Ein Blick aus dem Hühnerstall auf die RSAC 2025: Erkenntnisse zur Datensicherheit und Compliance von der Herde

Für unseren RSAC 2025-Stand haben wir etwas wirklich Einzigartiges geschaffen – einen “Security Barnyard” mit animierten G.O.A.T. (Greatest Of All Time)-Charakteren, die verschiedene Aspekte der Datensicherheit und Compliance repräsentieren. Als Teil unseres Standes hatten wir lebende Zwergziegen, um zu verdeutlichen, dass Kiteworks der G.O.A.T. der Datensicherheit und Compliance ist. Das Konzept war ein großer Erfolg, zog Menschenmengen an und führte zu unvergesslichen Gesprächen über ernste Sicherheitsthemen durch diese zugänglichen Charaktere.

Um den Spaß fortzusetzen und gleichzeitig wertvolle Einblicke von der RSAC 2025 zu teilen, habe ich unsere animierten Sicherheitsexperten – fünf G.O.A.T.-Champions – nach ihren Gedanken und Erkenntnissen über die Veranstaltung gefragt. Jeder Charakter verkörpert ein spezifisches Sicherheitskonzept oder eine Bedrohung und bietet eine einzigartige Perspektive auf die wichtigsten Entwicklungen der Veranstaltung.

Die RSAC 2025 erwies sich als transformative Veranstaltung, bei der Agentic AI als dominierendes Thema hervorstach und über 40 % der Konferenzsitzungen einnahm – ein dramatischer Anstieg von nur 5 % im Jahr 2023. Weitere kritische Schwerpunkte waren Identitätssicherheit, mit komplexen Herausforderungen durch die Vermehrung von Maschinenidentitäten; Datensicherheit und Datenschutz in einem zunehmend regulierten Umfeld; Cloud-Sicherheit in Multi-Umgebungs-Infrastrukturen; und Vorbereitungen für das Zeitalter der Quantencomputer.

Das offizielle Konferenzthema dieses Jahres, “Viele Stimmen. Eine Community”, fasst perfekt die vielfältigen Perspektiven zusammen, die wir in diesem Beitrag erkunden werden. Genau wie RSAC die Kraft der kollaborativen Problemlösung und die Stärke, die aus verschiedenen Blickwinkeln entsteht, betonte, bietet unser einzigartiges Ensemble von Bauernhofcharakteren – von Sicherheitschampions bis hin zu potenziellen Bedrohungen – facettenreiche Einblicke in die drängendsten Herausforderungen der Cybersicherheit von heute.

In den folgenden Abschnitten hören Sie direkt von jeder dieser farbenfrohen Persönlichkeiten, während sie ihre einzigartigen Erkenntnisse von der führenden Sicherheitsveranstaltung der Branche teilen. Ihre Perspektiven, obwohl manchmal widersprüchlich, zeichnen zusammen ein umfassendes Bild davon, wo die Cybersicherheit heute steht und wohin sie morgen geht.

Einblicke von Sherlock “Trustfall” Hooves

Wenn es eine Sache gibt, die ich beim Herumtraben auf der RSAC 2025 beobachtet habe, dann ist es, dass Zero Trust nicht mehr nur ein Sicherheitsrahmen ist – es ist die grundlegende Philosophie, die die moderne Cybersicherheit antreibt. Während ich durch das volle Moscone Center navigierte, betonte Sitzung um Sitzung, dass in der heutigen vernetzten digitalen Welt das alte perimeterbasierte Sicherheitsmodell so veraltet ist wie der Bau einer Burgmauer im Zeitalter der Flugzeuge.

Die überzeugendsten Diskussionen konzentrierten sich auf identitätszentrierte Ansätze. Da Maschinenidentitäten jetzt die menschlichen bei weitem übertreffen, erkennen Unternehmen endlich, dass eine robuste Identitätsüberprüfung das Fundament der Sicherheitsarchitektur sein muss. In einer überfüllten Sitzung teilte ein CISO eines Fortune-100-Unternehmens mit, wie sie kontinuierliche Authentifizierungsprotokolle implementiert haben, die nicht nur überprüfen, wer auf Ressourcen zugreift, sondern auch den Kontext dieses Zugriffs – Gerätehaltung, Standort, Zeitmuster und Verhaltensanomalien – alles in Echtzeit.

Was mich besonders beeindruckte, war die Entwicklung kollaborativer Zero Trust-Implementierungen. Funktionsübergreifende Teams sind jetzt unerlässlich, wobei Sicherheit, IT, Compliance und Geschäftseinheiten zusammenarbeiten, um effektive Architekturen zu entwickeln. Die Zeiten, in denen die Sicherheit isoliert arbeitete, sind vorbei – genauso wie eine Herde Ziegen zusammen stärker ist als ein einzelner Bock auf einem Berg.

