Ein Interview, durchgeführt am 9 Februar 2017
Inwieweit
verändert sich durch den digitalen Wandel die Bedeutung von IT-Security?
Die
zukünftige Rolle von IT-Security – und hier würde ich lieber über Information
Security sprechen, weil eben die Sicherheit der Information entscheidend sein
wird – hängt sehr stark von Veränderungen ab, die der digitale Wandel mit sich
bringt und weiterbringen wird. Was wird sich grundsätzlich ändern? Ich denke es
sind vor allem vier Aspekte: 1. Daten werden zum Hauptrohstoff der digitalen
Wirtschaft, 2. alle Geschäftsprozesse werden weitgehend vollständig automatisch
ablaufen, 3. zentrale Plattformen werden viele Geschäftsprozesse auf Basis von
Big Data und künstlicher Intelligenz managen, 4. dezentrale Kommunikation
basierend auf Blockchain-Technologie und IoT schafft autonome Peer2Peer
Systeme, die viele Daten erfassen und austauschen werden, um autonome
Entscheidungen zu treffen. Digitale Wirtschaft wird also massiv data-centric
sein. Sogar in der Produktion der materiellen Güter wird das Wissen wie man
produziert am wertvollsten sein. Unternehmen, die Daten und intelligente
Analyse-Technologie zur Verfügung haben, werden zu den Gewinnern des digitalen
Zeitalters zählen. Vielleicht – wobei das eher noch eine Vision ist – erleben
wir eine Zeit, in der in den Bilanzen der Unternehmen statt dem “klassischen”,
auf materiellen Werten basierenden Anlagevermögen die Position Datenvermögen
auftauchen wird.
Die Automatisierung, die nicht nur die
Menschen bei der Arbeit unterstützt, sondern sogar fast vollständig ersetzt,
sehen wir schon jetzt in der Finanzbranche bei Daily Trading und anderen
Finanzprozessen. Interessant ist, dass auch sehr viele Angriffe gegen unsere
Unternehmen automatisch durchgeführt werden.
Daraus ergeben sich klare Anforderungen an
Information Security von morgen: Schutz der wichtigen Daten des Unternehmens
und Sicherstellung der einwandfreien Funktionsweise der automatisierten
Geschäftsprozesse. Wenn ein Unternehmen es nicht schafft seine digitalen Werte
vor Dieben und der Konkurrenz zu schützen, wird es bald Bankrott gehen.
Was müssen
Unternehmen im Bereich IT-Security tun, um im digitalen Business erfolgreich zu
sein?
Unternehmen
müssen zunächst eine einfache, schnell anpassbare Strategie entwickeln. Eine
solche Strategie berücksichtigt den Wert der Daten für das Unternehmen und die
größten Gefahren und leitet daraus die erforderlichen und praktischen
Sicherheitsmaßnahmen ab. Die Cybersecurity muss weitgehend automatisch
erfolgen. Das ist die einzige Chance, automatische Angriffe rechtzeitig zu
erkennen und abzuwehren. Unternehmen müssen auch überprüfen, ob sie über eine
ausreichende Zahl an kompetenten Ressourcen verfügen und ob es nicht sinnvoller
ist, diese Aufgabe an ein Managed Security Service zu übergeben.
Das ist
besonders wichtig angesichts der rasanten Zunahme der Bedrohungen und der
zunehmenden Stärke der Angriffe – z. B. ist die DDOS Angriffsstärke im Jahr
2016 von 300 Gbit per second auf 1,2 Terabit per second gestiegen, also um das
Vierfache!
Was sind die
wichtigsten Risiken, mit denen Unternehmen im Bereich Cybersecurity umgehen
müssen?
Es gibt sehr viele Gefahren für jedes
Unternehmen im Bereich Cybersecurity. Das Internet ermöglicht Angriffe gegen
unsere Unternehmen von jedem Ort der Welt. Alle Internet-Nutzer der Welt können
zumindest potentiell versuchen, Daten zu stehlen oder unsere Unternehmen zu
infiltrieren. Je mehr Geschäft online stattfindet, umso mehr lockt es
potentielle Angreifer. Die Angreifer wollen schnell Geld machen, sei es durch die
Erpressung oder durch Verkauf oder Nutzung der gestohlenen Daten. Zur Zeit ist
es auch ein relativ leicht “verdientes Geld”. Die Hauptrisiken sind derzeit aus
meiner Sicht vor allem 1. Unterbrechung der wichtigen Geschäftsprozesse (DDOS
mit Erpressung), 2. Malware-Infektion (Infiltration des Unternehmens mit
diversen Absichten oder Ramsonware), 3. Online-Fraud, Betrug (CEO Fraud,
Rechnungen mit gefälschten Bankkontodaten, …), 4. Datendiebstahl. Die
Erpressungsversuche mit Ramsonware und DDOS sind aktuell sehr populär. Solche
Angriffe kosten den Angreifer fast nichts, auf jeden Fall viel weniger als der
Schaden, den sie anrichten. Angreifer nutzen hier die vorhandenen Botnetze und
die Schwäche der Cybersecurity in vielen Unternehmen aber auch Anonymität, die
z.B. Bitcoin-Zahlung garantiert.
