Gemäß dem diesjährigen Motto "Securing Smart Societies" befasste sich die erste Keynote der InformationSecurity World (ISW) 2019 auch mit einem zentralen gesellschaftlichen Thema: der Mobilität. Daniel Eitler, Security-Chef von BMW, sprach über die Cyber-Security-Strategie des Autobauers. Darin spielt natürlich das Trendthema "autonomes Fahren" eine wichtige Rolle.

Auf dem Weg zum vollständig selbstfahrenden Auto habe die Industrie etwa die Hälfte des Weges zurückgelegt. Momentan könnte die Technik zwar schon dabei helfen, die Spur und den nötigen Abstand zu halten, der Mensch müsse aber immer noch ständig am Lenkrad sein. Der nächste Schritt, bei dem der Fahrer zeitweise das Steuer aus der Hand geben kann, werde 2021 Realität werden.

Fünf Cybersecurity-Prioritäten

Je schlauer die Fahrzeuge würden, desto größer werde aber auch die digitale Angriffsfläche. Daher habe BMW fünf Sicherheitsprioritäten formuliert, die Eitler nach eigenen Angaben im Konzern durchgesetzt hat:

1. "Security by Design" ist im agilen Entwicklungsprozess integriert. Die Entwickler bei BMW arbeiten in Zwei-Wochen-Sprints mit durchschnittlich zwei Releases pro Tag. Um dabei das Sicherheitsniveau beizubehalten, wurde für jedes Produkt ein Product Owner berufen, der auch die Security verantwortet. Zudem wurde DevSecOps durch Web- und Classroom-Trainings in den Entwicklerteams forciert und in Standardprozesse der Entwicklung integriert. Dabei spielen auch automatisierte Sicherheits- und Penetrationstests während der Build-Phase eine wichtige Rolle.

2. Cyber-Hygiene ist unverzichtbar. Patch-, Asset- und Schwachstellenmanagement sind die Grundlagen jeder Sicherheitsstrategie. Dabei gilt es darauf zu achten, Updates rechtzeitig und an möglichst alle betroffenen Systeme auszuspielen.

3. Digitale Identitäten müssen sicher sein. In Zeiten von IoT müssen nicht nur menschliche, sondern auch künstliche Identitäten erfasst, verwaltet und geschützt werden. Zudem muss das Passwort durch einfachere und zugleich sicherere Authentifizierungsmethoden abgelöst werden. BMW nutzt dazu Pass Phrases und Zwei-Faktor-Authentifizierung (2FA) sowie Privileged Access Management (PAM) für die Verwaltung von Accounts mit weitreichenden Rechten, wie etwa die von Administratoren.

4. Vom Ernstfall muss ausgegangen werden. Eitler geht davon aus, dass jedes Unternehmen bereits erfolgreich angegriffen wurde oder kurz davorsteht. Daher setzt er auf eine Assume-Breach-Strategie. Zwar seien Vorsichtsmaßnahmen wie regelmäßige Penetrationstests, Simulationen oder Bug-Bounty-Programme im Einsatz, aber es liege auch ein Fokus auf Detect- und Respond-Fähigkeiten. Ein Tipp von Eitler ist, die Vielzahl an Schwachstellen zu priorisieren. So könnten wertvolle Ressourcen gebündelt and den größten Brandherden eingesetzt werden.

5. Ohne Sicherheitskultur geht nichts. Neben der richtigen Technik und Strategie ist für Eitler auch die Security Awareness zentral. Alle Mitarbeiter gilt es für Sicherheitsthemen zu sensibilisieren und zu entsprechendem Verhalten anzuregen. Dazu setzt BMW auf einen Dreiklang aus Informationsmaterial (Flyer, Plakate oder Videos), Schulungen (Web-Trainings, Gamification) und Engagement. Für Letzteres führte BMW beispielsweise ein Ranking der Security-Reife ein: Je nachdem, wie intensiv sich ein Mitarbeiter in Sicherheitsfragen auskennt und weiterbildet, erhält er einen farbigen "Gürtel" (analog zu Karate-Gürteln), den er sich an seinen Ausweis heften kann. So werde ein offener Austausch zum Thema Security und auch Stolz bei den Mitarbeitern geschaffen.

Deutschland fehlt digitales Vertrauen

In einer Podiumsdiskussion mit Security-Verantwortlichen von Eurowings, Henkel, Microsoft, dem Cyber-Sicherheitsrat Deutschland und NTT Security wurde die allgemeine IT-Sicherheitslage diskutiert. Als Tenor kristallisierte sich heraus: Sicherheits- und Datenschutzvorbehalte der Bürger, aber auch fehlende Ernsthaftigkeit und Awareness in den Unternehmen bremsen den digitalen Fortschritt.

Zudem sei die Diskussion um IT-Sicherheit immer noch zu sehr von Technologie getrieben. Zwar sei technische Cyber-Hygiene wichtig, der Mensch als schwächstes Glied der Security-Kette werde aber oft immer noch vernachlässigt. Dies müsse durch Security-Trainings und Notfallpläne behoben werden. Regulatorische Vorgaben wie die Richtlinie ISO 27001 könnten dabei helfen, da sie regelmäßige Tests vorsehen. Allerdings dürfe Security Awareness nicht nur von Audit-Terminen abhängen. Sie müsse in die Kultur des Unternehmens integriert und von den Mitarbeitern aller Hierarchiestufen gelebt werden.

Ausgezeichnete Sicherheit

Auf der ISW wurde jedoch nicht nur über Probleme in der IT-Security gesprochen. Mit der Verleihung des ersten deutschen Cybersecurity Leader Award (CLA) legten die NTT-Gruppe zusammen mit dem COMPUTERWOCHE-Verlag IDG auch einen Schwerpunkt auf erfolgreiche Sicherheitsprojekte deutscher Unternehmen.

Eine Jury aus sieben Sicherheitsexperten unterschiedlicher Branchen kürte, unterstützt von einem sechsköpfigen Advisory Board die Gewinner aus zahlreichen Bewerbungen. Verliehen wurde der Preis in vier Kategorien.

Unter den Großunternehmen zählten Autobauer Daimler, Konsumgüterkonzern Henkel und die Lufthansa zu den Finalisten. Am Ende fiel die Wahl auf das Projekt der Airline.

In der Kategorie "Mittelstand" gab es ein Kopf-an-Kopf-Rennen zwischen der Domain-Registrierungsstelle Denic, dem Klimasatelliten-Betreiber Eumetsat und der Bosch-Tochter Escrypt. Letztere wurde für ihr Projekt "Butterblume" ausgezeichnet.

In den zwei weiteren Sonderkategorien wurden einzelne Projekte gekürt, die in ihren Unternehmen Security besonders innovativ oder umfassend realisiert haben. In der Kategorie "Innovation" gewann der Energieversorger Innogy den Preis. Das eingereichte Projekt der HSBC-Bank wurde als besonders "ganzheitlich" ausgezeichnet.

Die Veranstalter betonten, dass es beim CLA nicht nur um den Wettbewerb gehe. Vielmehr stehe der Mut der Finalisten im Vordergrund, offen über Security zu sprechen. Wirksame IT-Sicherheit lebe vom unternehmensübergreifenden Austausch und der Zusammenarbeit im Kampf gegen Cyber-Angreifer. Der CLA biete eine einzigartige Plattform, um mehr offene Kollaboration in der traditionell eher abgeschotteten Disziplin Cyber-Sicherheit voranzutreiben.