Sebastian Rohr ist seit zehn Jahren geschäftsführender Gesellschafter der accessec GmbH. Seit knapp 20 Jahren begleitet ihn der Themenkomplex des Identity & Access Managements (IAM) in all seinen Facetten. Im Rahmen des Cybersecurity-Seminars von COMPUTERWOCHE, CIO und Fraunhofer AISEC am 7./8. März 2018 wird Rohr als Referent und Moderator auftreten.
Cybersecurity-Seminar: Jetzt noch anmelden!
Foto: accessec GmbH
Herr Rohr, welche Security-Trends sehen Sie auf die einzelnen Branchen in diesem Jahr zukommen? Bleibt Ransomware 2018 Gefahr Nummer eins, zumindest in der öffentlichen Wahrnehmung?
Sebastian Rohr: Ransomware als Trend zu bezeichnen, halte ich für brandgefährlich! Diese gefährliche Art der Malware ist ein besonders unangenehmes Symptom der leidigen Tatsache, dass wir es global und über nahezu alle Branchen hinweg nicht schaffen, grundlegende Prozesse der IT-Sicherheit wie die Verteilung von Patches für bekannte Sicherheitslücken einigermaßen zeitnah auszuführen. Ransomware ist ja kein Hexenwerk und nutzt in den seltensten Fällen hochaktuelle Zero-Day Exploits aus - oftmals sind es seit vielen Wochen oder gar Monaten bekannte Schwachstellen -, die zu einem Befall mit dieser Art Malware führen.
In gewissem Sinne bin ich dem erheblichen Erfolg der verschiedenen Typen der Ransomware geradezu dankbar, denn sie haben IT-Sicherheit überhaupt einmal in der öffentlichen Wahrnehmung auftreten lassen.
Bußgeldandrohung sorgt für Bewegung
Welche wirklichen Security-"Trends" sehen Sie denn dann?
Sebastian Rohr: Für nahezu alle Branchen steht die Absicherung der administrativen Zugriffe im absoluten Fokus. Alle Arten von Lösungen für das sichere Session Management beziehungsweise die Verwaltung privilegierter Konten werden durch die massiven Missbrauchsfälle durch Innentäter in der Priorität nach oben rücken.
Wenn es in den nächsten Monaten ein heißes Thema im Grenzbereich zwischen Datenschutz, Datensicherheit und IT-Sicherheit gibt, dann die neuen Anforderungen durch die europäische GDPR respektive die deutsche Variante DSGVO. Alleine die Androhung von hohen Bußgeldern hat hier hohe Awareness auf Vorstandsebene geschaffen. Auf Basis unserer intensiven Kooperation mit Spezialisten für Datenschutz aus den großen Sozietäten sehen wir bei der Bewältigung der GDPR-Anforderungen eine weitaus wichtigere Aufgabe als Ransomware zu bekämpfen. Um genauer zu sein: GDPR wird zwangsläufig dazu führen, dass Unternehmen ihre IT-Systeme deutlich besser schützen, was im Umkehrschluss - hoffentlich - zu einem schnelleren Ausrollen von Patches führen wird. Damit wird auch die Gefahr der Ransomware gebannt.
Der Hype um die Kryptowährungen wie Bitcoin und die dahinterstehende Technologie der Blockchain stoßen mir tatsächlich als negativer Trend auf! Die in den letzten Monaten entstandene Blase wird eher kurzfristig platzen. Das wird den wirklich spannenden und erheblich lösungsorientierteren Ansätzen der zweiten Generation von Blockchain den Wind aus den Segeln nehmen - wie zum Beispiel dem von der IOTA Foundation geförderten "Tangle" Ansatz als Directed Acyclic Graph.
Unsichere Billigprodukte
Security im Internet of Things, kurz IoT-Security, ist ein heißes Thema derzeit. Warum wirkt sich die "totale Vernetzung" so extrem auf den Bedarf an neuen Security-Architekturen, -ansätzen und -lösungen aus?
Sebastian Rohr: Das besonders markante Problem der IoT-Security ist die schiere Anzahl an IoT-Geräten, die den Markt überschwemmen. Viele Hersteller versuchen mit besonders schnell auf den Markt geworfenen und günstig produzierten Geräten, ihre Position in diesem aufstrebenden Segment zu sichern. Wie die jüngsten Ereignisse zeigen, wird an der Sicherheit offensichtlich als erstes gespart. Kaum einer der Hersteller berücksichtigt auch nur die grundlegenderen Regeln zur Entwicklung eines sicheren Produkte.
Das von uns seit Jahren propagierte "Security by Design" wird vollständig ignoriert. Die Geräte kommen nicht nur unsicher auf den Markt, sondern sind bei allen Bemühungen der Kunden und Betreiber nicht annähernd in einen sicheren Betriebszustand zu überführen. Das liegt daran, dass sie teilweise fest verdrahtete, hochprivilegierte Benutzerkonten mit nicht änderbaren Passworten enthalten. Da diese Geräte jedoch fast ausnahmslos über eine Netzwerk-Konnektivität verfügen und zudem oft auch automatisch Verbindung mit dem Internet aufnehmen, können sie selbst mit geringen Mitteln und wenig Vorkenntnissen voll automatisiert gehackt, kompromittiert und übernommen werden.
Das im letzten Jahr bekannt gewordene Mirai-Botnetz ist das Ergebnis der Ignoranz der sogenannten "First Mover" und "Early Adopter" im IoT, die mit ihren unsicheren Billigprodukten Risiken unermesslichen Ausmaßes produzieren. Aus meiner Sicht kann hier nur eine deutlich verschärfte und gesetzlich verankerte Produkthaftung dazu führen, dass diese Anbieter zumindest grundlegende Sicherheitsfunktionen anbieten und einen sicheren Betrieb ihrer Produkte ermöglichen.
Den Anschluss verpasst!
Inwieweit ist zumindest das Grundverständnis von Cyber- und IT-Sicherheit auch eine Aufgabe des CEOs, CIOs und anderen Vorstandsfunktionen im Unternehmen?
Sebastian Rohr: Es ist nahezu ein Treppenwitz, dass die Zukunft des deutschen Mittelstandes und der Industrie nur durch eine radikale Adaption der digitalen Transformation gesichert werden kann. Aus meiner Sicht haben weite Teile der patriarchalisch inhabergeführten mittelständischen Unternehmen den Anschluss an die neue digitale Weltordnung bereits verpasst und können nur mit Herkuleskräften wieder aufs rechte Gleis gerückt werden. Betrachtet man die massive IT-Abhängigkeit, die selbst kleinere mittelständische Unternehmen mittlerweile prägt, so ist es mir komplett unverständlich, dass in den wenigsten Unternehmen die IT-Leitung - oder neudeutsch der CIO - Teil der Geschäftsleitung oder des Vorstands ist.
Noch viel kritischer ist die organisatorische Position des CSO oder CISO zu sehen. Oftmals berichtet dieser tatsächlich an den CIO - den er aber eigentlich kontrollieren und beaufsichtigen sollte. Aus meiner Sicht muss zunächst die Relevanz der Rolle des CIO durch seine Positionierung im - zumindest - erweiterten Vorstand angepasst werden.
Der CISO oder CSO sollte dann - quasi am CIO vorbei - an ein anderes Mitglied des Vorstandes berichten; etwa den CFO. Nur so kann sichergestellt werden, das sowohl die Belange der IT in ihrer Funktion als Treiber der Digitalisierung als auch die Rolle des CISO in seiner Funktion als Wächter der Sicherheit unter Einhaltung des Datenschutzes angemessen repräsentiert werden. Mit einer solchen Konstellation ergibt sich das Verständnis für die IT Sicherheit in den Vorstandsfunktionen nahezu von alleine. Oder sagen wir es anders: Informationssicherheit ist ganz klar ein Vorstandsthema und muss dort auch regelmäßig in den Bordmeetings auf der Agenda erscheinen.
Einige Manager "dem Lauf der Zeit abgewandt"
Es werden auf zahlreichen Security-Fachkonferenzen, in Wirtschaftsforen und auch im politischen Umfeld gerne viele "Sonnntagsreden" geschwungen, aber wirklich nennenswert mehr investieren wollen die wenigsten. Und wenn, dann nur, wenn sie es müssen - sei es durch neue Gesetze, Compliance-Vorgaben etc.. Warum tun sich viele Unternehmen immer noch schwer, die Wichtigkeit des Themas Security zu begreifen, insbesondere im SMB-Umfeld?
Sebastian Rohr: Natürlich gilt der Spruch "Tue Gutes und rede darüber". Das führt auch dazu, dass solche Unternehmer, beziehungsweise Manager, zu Events eingeladen werden, die besonders prestigeträchtige Projekte umsetzen. Ihre Aussage zur Verpflichtung durch Gesetze und Vorgaben muss ich leider teilen: Ohne die Androhung einer Peitsche scheinen die wenigsten Verantwortlichen in den Unternehmen von sich aus etwas für eine Verbesserung der Lage der Informationssicherheit tun zu wollen.
Meine bescheidene Interpretation hierzu ist, dass die wenigsten dieser Entscheider bislang begriffen haben, in welcher besonderen Abhängigkeit von der IT sie sich bereits befinden und welche Auswirkung ein kritischer Schlag in die IT für sie haben könnte. Die Bestrebungen der Bundesregierung zu KRITIS haben mir jedoch gezeigt, dass mit entsprechender Motivation auch eher träge Branchen und mit wenig Budget gesegnete öffentliche Institutionen wie Krankenhäuser dazu bewegt werden können, über ihre IT-Strukturen deren Schutz und die nachhaltige Sicherung der IT-Verfügbarkeit nachzudenken.
Für alle anderen, dem Lauf der Zeit abgewandten Managern im Mittelstand, kann ich nur das Zitat von Michail Gorbatschow bereitstellen: "Wer zu spät kommt, den bestraft das Leben." Anders gesagt: Wer jetzt die Zeichen der auf digitale Transformation stehenden Zeit ignoriert, wird mit der Zeit obsolet werden und verschwinden.
Was sind die wichtigsten Dinge, die ein Anwenderunternehmen beachten sollte, bevor es sich Gedanken um eine eigene Security-Strategie macht?
Sebastian Rohr: Die Aussage "Besser gut kopiert als schlecht selbst gemacht" kann in vielen Fällen auch auf das kritische Thema der IT-Sicherheit Anwendung finden. Es gibt eine Vielzahl an hervorragenden Quellen auf nationaler und internationaler Ebene. Insbesondere die deutschen Verbände Bitkom, VDMA, ZVEI und natürlich das Bundesamt für Sicherheit in der Informationstechnik BSI bieten eine Vielzahl von orientierungsgebenden Leitfäden, Vorlagen und Richtlinien, an denen sich die Security-Strategie eines Unternehmens orientieren kann.
Beim Blick über den Tellerrand fallen besonders positiv die ENISA als europäisches Pendant zum BSI sowie die englische Heimatschutzbehörde als Quelle für die Absicherung kritischer Infrastrukturen auf. Keine dieser Quellen kann jedoch sinnvoll eingesetzt werden, wenn sich die Unternehmen nicht Gedanken über ihre eigene Wertschöpfung, die dahinterliegenden Geschäftsprozesse, die darunterliegende IT und Anwendungslandschaft sowie deren jeweilige Bedrohungen, Schwachstellen und daraus abgeleiteten Risiken machen. Ohne dieses grundlegende Verständnis für die eigene Sachlage im Bereich der offenen IT-Risiken kann auch keine ordentliche Security-Strategie abgeleitet und definiert werden. Am Anfang muss quasi eine Nabelschau zu den IT-Risiken erfolgen.
Fortbildung das A und O
Gerade in der IT-Security ist in Deutschland ein großer Fachkräftemangel zu spüren, viele offene Stellen und händeringend suchende Unternehmen zeugen davon. Wie lässt sich dem abhelfen?
Sebastian Rohr: Hier möchte ich Ihnen drei Varianten anbieten: erstens Fortbildung. Zweitens Fortbildung. Drittens Fortbildung. Es ist zwecklos, darauf zu hoffen, dass der derzeitige Fachkräftemangel nur durch Nachwuchs aus der internen Ausbildung oder durch Jungakademiker gedeckt werden kann. Zwar bilden diese beiden Gruppen die größten Potenziale für die zukünftige Abdeckung des Bedarfs; kurz bis mittelfristig muss jedoch auf bestehendes, erfahrenes Personal zurückgegriffen werden - mit einer über Ausbildung weit über die etablierte Ausbildungslinie hinaus.
So ist es unerlässlich, den bereits vorhandenen IT-Spezialisten und -Sicherheitsexperten Einblicke in die Automatisierung und die cyberphysischen Systeme zu geben. Umgekehrt ist es erforderlich, den Automatisierungsexperten und Instandhaltern den Zugang zu mehr IT-Wissen zu erschließen und entsprechende operative Erfahrung durch Austausch mit der IT zu ermöglichen. Dieser Ansatz der übergreifenden Fortbildung schafft zudem ein deutlich besseres Verständnis für die Sorgen und Nöte der jeweils anderen Seite. Darüber hinaus erleichtert sie im Nachhinein die Kommunikation der eigenen Anforderungen und hilft, auf die Einschränkungen der Gegenseite Rücksicht nehmen zu können.
Abschließende Frage: Warum empfehlen Sie, an unserem Anwenderseminar "Cybersecurity" teilzunehmen?
Sebastian Rohr: Das Seminar bietet Entscheidern ein breites Spektrum an Einblicken sowohl aus aktuellen Themen der Forschung und Entwicklung über operative Themen der IT-Sicherheit bis hin zu technologischen und organisatorischen Trends der Informationssicherheit. Hochkarätige Referenten führen jeweils in überschaubaren Abschnitten in ein Thema ein und ermöglichen danach den fachlichen Austausch zwischen den Teilnehmern. Gerade dieser Austausch auf Augenhöhe, inspiriert durch die Anstöße der Referenten, bietet aus meiner Sicht den größten Mehrwert. Und seien wir ehrlich: Der Standort München ist immer eine Reise wert.
Für das Cybersecurity-Seminar 2018 sind noch wenige Plätze frei. Melden Sie sich jetzt an!