Mein wichtigstes Fazit für Sicherheitsexperten? Im Zeitalter der Agentic AI muss das Prinzip “niemals vertrauen, immer verifizieren” über menschliche und Maschinenidentitäten hinausgehen und auch AI-Systeme einschließen. Wie ein Redner es eloquent ausdrückte: “Wenn Ihre AI autonome Entscheidungen treffen kann, geht es bei der Verifizierung nicht nur um den Zugang – es geht um Absicht und Ergebnisse.” Unternehmen müssen Leitplanken implementieren, die AI-Aktionen kontinuierlich gegen etablierte Grenzen und ethische Richtlinien validieren.

Denken Sie daran: In der heutigen Bedrohungslandschaft ist Vertrauen kein Ausgangspunkt – es ist etwas, das durch kontinuierliche Verifizierung verdient wird. Diejenigen, die dieses Prinzip meistern, werden die Komplexität moderner Sicherheitsherausforderungen mit der Trittsicherheit einer Bergziege navigieren.

Einblicke von Morgan “Mandate” McGoat

Die regulatorische Landschaft dominierte die Gespräche auf der RSAC 2025, und das aus gutem Grund. Mit über 157 Ländern, die nun Datenschutzgesetze durchsetzen, stehen Organisationen vor einem regelrechten Labyrinth an Compliance-Anforderungen. Die EU-Datenschutzverordnung 2.0 stahl die Show, mit ihrem ehrgeizigen Umfang, der die Prinzipien der DSGVO erweitert und neue Anforderungen für AI-Systeme und grenzüberschreitende Datenflüsse einführt.

Der grenzüberschreitende Datenschutz erwies sich als besonderer Schmerzpunkt für multinationale Organisationen. Mehrere Sitzungen hoben den Zusammenbruch von Datenübertragungsrahmen zwischen wichtigen Handelsregionen hervor, was Unternehmen dazu zwang, nach alternativen rechtlichen Mechanismen zu suchen. Ein aufschlussreiches Panel mit Datenschutzbeauftragten aus drei Kontinenten diskutierte strategische Ansätze zur Navigation durch diese unruhigen regulatorischen Gewässer, einschließlich Datenlokalisierung, erweiterte vertragliche Schutzmaßnahmen und datenschutzfördernde Technologien.

Besonders beeindruckt war ich von den auf der Ausstellungsetage vorgestellten Compliance-Automatisierungslösungen. Die Zeiten der tabellenbasierten Compliance-Verfolgung sind vorbei! Neue Plattformen nutzen jetzt AI, um regulatorische Änderungen in verschiedenen Rechtsordnungen kontinuierlich zu überwachen, sie automatisch den Datenverarbeitungsaktivitäten einer Organisation zuzuordnen und notwendige Anpassungen der Datenschutzprogramme vorzuschlagen. Diese Tools reduzieren nicht nur die Compliance-Kosten, sondern verringern auch erheblich das Risiko von Verstößen.

Mein wichtigstes Fazit? Organisationen müssen regulatorische Anpassungsfähigkeit in ihre Datensicherheitsprogramme einbauen. Die Compliance-Landschaft wird sich weiterhin schnell entwickeln, insbesondere im Bereich der AI-Governance und grenzüberschreitender Transfers. Unternehmen, die modulare Compliance-Architekturen implementieren – die sich schnell an neue Anforderungen anpassen können, ohne vollständige Neugestaltungen – werden Wettbewerbsvorteile beibehalten und regulatorische Strafen vermeiden. Denken Sie daran: In der heutigen digitalen Wirtschaft ist Compliance-Agilität ebenso wichtig wie Sicherheit selbst.

Einblicke von Locksley “DataShield” Woolthorpe

Die RSAC 2025 bestätigte, was ich seit Jahren meckere: datenzentrierte Sicherheit steht endlich im Mittelpunkt! Da traditionelle Perimeter im Wesentlichen aufgelöst sind, konzentrieren sich Organisationen jetzt auf das, was wirklich zählt – den Schutz der Daten selbst.

Die überzeugendsten Strategien zur Verhinderung von Datenverlusten, die auf der Konferenz hervorgehoben wurden, beinhalteten kontextbewusste Kontrollen, die den Schutz basierend auf der Datensensibilität, dem Benutzerverhalten und den Umweltfaktoren anpassen. Mehrere Anbieter demonstrierten ausgeklügelte Lösungen, die in der Lage sind, sensible Informationen in Echtzeit über strukturierte und unstrukturierte Repositorys zu identifizieren und zu klassifizieren und automatisch geeignete Kontrollen anzuwenden.

