Die Zahl der Anbieter von Cybersecurity wird sinken und stärkere Regularien das Angebot prägen, glaubt Alan Radford, Global IAM Strategist bei One Identity (English Version below).
2022 war für die gesamte Cybersicherheitsbranche ein immens wichtiges Jahr. Der Markt ist auf ein bis dato unerreichtes Volumen angeschwollen. Gleichzeitig sind die Angriffszahlen in die Höhe geschnellt, und die Bedrohung durch einen Cyber-Krieg ist inzwischen beunruhigend nahe an der Realität. Das Jahr 2023 hat durchaus das Potenzial, noch einschneidender zu werden. Auf der Agenda stehen eine weitere Konsolidierung seitens der Anbieter und die Regulierung von Unternehmen, die zur Critical National Infrastructure (CNI) zählen. Beides wird die Branche in einem nie da gewesenen Ausmaß erschüttern.
Konsolidierung
Die Anbieterkonsolidierung wird zu einem der wichtigsten Trends des laufenden Jahres 2023. Der Markt schreit förmlich nach Konsolidierung und Vereinfachung. Anzeichen dafür konnten wir bereits in der zweiten Hälfte des Jahres 2022 beobachten. Kunden verabschieden sich zunehmend von einzelnen, punktuellen Sicherheitslösungen und wenden sich einheitlicheren Sicherheitskonzepten zu. Dies bestätigt eine aktuelle Umfrage von One Identity. Aus den Ergebnissen geht hervor, dass 83 % der Sicherheitsexperten einräumen, dass der hohe Komplexitätsgrad sie davon abhält, geeignete Sicherheitskontrollen zu implementieren. 65 % der Befragten befürworten ein einheitliches Modell. Diese Kombination wird 2023 zu einer Flut an großen Fusionen und Übernahmen führen.
Für die Weiterentwicklung der Branche ist das naturgemäß ein großer Schritt. Die erste Phase wird aber nicht störungsfrei verlaufen. Ein Punkt, der für Kunden besonders heikel zu werden verspricht, ist das Erneuern von Verträgen – eine zwangsläufige Folge von Fusionen und Übernahmen. Dabei werden sich einige Anbieter von traditionellen, auf Verlängerung basierenden Lizenzmodellen verabschieden und stattdessen Abonnement-Services anbieten, die jährlich wiederkehrende Roherlöse versprechen.
Diese Strategie erlaubt es Anbietern, Kosten zu senken und wird zur Einstellung von On-Premises-Produkten zugunsten von SaaS-basierten Lösungen führen. Für viele Kunden wird das zum Problem werden, insbesondere für diejenigen mit unbefristeten Lizenzen. Man kann davon ausgehen, dass diese Kunden nicht bereit sein werden, komplett auf ein Abonnementmodell umzusteigen und sich in der Folge von solchen Anbietern verabschieden werden.
Um das zu vermeiden, sollte der Übergang so reibungslos wie möglich verlaufen. Der Markt bewegt sich zwar in Richtung SaaS, aber nicht für alle Kundensegmente und Regionen im gleichen Tempo. Etliche Unternehmen werden noch mindestens zwei bis drei Jahre lang hybride Modelle nutzen müssen. Die Realität allerdings macht eine Konsolidierung der Anbieter dringend erforderlich. Laut Microsoft Research hat das durchschnittliche Großunternehmen sage und schreibe 75 Sicherheitslösungen im Einsatz, während 13 % aller Unternehmen immer noch über 20 verwenden. Mit der Verwaltung so vieler Sicherheitslösungen gehen zahllose Probleme einher, die schlimmstenfalls in eine Katastrophe münden, wenn sie nicht rechtzeitig behoben werden.
Angesichts des sich abzeichnenden wirtschaftlichen Abschwungs versuchen Firmen, an vielen Stellen Kosten zu sparen. Im zurückliegenden Jahr konnten wir zahllose Beispiele beobachten, warum es definitiv keine gute Idee ist, gerade Cybersicherheitsprogramme über Bord zu werfen. Dennoch ist genau das passiert, und es wird weiterhin passieren. Jedenfalls dann, wenn es nicht gelingt, die Kosten für Cybersicherheitsprogramme zu senken.
Ein Weg ist die Konsolidierung von Sicherheitslösungen, was zumindest einen Kahlschlag bei Cybersicherheitsinitiativen in ihrer Gesamtheit verhindert. Die Verwaltung von viel zu vielen Sicherheitstools macht Unternehmen angreifbar. Beziehungen zu unterschiedlichen Anbietern aufrecht zu erhalten ist zudem nicht nur kostspielig und zeitaufwendig, sondern führt zu Informationssilos.
Informationen, die sich aus Silos speisen, münden fast zwangsläufig in mangelnde Transparenz. Ein Umstand, den sich Cyberkriminelle zunutze machen. Durch die Konsolidierung von Cybersicherheitsprogrammen ist gewährleistet, dass diese Silos beseitigt werden. Das bedeutet auch weniger Dashboards, auf denen die gewonnenen Sicherheitserkenntnisse visualisiert werden. Wichtige Ergebnisse laufen damit nicht länger Gefahr in einer Flut von Informationen aus verschiedenen Quellen unterzugehen.
Regularien
Zu Beginn dieses Jahres hat beispielsweise die britische Regierung einen Vorschlag für neue Regularien und Kodizes im Telekommunikationssektor vorgelegt. Der Vorschlag soll bis März 2023 umgesetzt werden und ist zweifelsohne eines der wichtigsten Dokumente zur Cybersicherheit überhaupt. Der Vorschlag ist ein besonders aussagekräftiges Beispiel dafür, dass eine Regierung die Tatsache erkannt hat, dass das Internet einen tauglichen Weg zur Kriegsführung bereitstellt. Und das schon seit geraumer Zeit. Die aktuelle Initiative macht deutlich, dass eine ineffektive Cybersicherheit innerhalb des britischen Telekommunikationssektors gleichzeitig die nationale Sicherheit bedroht.
Der Vorschlag ist vermutlich ein Vorläufer weitreichender Sicherheitsvorschriften für die kritischen nationalen Infrastrukturen (CNI) des Vereinigten Königreichs. Im Laufe des Jahres 2023 werden auf britische CNIs eine Reihe von neuen, bindenden Regularien als zukommen. Dazu zählen die obligatorische Multi-Faktor-Authentifizierung (MFA), die Simulation von Sicherheitsverletzungen und Angriffen (Breach and Attack Simulation, BAS) und die Nachverfolgung des Log-in-Standorts.
Ähnliche Vorgaben sind wohl in Kürze auch für Unternehmen der Energie- und Wasserwirtschaft zu erwarten. Die britische Regierung hat sich in der Vergangenheit höchst ungern in die Angelegenheiten der Privatwirtschaft eingemischt. Das war beim Thema Cybersicherheit nicht anders. Inzwischen scheint der Damm gebrochen zu sein. Die Nationale Cybersicherheitsstrategie von 2022 fordert ausdrücklich einen ganzheitlichen Ansatz für die nationale Cybersicherheit, bei dem der private Sektor eine weitaus wichtigere Rolle spielen soll als bislang. Der aktuelle Vorstoß zur Telekommunikationssicherheit scheint der erste größere Schritt in diese Richtung zu sein, aber vermutlich nicht der letzte.
Neue Regeln zum Schutz der kritischen Infrastruktur kamen Ende des letzten Jahres auch aus der EU. Das Gesetz umfasst strengere Regeln für die Risikobewertung und Berichterstattung für wesentliche Akteure in insgesamt elf Bereichen: Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, digitale Infrastruktur, Trinkwasser, Abwasser, Lebensmittel (einschließlich Herstellung, Verarbeitung und Lieferung), Gesundheitswesen, öffentliche Verwaltung und Raumfahrt. Außerdem müssen die Mitgliedstaaten Resilienzstrategien verabschieden und zentrale Anlaufstellen für eine länderübergreifende Kommunikation schaffen.
Für mehr Schutz soll auch das KRITIS-Dachgesetz sorgen. Energie, Trinkwasser, das Verkehrssystem und weitere Bereiche zählen zur kritischen Infrastruktur. Und die soll aus Sicht der Bundesregierung besser gegen Krisen geschützt werden. Wie, das soll ein neues Gesetz regeln. Dazu hat das Bundeskabinett Ende letzten Jahres die Eckpunkte des sogenannten KRITIS-Dachgesetzes verabschiedet. Neben der Corona-Pandemie und dem Ukraine-Krieg hat auch die Kombination aus physischen und digitalen Angriffen wie bei den Sabotageakten gegen die Deutsche Bahn und an den Gaspipelines Nord Stream die Bedeutung des Schutzes kritischer Infrastruktur nochmals hervorgehoben. Mit den neuen Regelungen sollen bundesweit einheitliche „verpflichtende Schutzstandards“ für Betreiber von Anlagen und Einrichtungen etabliert werden, die zur kritischen Infrastruktur zählen. Auch diese Vorgaben haben für öffentliche und private Einrichtungen gleichermaßen Gültigkeit.
Alles in allem wird 2023 eines der wichtigsten Jahre in der Geschichte der Cybersicherheit werden. Die Anbieterkonsolidierung wird unzweifelhaft den Markt erschüttern. Dennoch erwarten wir ein überwiegend positives Jahr. Privatwirtschaftliche Unternehmen, insbesondere aus dem Bereich der kritischen Infrastruktur, werden sich allerdings mehr als je zuvor mit Regularien zum Schutz der nationalen Sicherheit auseinandersetzen müssen.
English Version
Cybersecurity: Consolidation and regulation
The number of cybersecurity vendors will shrink and stronger regulations will shape offerings, believes Alan Radford, Global IAM Strategist at One Identity.
2022 was an immensely important year for the cybersecurity industry as a whole. The market has swelled to unprecedented volumes. At the same time, attack numbers have skyrocketed, and the threat of cyber war is now disturbingly close to reality. The year 2023 certainly has the potential to be even more impactful. On the agenda is further consolidation on the part of vendors and regulation of companies that are part of the Critical National Infrastructure (CNI). Both will shake up the industry on an unprecedented scale.
