Jahresausblick 2025: Security Engineering

2024 brachte einige spannende Entwicklungen in der IT-Security: vom Inkrafttreten des CRA hin zum CrowdStrike Vorfall im Sommer. Nun befinden wir uns im Jahr 2025 und es stellt sich die Frage: Was kommt als nächstes? Ganz beantworten kann man diese Frage natürlich nicht – dennoch haben unsere Practice Heads einen Blick in die Glaskugel gewagt und geben einen Ausblick auf das, was vielleicht 2025 in der Cybersecurity Welt kommen wird.

Heute im Gespräch: Michael Brunner, Head des Security Engineering Teams

Das Jahr 2024 ist zwar vorbei, dennoch wollen wir einen kurzen Rückblick wagen. Was waren deiner Meinung nach die größten Herausforderungen für Unternehmen aus der Perspektive der Cybersicherheit?

Michael Brunner: Rückblickend sehe ich da vor allem die recht große Verunsicherung hinsichtlich neuer EU-Regularien und deren Umsetzung. Gerade die Fristen der NIS 2 Richtlinie der EU und die leider jetzt verzögerte Umsetzung in nationales Recht – beispielsweise das noch immer nicht beschlossene NISG2024 in Österreich – haben hier einiges an Vertrauen verspielt. Gerade bei mittelständischen Unternehmen.

Ich sehe dadurch durchaus die Gefahr, dass sinnvolle und notwendige Verbesserungen der Cybersicherheit in vielen Fällen leider wieder verschoben werden. Nicht zuletzt auch wegen zunehmend schwieriger finanzieller Rahmenbedingungen für Unternehmer.

Dem gegenüber steht eine immer dynamischere Bedrohungslandschaft, neue Angriffstechniken und allgemein erhöhte IT-Betriebsrisiken durch eine immer stärker fortschreitende Abhängigkeit von IT-Systemen und einzelnen Anbietern.

Wir befinden uns am Anfang von 2025 - welche Cyberbedrohungen siehst du für 2025 als besonders gefährlich oder relevant an?

Michael Brunner: Hier sehe ich die Risiken in Hinblick auf Lieferketten und im speziellen die Bedrohungslage im Bereich der Softwarelieferketten. Wir hatten 2024 an sich großes Glück, dass beispielsweise das XZ Utils Backdoor (CVE-2024-3094) sehr rasch entdeckt wurde. Spannend ist in diesem Fall vor allem, wie böswillige Akteure agiert haben, um ein Open Source Projekt gezielt zu unterwandern, um dann schadhaften Code einzuschleusen.

Ich möchte das aber bitte nicht als Argument gegen Open Source Software verstanden wissen. Vielmehr werden Softwarehersteller zukünftig ein größeres Augenmerk auf die in eigenen Produkten eingesetzten Drittanbieter-Software-Komponenten legen müssen – unabhängig davon, ob diese nun Closed oder Open Source sind.

Wie wird sich die regulatorische Landschaft im Bereich der Cybersicherheit im Laufe dieses Jahres verändern?

Michael Brunner: Ich gehe davon aus, dass in 2025 die Awareness für den European Cyber Resilience Act (CRA) bei Herstellern von vernetzten digitalen Produkten steigen wird. Dieser ist bereits Inkraftgesetzt und verlangt eine Implementierung erster Sicherheitsmaßnahmen bis September 2026 und eine vollumfängliche Umsetzung bis Ende 2027.

Der CRA fordert unter anderem verpflichtende Cyber Security Mindeststandards für alle vernetzten Hardwareprodukte und Software ein: Darunter fallen dann beispielsweise Bluetooth-fähiges Kinderspielzeug, Desktop und Mobile Apps und auch smarte Küchengeräte. Auch Hersteller von Security Lösungen sind davon betroffen – hoffentlich wiederholt sich dann so etwas wie das CrowdStrike Debakel nicht mehr.

Ich empfinde vor allem die Forderung nach Berichtspflichten der Hersteller als wichtigen Schritt, um die Cyber Security in Europa maßgeblich zu erhöhen. Ab September 2026 müssen nämlich alle Hersteller die jeweiligen Marktüberwachungsbehörden und die ENISA über aktiv ausgenutzte Schwachstellen ihrer Produkte informieren – und das binnen 24 Stunden. Und gerade hierfür ist es essenziell, dass betroffene Unternehmen bereits jetzt mit dem Aufbau der erforderlichen Kompetenzen und Fähigkeiten beginnen; idealerweise den fachlichen, organisatorischen und personellen Rahmen für ein eigenes Product Incident Response Team (PSIRT) zu schaffen.