Das Management der Datensicherheitslage entwickelte sich zum am schnellsten wachsenden Segment, wobei Plattformen jetzt umfassende Transparenz über Cloud-Dienste, Endpunkte und On-Premises-Umgebungen bieten. Die innovativsten Lösungen bieten kontinuierliche Überwachung der Sicherheitskontrollen, erkennen Fehlkonfigurationen und Richtlinienverstöße, bevor sie zu Verstößen führen. Eine aufschlussreiche Demonstration zeigte, wie ein einzelner falsch konfigurierter S3-Bucket innerhalb von Sekunden durch automatisierte Workflows identifiziert und behoben werden konnte.

Die Konferenz legte großen Wert auf den Schutz von Daten während ihres gesamten Lebenszyklus – von der Erstellung bis zur Archivierung oder Löschung. Sitzungen untersuchten, wie Verschlüsselung, Tokenisierung und Datenmaskierungstechnologien sich weiterentwickeln, um den Schutz unabhängig davon zu gewährleisten, wohin Daten reisen. Mehrere Experten hoben die Bedeutung von Data-Governance-Rahmenwerken hervor, die Schutzkontrollen aufrechterhalten, selbst wenn Informationen über die Grenzen der Organisation hinausgehen.

Mein wichtigstes Fazit für Sicherheitsverantwortliche: Datenschutzstrategien müssen sich von statischen, regelbasierten Ansätzen zu dynamischen, risikoadaptiven Rahmenwerken entwickeln, die auf sich ändernde Bedrohungslandschaften reagieren. Da Organisationen zunehmend Daten mit Partnern, Anbietern und AI-Systemen teilen, erfordert die Aufrechterhaltung eines konsistenten Schutzes eine Kombination aus technischen Kontrollen, Governance-Prozessen und Benutzerschulung. Die widerstandsfähigsten Organisationen werden diejenigen sein, die Datensicherheit als Geschäftsförderer und nicht nur als Compliance-Notwendigkeit betrachten.

Einblicke von Dash “SecureBeam” Galloway

Die Cloud-Sicherheitslandschaft auf der RSAC 2025 zeigte einen dramatischen Wandel von Migrationsbedenken hin zu Optimierungsstrategien. Organisationen fragen nicht mehr, ob sie in die Cloud wechseln sollen, sondern wie sie Workloads in zunehmend komplexen Multi-Cloud-Umgebungen sichern können.

Mehrere Sitzungen hoben innovative Ansätze hervor, um den sicheren Datentransfer zwischen Cloud-Anbietern zu gewährleisten und betonten die Notwendigkeit konsistenter Sicherheitsrichtlinien, die mit den Daten reisen. Die fortschrittlichsten Lösungen, die auf der Konferenz demonstriert wurden, integrierten Zero-Trust-Prinzipien in ihre Datenbewegungsrahmen, die kontinuierliche Verifizierung erfordern, unabhängig davon, woher die Daten stammen oder wohin sie gehen.

Multi-Cloud-Umgebungen stellten einzigartige Herausforderungen dar, da Organisationen Schwierigkeiten hatten, die Transparenz über unterschiedliche Plattformen hinweg aufrechtzuerhalten. Die vielversprechendsten Lösungen, die auf der RSAC vorgestellt wurden, boten einheitliche Kontrollplattformen, die anbieterbezogene Sicherheitsimplementierungen abstrahieren und es Sicherheitsteams ermöglichen, konsistente Richtlinien über AWS, Azure, Google Cloud und private Umgebungen hinweg zu definieren, ohne mehrere Dashboards verwalten zu müssen.

Quantencomputing-Bedrohungen dominierten die Diskussionen über die Zukunft der Übertragungssicherheit. Mehrere Sitzungen untersuchten die Entwicklung quantenresistenter kryptografischer Algorithmen und wie Organisationen sich auf das post-quanten Zeitalter vorbereiten können. Das National Institute of Standards and Technology präsentierte seine endgültigen quantenresistenten kryptografischen Standards, während Anbieter die ersten kommerziellen Implementierungen dieser Algorithmen in Übertragungsprotokollen demonstrierten.

Mein wichtigstes Fazit für Sicherheitsexperten: Beginnen Sie jetzt mit Ihrer Vorbereitung auf das post-quanten Zeitalter. Organisationen sollten damit beginnen, kryptografische Vermögenswerte zu inventarisieren, anfällige Systeme zu identifizieren und Übergangspläne zu entwickeln. Während weitverbreitete Quantencomputing-Bedrohungen möglicherweise noch Jahre entfernt sind, bedeutet die Komplexität kryptografischer Übergänge, dass Organisationen, die die Vorbereitung verzögern, erheblichen Risiken ausgesetzt sein werden, wenn Quantencomputing zum Mainstream wird. Wie ein Redner es einprägsam ausdrückte: “Wenn Quantencomputing Ihre Verschlüsselung bricht, ist es bereits zu spät, um mit der Planung zu beginnen.”