Consolidation
Vendor consolidation will become one of the most important trends of the current 2023. The market is literally crying out for consolidation and simplification. We could already observe signs of this in the second half of 2022. Customers are increasingly saying goodbye to individual, point security solutions and turning to more uniform security concepts. This is confirmed by a recent survey conducted by One Identity. The results show that 83% of security professionals admit that the high level of complexity prevents them from implementing appropriate security controls. 65% of respondents favor a unified model. This combination will lead to a flood of major mergers and acquisitions in 2023.
By its very nature, this is a big step for the evolution of the industry. However, the first phase will not be trouble-free. One issue that promises to be particularly tricky for customers is the renewal of contracts – an inevitable consequence of mergers and acquisitions. In the process, some vendors will move away from traditional renewal-based licensing models and instead offer subscription services that promise annually recurring gross revenues.
This strategy will allow vendors to reduce costs and discontinue on-premises products in favor of SaaS-based solutions. For many customers, this will become a problem, especially those with perpetual licenses. It is reasonable to assume that these customers will be unwilling to move completely to a subscription model and will subsequently move away from such vendors.
To avoid this, the transition should be as smooth as possible. The market is moving toward SaaS, but not at the same pace for all customer segments and regions. Many companies will have to continue using hybrid models for at least two to three years. The reality, however, makes vendor consolidation urgent. According to Microsoft Research, the average large enterprise has as many as 75 security solutions in use, while 13% of all enterprises still use more than 20. With the management of so many security solutions come countless problems that, in the worst case scenario, can lead to disaster if not fixed in a timely manner.
With the economic downturn looming, companies are trying to cut costs in many places. In the past year, we have seen countless examples, why it is definitely not a good idea to jettison cybersecurity programs. Yet that’s exactly what has happened, and it will continue to happen. At least, it will if we don’t succeed in reducing the cost of cybersecurity programs.
One way is to consolidate security solutions, which at least prevents a clear-cutting of cybersecurity initiatives in their entirety. Managing far too many security tools leaves organizations vulnerable. Maintaining relationships with disparate vendors is also not only costly and time-consuming, it leads to information silos.
Information fed from silos almost inevitably results in a lack of transparency. Cybercriminals take advantage of that. Consolidating cybersecurity programs ensures that these silos are eliminated. It also means fewer dashboards on which to visualize the security insights gained. As a result, important findings are no longer at risk of being lost in a flood of information from multiple sources.
Regulations
At the beginning of this year the British government presented a proposal for new regulations and codes in the telecommunications sector. The proposal is to be implemented by March 2023 and is undoubtedly one of the most important cybersecurity documents ever. The proposal is a particularly telling example of a government recognizing the fact that the Internet provides a viable path to warfare. And it has been doing so for some time. The current initiative makes clear that ineffective cybersecurity within the UK telecommunications sector simultaneously threatens national security.
The proposal is likely a precursor to far-reaching security regulations for the UK’s critical national infrastructure (CNI). Over the course of 2023, UK CNIs will be deemed to be subject to a number of new, binding regulations. These include mandatory multi-factor authentication (MFA), breach and attack simulation (BAS), and log-in location tracking.
Similar requirements are likely to be imposed on companies in the energy and water industries in the near future. The UK government has historically been highly reluctant to interfere in the affairs of the private sector. It was no different when it came to cybersecurity. In the meantime, the dam seems to have broken. The National Cyber Security Strategy of 2022 explicitly calls for a holistic approach to national cyber security, with the private sector playing a far more important role than it has in the past. The current push on telecommunications security appears to be the first major step in this direction, but probably not the last.
New rules to protect critical infrastructure also came from the EU late last year. The law includes stricter risk assessment and reporting rules for major players in a total of eleven sectors: Energy, transport, banking, financial market infrastructure, digital infrastructure, drinking water, wastewater, food (including manufacturing, processing and delivery), healthcare, public administration and space. In addition, member states must adopt resilience strategies and create one-stop shops for cross-national communication.
The CRITIS umbrella law is also intended to provide greater protection. Energy, drinking water, the transport system and other areas are all part of the critical infrastructure. And the German government believes that this infrastructure should be better protected against crises. A new law is to regulate how this is to be done. At the end of last year, the German cabinet approved the key points of the so-called KRITIS umbrella law. In addition to the Corona pandemic and the Ukraine war, the combination of physical and digital attacks, such as the acts of sabotage against Deutsche Bahn and on the Nord Stream gas pipelines, once again highlighted the importance of protecting critical infrastructure. The new regulations are intended to establish uniform „mandatory protection standards“ nationwide for operators of facilities and equipment that are considered critical infrastructure. These requirements also apply equally to public and private facilities.
All in all, 2023 will be one of the most important years in the history of cybersecurity. Vendor consolidation will undoubtedly shake up the market. Nevertheless, we expect it to be a mostly positive year. However, private sector companies, especially those in the critical infrastructure space, will have to deal more than ever with regulations to protect the national security more than ever before.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de