2018 war ein Mammutjahr für Cybersicherheitsexperten. Trotz der Warnungen, Sicherheit ernster zu nehmen, der ständigen Presse über die Förderung von mehr Talenten in der Sicherheitsbranche und den allgemeinen Versuchen, Organisationen cyberbewusster zu machen, müssen wir auf die rauchenden Krater starren, die Hunderte von Cyberangriffen hinterlassen haben, die für groß angelegte Datenverletzungen und das Misstrauen der Verbraucher gegenüber einigen sehr bekannten Haushaltsnamen stehen. Allein in der ersten Hälfte des Jahres 2018 wurden 4,5 Milliarden Datensätze in 945 separaten Vorfällen kompromittiert.

Ich habe es schon viele Male gesagt: Wir können es besser machen. Der eigentliche Kampf, dem wir uns stellen müssen, ist jedoch nicht gegen Skript-Kiddies, gefährliche organisierte Cybercrime-Syndikate oder mysteriöse Gestalten in Kapuzenpullis, die auf Laptops herumtippen - der Kampf besteht darin, mehr Menschen dafür zu sensibilisieren, dass diese Sicherheitsverletzungen überhaupt passieren.

Die Einhaltung der GDPR ist ein guter Anfang, wird aber kurzfristig keinen großen Effekt haben.

Die Datenschutzgrundverordnung (GDPR) der Europäischen Union ist nun in vollem Gange; eine drohende Gefahr für Unternehmen, die den Datenschutz nicht ernst nehmen. Mit enormen Geldstrafen für diejenigen, die nicht konform sind, sollte dies ein Tritt in den Hintern für Unternehmen sein, um ihre Sicherheitspraktiken zu verschärfen, Kundendaten mit mehr Respekt zu behandeln und eine Strategie zur Abschwächung von Cyberangriffen zu entwickeln.

Einige Unternehmen wurden bereits vor hohen Geldstrafen gewarnt, aber wir müssen noch die wahren Folgen der Nichteinhaltung der DSGVO sehen. Keine ruinösen Strafen, nur eine ganze Menge Pop-ups, durch die wir Webnutzer klicken müssen. Das liegt zum Teil daran, dass juristische Prozesse viel Zeit in Anspruch nehmen und es viele Möglichkeiten gibt, in Berufung zu gehen - alle Unternehmen, an denen ein Exempel statuiert wurde, sind wahrscheinlich in einen monate- oder jahrelangen Rechtsstreit verwickelt. Zum Abschluss eines Albtraumjahres für Facebook wurde kürzlich eine weitere Datenpanne bekannt: ein API-Bug, der die privaten Fotos von 6,8 Millionen Nutzern 1500 nicht autorisierten Anwendungen zugänglich machte. Er wurde innerhalb von zwei Wochen gefunden und gepatcht, doch Datenschutzbehörden und die Öffentlichkeit wurden erst Monate später auf den Verstoß aufmerksam gemacht. Die GDPR-Gesetze verlangen eine Benachrichtigung über einen Verstoß innerhalb von 72 Stunden, daher wirft dies eine Menge Fragen darüber auf, wie einflussreich und effektiv diese Gesetze derzeit wirklich sind.

Und natürlich haben die Sicherheitsverletzungen auch anderswo nicht aufgehört: Der Einbruch bei Marriott im November hat gezeigt, dass satte 500 Millionen Datensätze kompromittiert wurden und, was vielleicht noch beunruhigender ist, dass die Angreifer vier Jahre lang Zugriff auf die Systeme hatten, bevor sie entdeckt wurden. Es sollte jedoch angemerkt werden, dass Marriott anscheinend Schadensbegrenzung betreibt: Sie haben den Opfern ein kostenloses 12-monatiges Abonnement für WebWatcher angeboten, ein Tool zur Kreditüberwachung... aber bei 500 Millionen Datensätzen, die die Hacker durchforsten konnten, bleibt abzuwarten, ob ein Jahr für die meisten genug Zeit ist, um irgendetwas Sinnvolles zu überwachen; schließlich kann es einige Jahre dauern, bis Ihre Daten für eine skrupellose Nutzung aufgedeckt werden.

Langfristig werden Vorschriften wie GDPR positive Veränderungen bewirken, wenn sie durchgesetzt werden. Wenn Unternehmen mit einer signifikanten finanziellen Strafe (oder sogar Sammelklagen von Kunden, deren Daten kompromittiert wurden) oder einem Gewinnrückgang in ausreichendem Umfang konfrontiert werden, glaube ich, dass wir bei den meisten Unternehmen einen frenetischen Fokus auf die Stärkung der Online-Datenbanken sehen werden.

Finanzinstitute werden auch weiterhin den Weg für kurzfristige positive Veränderungen vorgeben.

Es mag nicht überraschen, dass Finanzinstitute - als Hüter des hart verdienten Geldes der Welt - einige der strengsten Best-Practice-Richtlinien für Cybersicherheit sowie End-to-End-Prozesse zur Reduzierung ihres Risikos haben.

Eine wichtige Triebfeder für diese Konformität ist das PCI Security Standards Council, das sich weiterhin dafür einsetzt, Finanzorganisationen bei der Umsetzung einer praktikablen Sicherheitspolitik zu unterstützen und Richtlinien in allen Bereichen einzuhalten. Das PCI Security Standards Council ist eine treibende Kraft, wenn es darum geht, die höchsten Sicherheitsstandards für Zahlungssoftware zu erreichen.

Was machen Finanzinstitute also anders als andere? Meiner Erfahrung nach sind sie in der Regel sicherheitsbewusster und stellen Ressourcen für ganzheitliche Schulungsprogramme nicht nur für AppSec-Experten und Pen-Tester bereit, sondern auch für ihre (in der Regel sehr großen und weltweit verteilten) Entwicklungsteams. Sie stellen sicher, dass die Entscheidungsträger auf oberster Ebene verstehen, dass Sicherheitsprozesse keine "Set-and-Forget"-Maßnahmen sind; sie müssen sich genauso schnell weiterentwickeln wie die eingesetzte Technologie und sich an variable Risiken anpassen.

Mehr Unternehmen werden ihre Sicherheits-Pipeline umgestalten.

Im Vergleich zu anderen Zweigen der IT ist AppSec relativ jung. Es ist schwer, das neue Kind zu sein: Man wird leicht missverstanden und hat vielleicht noch nicht die wichtigen Beziehungen aufgebaut, die man braucht. Ich glaube jedoch, dass es für AppSec mit jedem Jahr einfacher wird, seinen Platz selbst in den antiquiertesten Organisationen zu finden, die sich gegen Veränderungen sträuben.

Es wird immer deutlicher, dass Unternehmen die Sicherheits-Compliance nicht zu einem letzten, in letzter Minute erfolgenden Schritt in ihren Softwareprozessen machen können. Es muss Kontrollen und Maßnahmen von Punkt zu Punkt geben, mit mehr Konzentration auf die Aggregation von Daten und mehr Transparenz für die Führungsebenen des Unternehmens. Ohne dies wird die Sicherheit für die meisten aus den Augen und aus dem Sinn bleiben. Und in diesem Szenario ist es praktisch unmöglich, die für die Risikoplanung erforderlichen Ressourcen zu sammeln.

Die gute Nachricht ist, dass mehr Unternehmen als je zuvor ihre eigenen Cyberangriffe erkennen und daran arbeiten, sie zu beheben. Die schlechte Nachricht? Dieser Prozess dauert im Durchschnitt fünfundachtzig Tage.

Pen-Testing-Tools und manuelle Code-Reviews sind mühsam, teuer und langsam in einer Zeit, in der schnelle Innovation und Feature-Produktion im Technologiebereich ein Muss sind. Das Sicherheitsbewusstsein muss sich von Anfang an durchsetzen: von dem Moment an, in dem ein Entwickler den Code überhaupt erst schreibt.

Unsere Branche wird das Hauptproblem erkennen: Wir brauchen Menschen, die sich mehr kümmern.

Die Sache ist die: Ich könnte konservativ zwanzig Personen in meinem Netzwerk zählen, die irgendwann in den letzten vier Jahren in einem Marriott-Hotel übernachtet haben. Da in dieser Zeit 500 Millionen Datensätze gestohlen wurden, ist die Wahrscheinlichkeit groß, dass ihre Daten Teil dieses Diebstahls waren. Alles, von aktuellen Kontaktinformationen über noch gültige Kreditkartennummern bis hin zu Passdaten, könnte gerade jetzt im Dark Web zum Verkauf stehen. Allerdings war ihr Betreuungsfaktor im Grunde gleich Null.

Und, nun ja, es ist leicht, selbstgefällig zu sein, wenn man bei einem so groß angelegten Datenraub im Grunde eine Nadel im Heuhaufen ist.

Doch das eigentliche Problem? Die Unternehmen, die es versäumt haben, die Daten ihrer eigenen Kunden zu schützen, sehen sich kaum mit Konsequenzen konfrontiert. Wird ihr Aktienkurs unmittelbar nach dem Vorfall in Mitleidenschaft gezogen? Darauf können Sie wetten. Target, Equifax und jetzt auch Marriott können das bestätigen. Ein Blick auf die nächsten zwölf Monate zeigt jedoch, dass sich der Kurs recht schnell wieder normalisiert. Ein paar Jahre später ist finanziell gesehen alles vergeben.

Solange es keine ernsthaften Konsequenzen gibt: hohe Geldstrafen, strengere Vorschriften und erhebliche Geschäftseinbußen, wird AppSec eine Branche sein, die ständig darum kämpfen muss, die Schwere der wachsenden Cyber-Risiken, denen ein Unternehmen ausgesetzt ist, zu vermitteln.

Ich fürchte, es wird noch viel schlimmer werden, bevor es besser wird. Deshalb ist es von größter Wichtigkeit, dass wir daran arbeiten, sicherheitsbewusste Entwickler und robuste Sicherheitskulturen an den vordersten Linien der technischen Teams eines Unternehmens aufzubauen. Behalten Sie das Thema im Hinterkopf und streben Sie weiterhin nach einem höheren Standard der Software-Sicherheit.