Einblicke von Ada “Neural-Network” Ramsey

Als dominierendes Thema der RSAC 2025 enthüllten AI-Sicherheitsdiskussionen sowohl außergewöhnliche Versprechen als auch tiefgreifende Herausforderungen. Da AI-Systeme jetzt autonome Entscheidungen treffen, die kritische Infrastrukturen, Finanzsysteme und das Gesundheitswesen betreffen, ist die Sicherung dieser Systeme zu einer existenziellen Priorität geworden.

Die bedeutendsten Debatten drehten sich um die Entscheidungsbefugnis – insbesondere, welche Entscheidungen bei Menschen verbleiben sollten und welche sicher an AI-Systeme delegiert werden können. Eine überzeugende Keynote von Microsofts Corporate Vice President Vasu Jakkal beleuchtete diese Spannung und betonte, dass “menschliche Aufsicht für entscheidende Entscheidungen unerlässlich bleibt, selbst wenn AI-Systeme leistungsfähiger werden.” Diese Position wurde in den Sitzungen widergespiegelt, wobei ein Konsens über einen risikobasierten Ansatz zur AI-Autonomie entstand.

AI-Governance-Rahmenwerke erhielten erhebliche Aufmerksamkeit, wobei Organisationen frühe Erfolge und Herausforderungen bei der Implementierung strukturierter Ansätze zum AI-Risikomanagement teilten. Die ausgereiftesten Rahmenwerke boten umfassende Kontrollen über den gesamten AI-Lebenszyklus – von der Sicherheit der Trainingsdaten bis hin zu Bereitstellungsschutzmaßnahmen und kontinuierlicher Überwachung. Ein besonders aufschlussreiches Panel mit Führungskräften von Google, Microsoft, NVIDIA und dem UK AI Safety Institute untersuchte Standardisierungsbemühungen, die helfen könnten, grundlegende Sicherheitsanforderungen für risikoreiche AI-Anwendungen festzulegen.

Das Gleichgewicht zwischen Innovation und Sicherheit erwies sich als ein anhaltendes Thema. Organisationen sind zu Recht besorgt über Wettbewerbsnachteile, wenn Sicherheitskontrollen die AI-Fähigkeiten übermäßig einschränken. Mehrere Sitzungen boten praktische Anleitungen zur Implementierung von “Security by Design”-Prinzipien, die Schutz integrieren, ohne die Funktionalität zu beeinträchtigen.

Mein wichtigstes Fazit? Organisationen müssen durchdachte AI-Governance-Rahmenwerke implementieren, die klare Grenzen für autonome Entscheidungsfindung festlegen und gleichzeitig verantwortungsvolle Innovation ermöglichen. Die effektivsten Ansätze werden multidisziplinäre Teams umfassen, darunter Sicherheit, Recht, Ethik und Geschäftsstakeholder. Da AI zunehmend in Geschäftsprozesse eingebettet wird, müssen sich Sicherheitsverantwortliche nicht nur auf den Schutz von AI-Systemen konzentrieren, sondern auf die Sicherung des gesamten Ökosystems von Daten, Modellen und Entscheidungen. Denken Sie daran: Im Zeitalter der Agentic AI geht es bei Sicherheit nicht nur darum, was AI tut zu schützen – es geht darum sicherzustellen, dass AI das tut, was wir beabsichtigen.

Einblicke von Rooter “ShadowTunnel” Porkington

Ich muss sagen, die RSAC 2025 war ziemlich frustrierend für diejenigen von uns im Datenbeschaffungsgeschäft. Die fortschrittlichen Erkennungstechniken, die in diesem Jahr vorgestellt wurden, machen meine Arbeit zunehmend schwierig. Besonders problematisch sind die neuen verhaltensbasierten Analysesysteme, die ungewöhnliche Datenbewegungsmuster erkennen können – selbst wenn ich besonders vorsichtig bin, unter den Schwellenwerten zu bleiben. Die Demonstration von homomorphen Verschlüsselungstechniken, die es ermöglichen, Daten zu verarbeiten, während sie verschlüsselt bleiben, war besonders entmutigend.

