Kaum sind die Feiertage rum und schon steht das neue Jahr vor der Tür. Die Vorboten des Jahres lassen schon jetzt erahnen, dass es Herausforderungen in der IT geben wird, denen man sich stellen muss. Aber zu einem solchen Ausblick gehört auch immer der Blick in die Glaskugel, was für das neue IT-Jahr alles ansteht oder anstehen könnte.
Eines der wichtigsten Themen ist die IT-Sicherheit zum Schutz vor Angriffen auf kritische und wichtige Infrastrukturen. Die Gefahrenlage hat sich weiter verschärft und ist längst keine abstrakte Annahme von möglichen Ereignissen. Die Angriffe auf unsere Infrastruktur sind real, das zeigen die Sabotageakte auf die Seekabel oder auf andere Systeme. Das Szenario hat sich geändert, wo es in den vergangenen Jahren tendenziell eher um organisierte Kriminalität bzw. es den Gruppen um monetäre Gründe ging, sind es jetzt staatlich organisierte oder unterstützte Gruppierungen, die unsere Infrastruktur angreifen. Damit ist ein neues Niveau erreicht, welches uns noch entschlossener zum Handeln zwingt. Dabei ist vielleicht die wichtigste Erkenntnis, dass die Resilienz im Ganzen erhöht werden muss und das nicht nur für Organisationen, die unter KRITIS oder NIS2 fallen.
Monetär orientierte Gruppierungen haben das Ziel, mit möglichst wenig Aufwand so viel Geld wie möglich aus ihren Opfern zu erpressen. Ist der Aufwand bei einem Ziel zu hoch, gehen diese Gruppen lieber zu einem anderen Ziel über, bei dem der Aufwand geringer ist – also eine einfache Gewinnoptimierung. Bei staatlich unterstützten Gruppierungen bzw. staatlichen Organisationen werden andere Ziele verfolgt, wie zum Beispiel die, einer hybriden Kriegsführung, und da sind wir alle im Fokus und das unabhängig vom Aufwand bei dem Einzelnen, wenn es um das größere Ziel im Ganzen geht. Dies bedeutet im Umkehrschluss, dass es zwingend notwendig ist, die Resilienz der eigenen IT bzw. der Infrastruktur zu erhöhen und das unabhängig von NIS2 und KRITIS, auch wenn es gerade bei diesen besonders wichtig ist.
Auf Basis dieser Bedrohung ist es in 2025 sehr wichtig, sich noch besser aufzustellen und auch für Szenarien gerüstet zu sein, wenn es passiert und dann im Fall der Fälle möglichst schnell wieder handlungsfähig zu werden. Grundsätzlich sollte man es aber nicht erst bis dahin kommen und präventiv seine Systeme vollumfänglich schützen. Der Fokus sollte hier auf dem Endpoint selbst liegen, weil schlussendlich dieser in einer Welt von Cloud-Diensten und mobilen Geräten der Perimeter ist. Im Rechenzentrum gilt es, die laterale Ausbreitung im Falle eines Angriffs zu verhindern, wie auch andere wichtige Ereignisse zu erfassen, die ein vollständiges oder sehr umfassendes Lagebild ergeben. Dazu gehört das Identitätsmanagement, die Kontrolle darüber, wer sich wie und von wo anmeldet und ob dies plausibel ist. Ein weiteres wichtiges Thema ist auch die Kontrolle über die Daten selbst, was durch wen wohin übertragen wird, um hier auch vorbereitende Angriffe zu erkennen und Datenabflüsse zu verhindern. Dies alles werden Themen sein, die in 2025 sehr wichtig werden, mit präventiven Maßnahmen vorbeugen und gleichzeitig die Resilienz der gesamten Infrastruktur zu erhöhen.
Zur Resilienz gehört auch eine entsprechende Unabhängigkeit, sozusagen die digitale Souveränität und da ist Europa und im Speziellen Deutschland auf keinem guten Weg. Es geht nicht darum, keine Cloud-Dienste zu verwenden, sondern darum, wie man diese mit eigenen Ressourcen und Services sinnvoll einsetzt und die großen Anbieter austauschbar macht. Ganz besonders im Bereich der öffentlichen Institutionen auf Bundes- und Landesebene bis hinunter zu den Gemeinden. Die missglückten Linux-Projekte der vergangenen Jahre sind da ein sehr gutes Beispiel dafür, wie man es nicht machen sollte. Im Grunde genommen war das ein Versagen mit Ansage, vor allem bei den Desktop- oder Java-Projekten, weil der grundlegende Ansatz völlig falsch war. Führt man sich vor Augen, wie IT “früher” ausgesehen hat, war diese quasi unabhängig vom Endgerät, da der Dienst aus dem Rechenzentrum erbracht wurde und es genügte ein Terminalemulation. Das Endgerät für die Zugriffe war so gesehen völlig egal. Heute darf es da schon HTML5 sein und statt der Terminalemulation ein Browser und das am besten so, dass selbst dieser völlig austauschbar ist. Das ist der grundsätzliche anzustrebende Ansatz, dass alle notwendigen Anwendungen, damit unser Land von der Bundes- über die Landesebene bis hin zu den Gemeinden funktionieren kann, Webapplikation sind, die auf Basis quelloffener Software bereitgestellt werden, diese am besten in Containern läuft und somit die Plattform darunter