Munich Cyber Security Conference

Security by Design ist ein Must have

20.02.2018
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Im Umfeld der Münchner Sicherheitskonferenz diskutierten Security-Experten über die IT-Sicherheit in den Zeiten von Digitalisierung und IoT. Neben Standards und Zertifikaten forderten die Experten ein höheres Verantwortungsbewusstsein der Softwarehersteller und User.
Internationale Experten diskutierten auf der Munich Cyber Security Conference über Sicherheitsfragen im IoT-Zeitalter.
Internationale Experten diskutierten auf der Munich Cyber Security Conference über Sicherheitsfragen im IoT-Zeitalter.
Foto: Hill

Eine Patentlösung, wie im Zeitalter von Digitalisierung und IoT noch die Cyber Security gewährleistet werden kann, hatten die Teilnehmer der Munich Cyber Security Conference 2018 (MCSC) nicht im Gepäck. Im Umfeld der Münchner Sicherheitskonferenz diskutierten Experten wie der Cybersecurity Coordinator des Weißen Hauses, der EU-Kommissar für Sicherheitsfragen, der Präsident des BSI und zahlreiche Spezialisten aus der Industrie über mögliche und notwendige Schritte, um Attacken wie WannaCry künftig abwehren oder besser zu bewältigen können.

Geradezu fatalistisch klang das Bekenntnis von Jeff Moss, Gründer und CEO der DEF CON - einer der weltweit größten Hacker-Konferenzen, "in diesen Zeiten kann sich kein Konzern sicher fühlen." Deshalb sei unter Umständen nicht die Abwehr möglicher Angreifer entscheidend, sondern die Frage, wie ein Unternehmen seinen Betrieb nach einem Angriff sicherstellen könne. "Wenn wir die Cyber-Angreifer nicht draußen halten können", so Moss, "dann sollten wir uns überlegen, wie wir den Dreck wegräumen, den sie hinterlassen." Oder anders formuliert, Unternehmen sollten sich überlegen, welche Daten/Systeme sie benötigen, um nach einem Angriff im Geschäft zu bleiben - und danach ihre Sicherheitsstrategie ausrichten.

Security als Wettbewerbsvorteil

Im Zusammenhang mit der wachsenden Gefahr durch Cyber-Kriminelle appellierte Julian King, EU-Kommissar für die Sicherheitsunion, dass die Industrie endlich ihre Rolle überdenken solle und "sich zu einem Security Provider wandeln muss." Die Hersteller, so King weiter, sollten Security nicht lediglich als Kostenfaktor betrachten, sondern als Wettbewerbsvorteil wahrnehmen und sich auf Standards für ihre Produkte einigen. Vor dem Hintergrund, dass bereits 34 Prozent der EU-Bürger Opfer von Cyberangriffen wurden, habe die IT-Industrie die Pflicht, dass Security ein zentraler Bestandteil ihrer Business-Strategie werde und "endlich Sicherheitslöcher wie Default Passwords der Vergangenheit angehören."

Die Haltung der Industrie, bei Produkten wie Sensoren mit einem niedrigen Umsatzvolumen einfach die Sicherheit aus Kostengründen einzusparen, kritisierte auch Luis Jorge Romero, Generaldirektor des European Telecommunications Standards Institute (ETSI). "Wie soll es Smart Cities ohne Embedded Security geben", fragte Romero und warnte, dass offene Sicherheitsfragen den Siegeszug von IoT und die damit verknüpften Verbesserungen im täglichen Leben stoppen könnten. Auch er sieht die Industrie in der Pflicht, sich endlich auf Standards zu einigen, um so die Kosten für die Sicherheit zu senken. Der Rest sei dann eine Frage des Business-Modells, das dann bei einem entsprechenden Marktvolumen skaliere.

Softwarehersteller in Verantwortung nehmen

Im Cyber-Zeitalter gibt es keine 100prozentige Sicherheit, weshalb die Sorgfalt jedes Benutzers gefragt ist.
Im Cyber-Zeitalter gibt es keine 100prozentige Sicherheit, weshalb die Sorgfalt jedes Benutzers gefragt ist.
Foto: F8 studio - shutterstock.com

Eine engere Zusammenarbeit aller Beteiligten hält auch EU-Kommissar King angesichts der Bedrohung durch Cyber-Kriminelle für erforderlich. Eine Forderung, der sich Claudia Nemat, Vorstandmitglied der Deutschen Telekom, anschloss. Auch sie appellierte an die Verantwortung der Softwareindustrie und forderte, "dass die Softwarehersteller die gleiche Verantwortung für die IT-Sicherheit übernehmen müssen wie Infrastrukturanbieter." Es könne nicht angehen, so Nemat weiter, dass neben der Pharmaindustrie lediglich noch ein anderer Industriezweig keine Verantwortung für seine Produkte übernehme. Doch Nemat nahm nicht nur die Softwareanbieter in die Pflicht, sondern bemängelte auch die Sorglosigkeit der Verbraucher in Sachen Security. Hier müsse der Staat eingreifen und an den Schulen endlich ein Pflichtfach zur digitalen Kompetenz einführen - für Schüler und Lehrer.

Die Verantwortung jedes Einzelnen sprach auch Arne Schönbohm, Präsident des BSI, an. Man müsse sich von dem Glauben, dass es im Cyber-Zeitalter eine 100-prozentige Sicherheit geben könne, verabschieden, so der BSI-Chef. Letztlich sei jeder selbst verantwortlich, so Schönbohm weiter, "denn der Glaube an kostenlose Apps ist genauso eine Illusion wie der Glaube an ein kostenloses Mittagessen - am Ende bezahlt der User mit seinen Daten". In diesem Zusammenhang unterstrichen Mitdiskutanten wie Ralf Wintergerst, CEO bei Giesecke+Devrient, die Bedeutung der digitalen Identität. So könne der Nutzer einerseits identifiziert werden, zum anderen festlegen, mit wem er seine Daten teilt. Technisch könne dies durch Verfahren wie Blockchain sichergestellt und durch legislative Vorgaben wie GDPR unterstützt werden, in dem die Industrie darüber informiert, welche Daten sie erhebt und mit wem sie diese teilt. Ferner sollten sich die Consumer langsam mit dem Gedanken anfreunden, dass sie auch im privaten Umfeld eine Art Identity-Management betreiben müssen.

Sicherheit für die gesamte Fabrik

Probleme, die IoT-Business-Anwender in dieser Form nicht kennen. Sie plagen ganz andere Aspekte, wie Hennig Rudolf, Global Head of Industrial Security Services bei Siemens, verdeutlicht: "Im Falle eines Einbruchs werden innerhalb einer Minute zigtausende Systeme infiziert, darauf sind viele Unternehmen nicht vorbereitet." Eine Vorbereitung, die für Rudolf schon bei der Frage nach der Verantwortlichkeit beginnt und dann bei Aspekten wie Updates für Maschinen endet, "denn diese haben eine längeren Lebenszyklus als ein Smartphone, was eine Support über einen langen Zeitraum bedeutet".

Schwierigkeiten, die in den Augen von Alpha Barry, Head of Strategy bei ThyssenKrupp, erst mit IoT aufkamen, "denn bisher hatte ich keine Datenverbindung in die Fabrik, mit IoT ist nun die gesamte Fertigung vernetzt." Mit der Konsequenz, dass ein IT-Verantwortlicher heute im IoT-Umfeld in einer mittelgroßen Fabrik genauso viele Devices abzusichern habe wie früher im gesamten Enterprise Network. "Allerdings mit dem Unterschied, dass das Budget für IT-Security nicht um das Zehnfache gestiegen ist", beschreibt Barry das Dilemma.