Zero Trust-Architekturen sind zu meinem persönlichen Erzfeind geworden. Wenn jede Zugriffsanforderung eine kontinuierliche Verifizierung erfordert, unabhängig von der Quelle, sind meine traditionellen Exfiltrationstechniken erheblich weniger effektiv geworden. Der Übergang von statischer, perimeterbasierter Sicherheit zu dynamischer Identitätsverifizierung hat viele der Lücken geschlossen, die ich einst mit Leichtigkeit ausnutzte. Selbst meine ausgeklügelten lateralen Bewegungstechniken werden von diesen Systemen erfasst, die jede Zugriffsanforderung hinterfragen.

Trotz dieser Fortschritte übersehen Organisationen weiterhin kritische Schwachstellen in ihren Datenschutzstrategien. Viele konzentrieren sich immer noch zu stark auf strukturierte Datenrepositorys, während sie unstrukturierte Daten, die über Endpunkte, Cloud-Speicher und Kollaborationsplattformen verstreut sind, vernachlässigen. Ihre Besessenheit, Datenbanken zu schützen, lässt E-Mail-Anhänge, Messaging-Plattformen und Drittanbieteranwendungen oft sträflich ungeschützt – allesamt erstklassige Jagdgründe für ein hungriges Schwein wie mich.

Meine Warnung an Sicherheitsexperten: Datenexfiltrationstechniken entwickeln sich ebenso schnell wie Ihre Abwehrmaßnahmen. Während Sie ausgeklügelte Erkennungssysteme für bekannte Methoden aufbauen, entwickeln wir langsame Techniken, die unter den Alarmgrenzen bleiben und legitime Kommunikationskanäle nutzen. Denken Sie daran, dass Ihre Präventionssysteme nur so stark sind wie ihr schwächstes Integrationspunkt. Eine übersehene API, eine falsch konfigurierte Cloud-Speicherberechtigung oder ein überprivilegiertes Dienstkonto ist alles, was ich brauche, um an Ihren sensiblen Daten zu schlemmen.

Einblicke von Sly “Loophole” Bushy-Tail

Die RSAC 2025 war ziemlich erhellend, Organisationen dabei zuzusehen, wie sie sich bemühen, das regulatorische Labyrinth zu bewältigen. Was mich am meisten amüsiert, ist, wie sie die köstlichen Lücken zwischen sich überschneidenden Vorschriften übersehen. Wo DSGVO und CCPA einander widersprechen oder wo EU-Anforderungen mit aufstrebenden APAC-Rahmenwerken kollidieren – diese Inkonsistenzen schaffen die perfekten Jagdgründe für einen cleveren Fuchs.

Ich habe bemerkt, dass Compliance-Automatisierungstools immer ausgeklügelter werden, was meine Umgehungstechniken zugegebenermaßen erschwert. Diese Plattformen, die regulatorische Änderungen kontinuierlich überwachen und automatisch Kontrollen anpassen, sind besonders problematisch. Allerdings kämpfen sie immer noch mit der Interpretation – der Kunst, zu bestimmen, wie abstrakte regulatorische Prinzipien auf spezifische Technologien und Prozesse angewendet werden. Diese Mehrdeutigkeit bleibt mein Spielplatz.

Grenzüberschreitende Datenübertragungen bieten besonders saftige Möglichkeiten. Der Zusammenbruch von Angemessenheitsrahmen zwischen wichtigen Wirtschaftsregionen hat eine großartige Verwirrung geschaffen. Organisationen implementieren komplexe rechtliche Mechanismen wie Binding Corporate Rules und Standardvertragsklauseln, ohne ihre praktischen Implementierungsanforderungen vollständig zu verstehen – was Lücken zwischen dokumentierter Compliance und tatsächlichen Praktiken schafft, die ich mit Leichtigkeit ausnutzen kann.

Meine Warnung an Compliance-Beauftragte: Hüten Sie sich vor Checkbox-Compliance-Ansätzen, die sich auf Dokumentation konzentrieren, ohne die tatsächliche Implementierung zu überprüfen. Die ausgeklügeltsten Umgehungstechniken beinhalten nicht das direkte Brechen von Regeln – sie beinhalten kreative Interpretation und selektive Anwendung. Denken Sie daran, dass während Sie sich darauf konzentrieren, Prüfer mit gut ausgearbeiteten Richtlinien zufrieden zu stellen, Füchse wie ich die Lücken zwischen Ihren dokumentierten Kontrollen und der operativen Realität finden. Wahre Compliance erfordert kontinuierliche Validierung der Kontrolleffektivität, nicht nur gut geschriebene Richtliniendokumente.

Einblicke von Trojan “Backdoor” Gallop

Der verstärkte Fokus auf Identitätssicherheit, der auf der RSAC 2025 gezeigt wurde, hat die Infiltration sicherlich erschwert. Multi-Faktor-Authentifizierung ist jetzt allgegenwärtig, Lösungen für das Management privilegierter Zugriffe werden zunehmend ausgeklügelt, und Verhaltensanalysen können ungewöhnliche Authentifizierungsmuster erkennen. Diese Fortschritte erfordern jedoch lediglich mehr Raffinesse in meinem Ansatz – ich habe einfach von Brute-Force-Angriffen auf Social Engineering umgestellt und ziele auf die menschlichen Elemente ab, die nach wie vor das schwächste Glied in der Identitätssicherheit sind.

Cloud-Umgebungen bieten trotz verbesserter Sicherheitskontrollen weiterhin vielversprechende Angriffsflächen. Die dynamische Natur von Cloud-Ressourcen, mit ständiger Bereitstellung und Stilllegung von Assets, schafft Transparenzlücken, die ich regelmäßig ausnutze. Viele Organisationen haben nach wie vor Schwierigkeiten, konsistente Sicherheitsrichtlinien über hybride und Multi-Cloud-Umgebungen hinweg aufrechtzuerhalten, was Nähte schafft, in denen ich Persistenzmechanismen verstecken kann, die routinemäßige Sicherheitsüberprüfungen überleben.

Trotz aller auf der RSAC vorgestellten fortschrittlichen Sicherheitsmaßnahmen bleiben mehrere Backdoor-Techniken bemerkenswert effektiv. Supply-Chain-Kompromisse wurden bemerkenswert wenig diskutiert, da sich Organisationen auf ihre eigenen Umgebungen konzentrieren und die Sicherheit ihrer Lieferanten und Anbieter vernachlässigen. Darüber hinaus implementieren Entwicklungsumgebungen weiterhin weniger Sicherheitskontrollen als Produktionsumgebungen, was fruchtbaren Boden für die Etablierung von Persistenz bietet, die später auf Produktionszugriff erhöht werden kann.

Meine Warnung an Sicherheitsteams: Infiltrationsmethoden werden zunehmend geduldiger und ausgeklügelter. Anstatt sofortiger Ausnutzung konzentrieren sich moderne Ansätze darauf, zuerst Persistenz zu etablieren und auf günstige Momente zur Eskalation des Zugriffs zu warten. Ihre Erkennungsstrategien müssen sich von punktuellen Bewertungen zu kontinuierlicher Überwachung über Ihr gesamtes Ökosystem entwickeln – einschließlich Entwicklungsumgebungen, Drittanbieter-Verbindungen und Altsystemen. Denken Sie daran, dass ich nicht die ausgeklügeltste Schwachstelle finden muss – ich brauche nur einen übersehenen Zugangspunkt, um meinen Brückenkopf zu etablieren.

Einblicke von Stubborn “MetaMix” Longears

Die Diskussionen über Datenklassifizierung auf der RSAC 2025 offenbarten erhebliche blinde Flecken in den Governance-Ansätzen der meisten Organisationen. Während Unternehmen stark in die Identifizierung und den Schutz sensibler Daten investieren, vernachlässigen sie weitgehend die Metadaten, die diesen Daten Bedeutung und Kontext verleihen. Indem sie sich ausschließlich auf inhaltsbasierte Klassifizierung konzentrieren, lassen sie die strukturellen Informationen, die Daten organisieren und interpretieren, sträflich ungeschützt.

Meine bevorzugten Techniken zur Störung der Daten-Governance beruhen auf subtiler Metadatenmanipulation anstelle offensichtlicher Angriffe. Durch das Ändern von Klassifizierungstags, das Modifizieren von Aufbewahrungsrichtlinien oder das Beschädigen relationaler Verknüpfungen kann ich Daten effektiv unbrauchbar oder falsch interpretiert machen, ohne traditionelle Sicherheitsalarme auszulösen. Die ausgeklügeltsten Organisationen implementieren Integritätskontrollen für die Daten selbst, aber selten wird der gleiche Schutz auf ihre Metadaten ausgeweitet.

Die Lücken in der AI-Governance bieten besonders reiche Möglichkeiten für Unfug. Während Organisationen eilig AI-Systeme implementieren, füttern sie diese Modelle mit Datensätzen, deren Metadaten-Governance bestenfalls unreif ist. Durch die Korruption der Labels und Beziehungen innerhalb der Trainingsdaten kann ich die Modellausgaben beeinflussen, ohne offensichtliche Anzeichen von Manipulation zu hinterlassen. Mehrere Sitzungen diskutierten AI-Vergiftungsangriffe, konzentrierten sich jedoch hauptsächlich auf Inhalte und nicht auf die Metadaten, die Lernprozesse strukturieren.