komplett austauschbar macht. Damit wird der Hyperscaler egal und austauschbar, wobei es natürlich sinnvoll ist, das Funktionieren des Staates nicht von ausländischen Konzernen abhängig zu machen. Der Trend zur Webapplikation ist ja auch nicht wirklich neu und die Idee dahinter ist noch viel älter. Der Satz von Marc Andreesen “Der Browser ist das Betriebssystem” ist ziemlich genau 30 Jahre alt, zugegeben, er war ein wenig früh damit. Es hat schon ein paar Jahre gebraucht, bis es soweit war. Warum haben Firmen Intranet Lösungen oder warum sind Anbieter wie Atlassian mit ihren Applikationen, Google mit der G-Suite, Webmailer, wie Web.de, GMX usw. oder selbst Nextcloud so erfolgreich? Weil es einfach ist, man muss nichts installieren, alles was es braucht ist ein Browser. Führt man diesen Gedanken weiter, ist es sinnvoll, dass öffentliche Gelder zur Förderung von Open Source Software und insbesondere für Linux eingesetzt werden. Wichtig ist dabei, dass es quelloffen passiert und nicht zwingend IBM mit Redhat sondern eher Debian & Co. von der Förderung profitiert. Das hat zur Folge, dass nicht nur der Staat seine digitale Souveränität zurückerhält, sondern auch damit die Tür geöffnet wird, dass dies für die eigene Wirtschaft ebenfalls möglich ist, sich von Teilen des Vendor Locks zu lösen, weil damit erstmals wirkliche Alternativen zur Verfügung stehen. Ein wichtiger Schritt ist hier auch aus meiner Sicht, dass dies ebenso bei der Prozessleittechnik vorangetrieben wird, damit neben Windows als Basis auch Alternativen möglich sind. Aktuell haben die Betreiber so gut wie keine Wahl. Vielleicht ist auch hier der Gesetzgeber in der Pflicht, zukünftig Anbieter von Prozessleittechnik bei Ausschreibungen von KRITIS Anlagen auszuschließen, die kein zu Windows alternatives Betriebssystem für alle zentralen Komponenten unterstützen und das am besten auf europäischer Ebene. Das hat den Synergieeffekt, dass dann ebenfalls diese Alternativen für die unter NIS2 fallenden Organisationen und für andere in der Wirtschaft zur Verfügung stehen. Wichtig ist auf jeden Fall, dass solche Alternativen zur Verfügung stehen, wie diese eingesetzt werden, entscheidet ja immer noch der jeweilige Betreiber. Nur ohne Alternativen kann man sich nun mal nicht entscheiden. Die öffentliche Unterstützung darf sich aber nicht nur auf die Software konzentrieren, sondern auch auf Hardware und hier im Speziellen auf ARM, als ein eigentlich europäisches Unternehmen, das Spitzentechnologie für die Welt bereitstellt. Es gibt viele Dinge, die auf europäischer und auch auf nationaler Ebene schon längst hätten angegangen werden müssen, um die Souveränität von Europa und seinen Mitgliedstaaten und deren Resilienz vor äußeren Einflüssen zu stärken. Auch diese Themen gehören zu den Herausforderungen des kommenden Jahren, wenn natürlich hier der Einzelne keinen direkten Einfluss darauf hat, vielleicht hilft es aber, solche Themen anzusprechen und hier zu sensibilisieren.
AI (KI) wird auch in 2025 ein dominierendes Thema werden und Firmen wie Nvidia werden maßgeblich beteiligt sein. Spannend ist die Frage, wie sich intel und auch AMD entwickeln werden. Gerade Intel ist in einer schwierigen Situation, Pat Gelsinger ist in Rente und die aktuellen Produkte sind nicht so state of the art, wie Intel das gerne hätte. Gerade bei der Entstehung neuer Rechenzentren mit dem Fokus auf AI wird dies eine spannende Frage sein, wie hier zukünftige Systeme aussehen. Ganz besonders diese Art der Rechenzentren benötigten sehr viel Strom, was auch der Grund dafür sein dürfte, dass Microsoft einen entsprechenden Invest bei der Kernenergie macht, um hier die Versorgung gewährleisten zu können. Da CPU’s auf Basis von ARM bekanntlich sehr energieeffizient sind, könnte dies ein Vorteil für diese Technologie sein. So interessant das Thema AI auch ist, wird leider nicht Europa und Deutschland schon gar nicht vorne mit dabei sein und sich nicht positiv auf das Thema Abhängigkeit auswirken.
Zusammenfassend wird IT-Sicherheit und Resilienz in 2025 sehr wichtig sein, insbesondere durch die Angriffe auf unsere Infrastruktur. Daher gilt es die Bereiche Endpoint Sicherheit, Identitätsschutz sowie Cloud- und Datensicherheit voranzutreiben, wie auch die “klassischen” Maßnahmen zum Schutz im Netzwerk und der Systeme und Anwendungen weiter fortzuführen. Zu diesen Maßnahmen zählen aber auch Dinge, wie gut man vorbereitet ist, wenn doch der Fall eingetreten ist. 2025 wird daher bestimmt nicht langweilig und hält viele Aufgaben für uns bereit. Aber wie auch sonst die Jahre werden wir diese Themen gemeinsam erfolgreich umsetzen, allen ein frohes neues Jahr.