Welche Rolle wird Künstliche Intelligenz (KI) 2025 in der Cybersicherheit spielen – sowohl als Werkzeug zur Verteidigung als auch als Bedrohung?

Michael Brunner: KI – hier vor allem GenAI – wird zukünftig eine immer größere Rolle für die Cyber Security spielen. Dabei werden diese Werkzeuge weiterhin für Angriffe eingesetzt und hier ist auch von einer zunehmenden Professionalisierung im Umgang mit diesen Tools durch die Tätergruppen auszugehen.

In gleichem Maße wird die Cyber Verteidigung in puncto KI aufrüsten und es ist davon auszugehen, dass wir uns auf einen längeren „Stellungskrieg“ einstellen müssen. Auf Seite der Verteidiger sehe ich vor allem angepasste Security Awareness Konzepte als wichtiges Instrument, ebenso wie die laufende Weiterentwicklung technischer Security Maßnahmen mittels KI-Support und das auch zunehmend bei reaktiven Maßnahmen.

Welche Entwicklungen in der Cybersicherheit haben dich in den letzten Jahren am meisten überrascht, und was erwartest du für 2025?

Michael Brunner: Naja, so richtig überrascht hat mich ehrlich gesagt wenig.

Da wäre zum einen die nun doch von der EU sehr stringent verfolgte Cyber Security Strategie – da war ich mir vor 10 Jahren nicht ganz sicher, ob das dann auch so weiterverfolgt wird.

Zum anderen ist da die ständig verbesserungswürdige Softwarequalität und auch Sicherheit von Softwareprodukten. Ich gewinne oft den Eindruck, dass wir sowohl im privaten als auch im geschäftlichen Umfeld schon längst vor den Auswirkungen unsicherer und instabiler Software kapituliert haben. Das gilt es zu ändern! Da steht gefühlt die ganze Welt wegen eines vermeidbaren Softwarefehlers still – und dann gilt gleich wieder Business-as-Usual und an einer nachhaltigen Verbesserung der Gesamtsituation wird nicht wirklich gearbeitet. Diesbezüglich hoffe ich schon sehr auf den CRA …

Abgesehen davon gab es zwar einiges an Überraschungen, nicht aber direkt im Bereich der Cybersicherheit. Der schnelle Aufstieg von KI-Tools war dann auch für mich etwas unerwartet. Das hat natürlich Auswirkung auf viele Bereiche. Letzten Endes hat mich der Einsatz dieser Tools in der Cyber Security dann aber nicht groß überrascht.

Was würdest du Unternehmen raten, um gut auf das Jahr 2025 vorbereitet zu sein?

Michael Brunner: Folgenden Vorsatz für 2025 zu verfolgen: Die eigenen Cyber Risiken systematisch erheben, diese im Kontext des eigenen Unternehmens zu verstehen und mit dem gebotenen Nachdruck an einer Verbesserung zu arbeiten.

100%ige Cyber Sicherheit gibt es nicht, aber man kann seine eigenen Informationssicherheitsrisiken proaktiv steuern, bevor sie einem beispielsweise im Rahmen eines Cyber Angriffs um die Ohren fliegen.

Was wünscht du dir für das Jahr 2025 aus Sicht deines Kompetenzbereichs?

Michael Brunner: Für den Bereich Security Engineering wünsche ich mir vor allem eine gesteigerte Awareness – insbesondere für sichere Softwareentwicklung.

Viel zu oft erlebe ich fähige aber überlastete Softwareentwickler:innen, die zwar prinzipiell wissen, was zu tun wäre, um sichere Software zu entwickeln, aber leider die dafür erforderlichen Ressourcen nicht erhalten. Das mündet dann oft in einen Teufelskreis, wo unsichere Software ausgeliefert wird, vermeidbare Schwachstellen viel zu spät (oft erst in Produktion!) identifiziert werden und damit betroffene Softwareentwickler:innen für die Behebung aus ihrem aktuellen Projekt wieder herausgerissen werden müssen. Der damit verbundene Overhead sorgt für immensen Frust bei Betroffenen.

Und gerade, da wir als Gesellschaft auf qualitätsvolle und sichere Software angewiesen sind, wünsche ich mir hier ein größeres Verständnis für die Aufwände, die hinter sicheren Softwareprodukten stehen. Und auch ein offenes Ohr für Softwareentwickler:innen, die entsprechende Rahmenbedingungen hierfür einfordern.