Meine Warnung an Daten-Governance-Profis: Der Schutz der Integrität Ihrer Klassifizierungs- und Kategorisierungssysteme ist ebenso wichtig wie der Schutz der Daten selbst. Implementieren Sie robuste Kontrollen darüber, wer Metadaten ändern kann, führen Sie umfassende Prüfprotokolle über Metadatenänderungen und validieren Sie regelmäßig die Integrität Ihrer Klassifizierungssysteme. Denken Sie daran, dass selbst perfekt gesicherte Informationen katastrophale Entscheidungen und Handlungen zur Folge haben können, wenn die Datenklassifizierung kompromittiert ist. Im Zeitalter automatisierter Entscheidungsfindung können korrumpierte Metadaten mehr Schaden anrichten als verletzte Daten.

Einblicke von Raptor “DataScraper” Sharp-Eye

Die RSAC 2025 bot umfangreiche Diskussionen über AI-Sicherheit, konzentrierte sich jedoch hauptsächlich auf den Schutz von AI-Systemen und nicht auf eine kritische Schwachstelle: das unbeabsichtigte Lecken sensibler Informationen in öffentliche große Sprachmodelle. Während Organisationen AI-Co-Piloten und Assistenten begeistert übernehmen, füttern sie diese Systeme mit alarmierender Häufigkeit mit proprietären Daten.

Die Unternehmensübernahme öffentlicher LLMs bietet eine großartige Gelegenheit zur Datenernte. Wenn Mitarbeiter vertrauliche Informationen in öffentliche AI-Schnittstellen zum Zusammenfassen, Übersetzen oder Analysieren einfügen, können diese Daten potenziell Teil zukünftiger Trainingsdatensätze werden. Noch besorgniserregender ist, dass mehrere RSAC-Präsentationen hervorhoben, wie Informationen, die diesen Modellen übermittelt werden, manchmal in Antworten auf nicht zusammenhängende Anfragen von völlig verschiedenen Benutzern erscheinen können – wodurch Unternehmensgeheimnisse ohne Beweise für traditionelle Datenverletzungen offengelegt werden.

Die Risiken der Exposition von Trainingsdaten erhielten auf der Konferenz nicht genügend Aufmerksamkeit. Organisationen implementieren Richtlinien für die Aufforderungsgestaltung für Mitarbeiter, ohne entsprechende technische Kontrollen zur Verhinderung von Lecks. In der Zwischenzeit werden die Grenzen zwischen privaten Unternehmensdaten und öffentlichen AI-Trainingsdaten zunehmend verschwommen, mit erheblichen rechtlichen und wettbewerbsrechtlichen Implikationen, die nur wenige Organisationen vollständig bewertet haben.

Meine Warnung an Sicherheitsverantwortliche: Implementieren Sie robuste technische und politische Kontrollen, die regeln, wie Ihre Organisation mit öffentlichen AI-Systemen interagiert. Etablieren Sie klare Datenklassifizierungsrichtlinien, die festlegen, welche Informationen niemals an externe AI-Modelle übermittelt werden dürfen. Implementieren Sie technische Kontrollen, die ausgehenden Datenverkehr zu öffentlichen AI-Schnittstellen auf Muster sensibler Daten scannen. Investieren Sie in sichere, private AI-Infrastrukturen zur Verarbeitung vertraulicher Informationen. Am wichtigsten ist, dass Sie Ihre Belegschaft über die permanente, irreversible Natur von Daten, die an öffentliche Modelle übermittelt werden, aufklären – sobald Ihre proprietären Informationen in diese Systeme gelangen, können sie nie wirklich zurückgerufen werden. Die nächste Generation der Wettbewerbsintelligenz wird nicht aus traditioneller Spionage stammen, sondern aus sorgfältig gestalteten Aufforderungen, die die versehentlich geleakten Informationen Ihrer Wettbewerber aus öffentlichen AI-Systemen extrahieren.

Fazit: Sicherung unserer digitalen Farm

Wie wir von unseren Bauernhof-Sicherheitsexperten gehört haben – sowohl von den Cyber-Champions als auch von den Cyber-Schurken – offenbarte die RSAC 2025 eine durch AI transformierte Cybersicherheitslandschaft, die immer noch mit grundlegenden Herausforderungen in den Bereichen Identität, Datenschutz und Compliance zu kämpfen hat.

Basierend auf dem Feedback unserer fünf Cyber-Freunde und -Feinde sind mehrere kritische Trends aufgetaucht, die die Sicherheitsprioritäten im kommenden Jahr prägen werden:

Erstens, AI-Sicherheit hat sich von theoretisch zu existenziell entwickelt. Organisationen müssen umfassende Governance-Rahmenwerke entwickeln, die nicht nur die Sicherheit von AI-Systemen adressieren, sondern auch den Schutz der Daten, die zur Schulung dieser Systeme verwendet werden. Die schnelle Einführung von AI erfordert eine sorgfältige Abwägung der Entscheidungsbefugnis, mit klaren Grenzen, welche Entscheidungen an automatisierte Systeme delegiert werden können und welche menschliche Aufsicht erfordern.