Ich möchte hier auch auf das Problem des
Identitätsdiebstahls hinweisen. Die Zahl der gestohlenen Identitäten ist
erschreckend hoch und beträgt für das Jahr 2016 mehr als eine Milliarde. Jede
dieser gestohlenen Identitäten kann (und wird in vielen Fällen bereits) für
Angriffe gegen die Unternehmen genutzt werden.
Inwieweit
verändert sich der rechtliche Rahmen?
Der Gesetzgeber ist in letzter Zeit sehr
aktiv und sorgt mit diversen gesetzlichen Initiativen für mehr Sicherheit. Es
ist eine klare Tendenz erkennbar, Schutz der Daten und Schutz gegen Cyber
Kriminalität mit rechtlichen Maßnahmen zu verbessern. Hier kann man in erster
Linie zwei Gesetze der EU erwähnen: Datenschutzgrundverordnung (EU-DSGV) und
Network & Information Security (NIS). EU-DSGV betrifft alle Unternehmen,
die personenbezogene Daten verarbeiten, also praktisch alle. Bis 25. Mai 2018
haben Unternehmen Zeit, sich auf das neue Gesetz vorzubereiten. EU-DSGV zwingt
alle Unternehmen – unter Androhung extrem hohen Strafen – den Schutz der Daten
natürlichen Personen zu garantieren.
Für NIS wird derzeit die österreichische
Fassung unter dem Namen Cybersecurity Gesetz vorbereitet. Das Ziel ist hier,
den Schutz kritischer Infrastruktur (also Infrastruktur, die für normales
Funktionieren der Gesellschaft extrem wichtig ist) zu erhöhen. Provider der
kritischen Infrastruktur, aber auch Unternehmen aus einigen anderen Branchen,
die für Online-Wirtschaft wichtig sind, werden verpflichtet, ihre Netze gut zu
schützen und im Falle eines Vorfalls die Behörde darüber zu informieren.
Man muss hier auch die vielen regulativen
Sicherheitsvorgaben in diversen Branchen erwähnen, wie Telekommunikation,
Energie oder Banken. Heutzutage sind Unternehmen zunehmend mit gesetzlichen
oder regulativen Sicherheits-Vorgaben und Auflagen konfrontiert.
Die CISOs haben
den Ruf, Innovationen zu verhindern, Arbeitsabläufe zu erschweren und sind
generell eher lästig – Muss das so sein?
Nein, es muss nicht so sein.
Auf einer
Seite besteht das Problem darin, dass viele Unternehmen noch nicht erkannt
haben, wie wichtig die Daten und deren Verfügbarkeit für den Erfolg des
Unternehmens sind. Der CISO sieht schon viele Gefahren kommend, die die anderen
im Unternehmen derzeit ignorieren oder bagatellisieren. Trotz der vielen
Angriffe, die fast täglich stattfinden, wollen sehr viele Unternehmen die
Gefahr noch nicht wahrnehmen. Erst wenn Unternehmen merken, wie viel Geld dabei
verloren gehen kann, beginnt das Umdenken. Anderseits erschweren sehr oft
Sicherheitsmaßnahmen die Flexibilität der Arbeit. CISOs haben in der
Vergangenheit auch zu oft versucht, alle möglichen Sicherheitsmaßnahmen zu
etablieren, auch Maßnahmen, die schon etwas veraltet oder nachweislich wenig
erfolgreich waren.
Wie kann man es also ändern? Die gute
Cybersecurity-Strategie muss von dem ganzen Unternehmen und hier vor allem von
den Geschäftsführern und Vorständen getragen werden. Jedes Unternehmen muss
sich die Frage stellen, wie viel Sicherheit benötigt wird. Und ob es bereit
ist, gewisse aus Sicherheit resultierende Einschränkungen im Kauf zu nehmen.
Man darf dabei nicht vergessen, dass es keine 100%-ige Sicherheit gibt und
Kosten mit dem Grad der Sicherheit steigen. Jedes Unternehmen sollte also aus
der Business-Perspektive entscheiden, wie viel Sicherheit absolut notwendig und
akzeptabel ist. Das verbleibende Risiko muss man dann akzeptieren. Wenn so eine
Cybersecurity-Strategie von CISO mit dem Business gemeinsam ausgearbeitet wird,
wird die Akzeptanz der sich daraus ergebenden Maßnahmen kein großes Thema sein.
Keine Kommentare:
Kommentar veröffentlichen