In seinem Beitrag stellt Daniel Miessler Gedanken über die Zukunft der Informationssicherheit im Jahr 2050 an. Eine wichtige Erkenntnis ist die voranschreitende Standardisierung – dies wird sicherlich auch helfen dem Personalmangel zu begegnen und mehr automatisieren zu können. Dass sich die Informationssicherheit als Teil der IT weiter zu einer Ingenieurswissenschaft entwickelt, ist zumindest ein Trend der seit Jahren beschrieben und gefordert wird, auch wenn die einzelnen Schritte sehr langsam passieren. Auf der einen Seite gilt dies sicherlich für große und professionelle Dienste im Enterprise-Umfeld, aber eine erhöhte Komplexität und das Bedürfnis Dinge selbst in die Hand zunehmen werden aus meiner Sicht einen signifikanten Anteil behalten und den Prozess der Standardisierung verzögern. Auch Abhängigkeiten und ein Maß an Komplexität, die nur von wenigen zu beherrschen ist, werden meines Erachtens nicht so schnell verschwinden.
Die Aussage, dass Security ein Teil der Technologien sein wird, ist ja jahrelang eine geforderte Anforderung. Dass dies vor allem durch Container und Cloud als Quasi-Standards getrieben wurde, ist zu begrüßen und wird sicherlich weiter ein Trend bleiben und sich wahrscheinlich in neuen Megatrends fortsetzen. Nichtsdestotrotz gehe ich davon aus, dass es auch weiterhin kritische Abhängigkeiten zu Produkten/Paketen geben wird, die nicht Security-by-Design und Security-by-Default sind.
Vor allem im Themenfeld Automation and AI wird jedoch klar, dass sich ja nicht nur die Informationssicherheit auf der einen Seite, sondern auch die Angriffe auf der anderen Seite sich weiterentwickeln werden. Zum einen profitieren Angreifer auch von Standardisierung, Automatisierung, AI und anderen neuen Technologien (kämpfen Angreifer auch mit dem demographischen Wandel?), aber die wirklich guten Angriffe der letzten Jahre haben immer um die Ecke gedacht und hier bleibt es spannend, ob die AI auf der Angreifer- oder auf der Verteidigerseite öfter beim Katz-Und-Mausspiel vorne liegen wird (Wetten nehme ich gerne an).
Des Weiteren geht Daniel Miessler auf die Bereiche Regulation, Insurance, Career ein und fasst alles abschließend in einem anschaulichen Fallbeispiel zusammen.
Alles in allem bin ich etwas skeptisch, da die aktuellen Tendenzen zu umfangreicher Schatten-IT wohl nur dann ein jähes Ende finden, wenn signifikante IT-Sicherheitsvorfälle zu mehr Stringenz und Konsequenz führen. Die bisherigen Security-GAUs scheinen dafür noch nicht auszureichen. Ich beobachte noch immer einen Trend zu mehr vielfältigen Lösungen statt zu weniger und dafür sichereren Lösungen (Die Theorie, ob die Menge an Sicherheit über alle Software hinweg konstant ist wäre ein interessantes weiteres Thema). Es bleibt also spannend.
Da Prognosen immer am schwersten sind, wenn sie die Zukunft betreffen, ist dieser Beitrag sicherlich auch noch in einigen Jahren lesenswert.
Quellen: