Über Billigprodukte und Treppenwitze

"Hype um Blockchain stößt mir sauer auf"

Simon Hülsbömer verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Das Mirai-Botnetz konnte nur entstehen, weil "First Mover" und "Early Adopter" in Security-Fragen ignorant agieren. Die Hypes um Ransomware und Kryptowährungen sind gefährlich. Warum, erklärt Cybersecurity-Experte Sebastian Rohr.

Sebastian Rohr ist seit zehn Jahren geschäftsführender Gesellschafter der accessec GmbH. Seit knapp 20 Jahren begleitet ihn der Themenkomplex des Identity & Access Managements (IAM) in all seinen Facetten. Im Rahmen des Cybersecurity-Seminars von COMPUTERWOCHE, CIO und Fraunhofer AISEC am 7./8. März 2018 wird Rohr als Referent und Moderator auftreten.

Cybersecurity-Seminar: Jetzt noch anmelden!

Sebastian Rohr
Sebastian Rohr
Foto: accessec GmbH

Herr Rohr, welche Security-Trends sehen Sie auf die einzelnen Branchen in diesem Jahr zukommen? Bleibt Ransomware 2018 Gefahr Nummer eins, zumindest in der öffentlichen Wahrnehmung?

Sebastian Rohr: Ransomware als Trend zu bezeichnen, halte ich für brandgefährlich! Diese gefährliche Art der Malware ist ein besonders unangenehmes Symptom der leidigen Tatsache, dass wir es global und über nahezu alle Branchen hinweg nicht schaffen, grundlegende Prozesse der IT-Sicherheit wie die Verteilung von Patches für bekannte Sicherheitslücken einigermaßen zeitnah auszuführen. Ransomware ist ja kein Hexenwerk und nutzt in den seltensten Fällen hochaktuelle Zero-Day Exploits aus - oftmals sind es seit vielen Wochen oder gar Monaten bekannte Schwachstellen -, die zu einem Befall mit dieser Art Malware führen.

In gewissem Sinne bin ich dem erheblichen Erfolg der verschiedenen Typen der Ransomware geradezu dankbar, denn sie haben IT-Sicherheit überhaupt einmal in der öffentlichen Wahrnehmung auftreten lassen.

Bußgeldandrohung sorgt für Bewegung

Welche wirklichen Security-"Trends" sehen Sie denn dann?

Sebastian Rohr: Für nahezu alle Branchen steht die Absicherung der administrativen Zugriffe im absoluten Fokus. Alle Arten von Lösungen für das sichere Session Management beziehungsweise die Verwaltung privilegierter Konten werden durch die massiven Missbrauchsfälle durch Innentäter in der Priorität nach oben rücken.

Wenn es in den nächsten Monaten ein heißes Thema im Grenzbereich zwischen Datenschutz, Datensicherheit und IT-Sicherheit gibt, dann die neuen Anforderungen durch die europäische GDPR respektive die deutsche Variante DSGVO. Alleine die Androhung von hohen Bußgeldern hat hier hohe Awareness auf Vorstandsebene geschaffen. Auf Basis unserer intensiven Kooperation mit Spezialisten für Datenschutz aus den großen Sozietäten sehen wir bei der Bewältigung der GDPR-Anforderungen eine weitaus wichtigere Aufgabe als Ransomware zu bekämpfen. Um genauer zu sein: GDPR wird zwangsläufig dazu führen, dass Unternehmen ihre IT-Systeme deutlich besser schützen, was im Umkehrschluss - hoffentlich - zu einem schnelleren Ausrollen von Patches führen wird. Damit wird auch die Gefahr der Ransomware gebannt.

Der Hype um die Kryptowährungen wie Bitcoin und die dahinterstehende Technologie der Blockchain stoßen mir tatsächlich als negativer Trend auf! Die in den letzten Monaten entstandene Blase wird eher kurzfristig platzen. Das wird den wirklich spannenden und erheblich lösungsorientierteren Ansätzen der zweiten Generation von Blockchain den Wind aus den Segeln nehmen - wie zum Beispiel dem von der IOTA Foundation geförderten "Tangle" Ansatz als Directed Acyclic Graph.

Unsichere Billigprodukte

Security im Internet of Things, kurz IoT-Security, ist ein heißes Thema derzeit. Warum wirkt sich die "totale Vernetzung" so extrem auf den Bedarf an neuen Security-Architekturen, -ansätzen und -lösungen aus?

Sebastian Rohr: Das besonders markante Problem der IoT-Security ist die schiere Anzahl an IoT-Geräten, die den Markt überschwemmen. Viele Hersteller versuchen mit besonders schnell auf den Markt geworfenen und günstig produzierten Geräten, ihre Position in diesem aufstrebenden Segment zu sichern. Wie die jüngsten Ereignisse zeigen, wird an der Sicherheit offensichtlich als erstes gespart. Kaum einer der Hersteller berücksichtigt auch nur die grundlegenderen Regeln zur Entwicklung eines sicheren Produkte.

Das von uns seit Jahren propagierte "Security by Design" wird vollständig ignoriert. Die Geräte kommen nicht nur unsicher auf den Markt, sondern sind bei allen Bemühungen der Kunden und Betreiber nicht annähernd in einen sicheren Betriebszustand zu überführen. Das liegt daran, dass sie teilweise fest verdrahtete, hochprivilegierte Benutzerkonten mit nicht änderbaren Passworten enthalten. Da diese Geräte jedoch fast ausnahmslos über eine Netzwerk-Konnektivität verfügen und zudem oft auch automatisch Verbindung mit dem Internet aufnehmen, können sie selbst mit geringen Mitteln und wenig Vorkenntnissen voll automatisiert gehackt, kompromittiert und übernommen werden.

Das im letzten Jahr bekannt gewordene Mirai-Botnetz ist das Ergebnis der Ignoranz der sogenannten "First Mover" und "Early Adopter" im IoT, die mit ihren unsicheren Billigprodukten Risiken unermesslichen Ausmaßes produzieren. Aus meiner Sicht kann hier nur eine deutlich verschärfte und gesetzlich verankerte Produkthaftung dazu führen, dass diese Anbieter zumindest grundlegende Sicherheitsfunktionen anbieten und einen sicheren Betrieb ihrer Produkte ermöglichen.

Den Anschluss verpasst!

Inwieweit ist zumindest das Grundverständnis von Cyber- und IT-Sicherheit auch eine Aufgabe des CEOs, CIOs und anderen Vorstandsfunktionen im Unternehmen?

Sebastian Rohr: Es ist nahezu ein Treppenwitz, dass die Zukunft des deutschen Mittelstandes und der Industrie nur durch eine radikale Adaption der digitalen Transformation gesichert werden kann. Aus meiner Sicht haben weite Teile der patriarchalisch inhabergeführten mittelständischen Unternehmen den Anschluss an die neue digitale Weltordnung bereits verpasst und können nur mit Herkuleskräften wieder aufs rechte Gleis gerückt werden. Betrachtet man die massive IT-Abhängigkeit, die selbst kleinere mittelständische Unternehmen mittlerweile prägt, so ist es mir komplett unverständlich, dass in den wenigsten Unternehmen die IT-Leitung - oder neudeutsch der CIO - Teil der Geschäftsleitung oder des Vorstands ist.