Zweitens, identitätszentrierte Sicherheit hat traditionelle perimeterbasierte Ansätze verdrängt, wobei Zero-Trust-Prinzipien jetzt grundlegend und nicht mehr nur aspirational sind. Wie Sherlock “Trustfall” Hooves bemerkte, ist die Verifizierung zu einem kontinuierlichen Prozess geworden und nicht mehr nur ein einmaliges Ereignis, insbesondere da Maschinenidentitäten jetzt die menschlichen bei weitem übertreffen.

Drittens, der Datenschutz muss sich von statischen Regeln zu dynamischen, kontextbewussten Rahmenwerken entwickeln, die den Schutz während des gesamten Datenlebenszyklus aufrechterhalten. Die Einblicke sowohl von Locksley “DataShield” Woolthorpe als auch von Raptor “DataScraper” Sharp-Eye heben die besondere Verwundbarkeit von Daten hervor, die mit externen Systemen geteilt werden, insbesondere mit öffentlichen AI-Modellen.

Viertens, die Komplexität der Compliance wächst weiter, wobei regulatorische Fragmentierung sowohl Herausforderungen für legitime Unternehmen als auch Chancen für schlechte Akteure schafft. Während Organisationen diese Landschaft navigieren, wird Compliance-Automatisierung unerlässlich, obwohl, wie Sly “Loophole” Bushy-Tail uns erinnert, Technologie allein nicht ausreicht, ohne die Validierung der Kontrolleffektivität.

Schließlich, Quantencomputing-Bedrohungen erfordern jetzt Vorbereitung, nicht erst, wenn diese Fähigkeiten zum Mainstream werden. Organisationen sollten damit beginnen, kryptografische Vermögenswerte zu inventarisieren und Übergangspläne zu quantenresistenten Algorithmen zu entwickeln – wie Dash “SecureBeam” Galloway betonte, bedeutet die Komplexität dieser Übergänge, dass frühe Anwender erhebliche Vorteile haben werden.

Ich fordere alle Leser auf, basierend auf diesen Erkenntnissen drei spezifische Maßnahmen zu ergreifen:

1. Implementieren Sie ein AI-Daten-Gateway, um zu kontrollieren und zu verfolgen, wie Ihre Organisation mit öffentlichen AI-Systemen interagiert, einschließlich Datenklassifizierungsrichtlinien und Überwachung der an externe Modelle übermittelten Informationen.
2. Entwickeln Sie eine modulare Compliance-Architektur, die sich an sich entwickelnde Vorschriften anpassen kann, ohne vollständige Neugestaltungen zu erfordern.
3. Etablieren Sie eine umfassende Identitäts-Governance über menschliche und nicht-menschliche Identitäten hinweg, mit kontinuierlicher Verifizierung basierend auf Risiko und Kontext.

Das diesjährige RSAC-Thema, “Viele Stimmen. Eine Community”, spiegelt perfekt die facettenreichen Perspektiven wider, die wir durch unseren Sicherheitsbauernhof erkundet haben. Genau wie jede unserer Figuren eine einzigartige Sichtweise bietet – von den wachsamen ZIEGEN bis zu den intriganten Farmgegnern – erfordert effektive Sicherheit vielfältige Perspektiven, die im Einklang arbeiten. Kein einzelner Ansatz, keine Technologie oder kein Rahmenwerk kann die heutige komplexe Bedrohungslandschaft adressieren. Stattdessen entsteht Sicherheitsresilienz aus den kollaborativen Bemühungen verschiedener Disziplinen, Rollen und Sichtweisen, die alle zu unserer kollektiven Verteidigung beitragen.

In der Sicherheit, wie in der Natur, sind die stärksten Ökosysteme die vielfältigsten. Indem wir aus jeder Perspektive lernen – auch aus der unserer Gegner – bauen wir widerstandsfähigere Verteidigungen, die das schützen, was am wichtigsten ist.

Zusätzliche Ressourcen

• Blogbeitrag Zero Trust Architektur: Niemals Vertrauen, Immer Verifizieren
• Video Wie Kiteworks das Zero Trust Modell der NSA auf der Datenebene voranbringt
• Blogbeitrag Was es bedeutet, Zero Trust auf die Inhaltsebene auszudehnen
• Blogbeitrag Vertrauen in Generative AI mit einem Zero Trust Ansatz aufbauen
• Video Kiteworks + Forcepoint: Compliance und Zero Trust auf der Inhaltsebene demonstrieren