zu können. Die Adressierung der angeführten Punkte ist aus meiner Sicht Teil einer ordentlichen Unternehmensführung, das Top Management muss Verantwortung übernehmen.

Was wünscht du dir für das Jahr 2025 aus Sicht deines Kompetenzbereichs?

Christoph Zajic: Die oben genannten Themenbereiche bieten ein breites Betätigungsfeld. Eine wesentliche Herausforderung wird das Recruiting von Cyber-Security Talenten sein. Für 2025 wünsche ich mir, dass wir unser Process Consulting Team weiter mit interessanten Persönlichkeiten und Talenten, egal ob jung oder alt, ausbauen können.