Security-Experten sind die Alchemisten der Neuzeit

Laut Oliver Eckel, Geschäftsführer von Cognosec, investieren Unternehmen zu viel Geld in die Prävention. Wichtiger wäre es, das Hauptaugenmerk darauf zu konzentrieren, nach einem erfolgreichen Angriff so schnell wie möglich auf die Beine zu kommen. [...]

Nach seiner Tätigkeit bei der bwin AG hat sich Oliver Eckel selbständig gemacht und Cognosec gegründet. Das Unternehmen, heute im dritten Geschäftsjahr, ist ein Anbieter von IT-Sicherheitsdienstleistungen, der sich auf die Bereiche Informations-Sicherheit, Governance, Enterprise Risk Management, Compliance und Audit spezialisiert hat.

Computerwelt: Online Gaming ist eine sehr sensible Branche. Welche Erfahrungen haben Sie bei bwin als Head of Security gemacht?
Oliver Eckel:
Der Hauptpunkt bei Gambling-Firmen ist, dass sie unheimlich viel Geld mit virtuellen Gütern machen. Es gibt kein Produkt zum Angreifen. Im Prinzip ist es eine komplexe Online-Banking-Applikation – ein System mit einem hohen Angriffsvektor. Dazu kam, dass die Online Gaming-Anbieter mit Regulierungen überschüttet wurden, die teilweise sinnvoll sind. Alle sind ähnlich, aber in machen Punkten von Land zu Land doch sehr unterschiedlich, was die Sache technisch sehr aufwändig machte. Dadurch dass die Anbieter von den Regulatoren geprügelt wurden, verfügen sie über eine bessere Sicherheit als alle anderen.

Hat sich die Wichtigkeit der Security intern widergespiegelt?
Wir haben das Glück gehabt, dass wir einen sehr guten CTO hatten, der den Wert der Security erkannt hat und entsprechenden Wert darauf gelegt hat. Er hat uns Spielraum und Budget gegeben. Und was für eine Security-Abteilung unheimlich wichtig ist: Rückendeckung gegenüber den anderen IT-Abteilungen. Wenn etwa die Datenbank-Abteilung nicht will, kann sie jedes Security-Vorhaben stoppen. Es geht letztendlich immer um Betrieb versus Sicherheit. Der IT-Betrieb will möglichst Ressourcen-schonend arbeiten. Sicherheit bliebt immer dann liegen, wenn kein Druck von oben kommt. Was dann passiert, kann man täglich den Medien entnehmen. Die Security-Mitarbeiter sind eigentlich nur die Missionare. Wenn man die Unterstützung des CTO hat, dann kommt man viel, viel weiter.

Was konnten Sie mit der CTO-Unterstützung erreichen?
Wir hatten das Glück, dass uns der PCI-Standard geprügelt hat. Respektive die Kontrollen, die wir implementieren mussten, damit das Geschäft weiterlaufen kann. Wir haben das mit ziemlicher Brachialgewalt durchgesetzt und gleichzeitig Systeme aufgebaut, das wir an die operativen Einheiten weitergeben konnten. Die Software-Entwickler haben wir nach innerhalb von Jahren soweit gebracht, die Sicherheitsüberprüfung des Codes selbst durchzuführen. Wir hatten nur mehr Audit-Funktion und die Aufgabe, zu schauen, dass jeder seine Arbeit macht.

Was waren die Gründe, den Schritt in die Selbstständigkeit zu machen?
Wir waren die Sicherheits-Audit-Risiko-Abteilung der bwin. Wir haben es geschafft, alle relevanten Themen zusammenzuführen: IT-Security, Innenrevision, Riskmanagement, Compliance. Das alles haben wir in eine Einheit zusammengefasst, was unheimlich viele IT-Ressourcen geschont hat. Das ist lange sehr gut gelaufen, bwin war ein internationales Vorzeigemodell. Dann kam der Merger mit PartyGaming. Die Technik ist größtenteils nach Indien gegangen. Ich habe das Angebot bekommen, in Bangalore weiterzumachen. Nach 20 Jahren Afrika bin ich sehr gerne in Wien, ich habe daher abgelehnt. Als es zum Mitarbeiterabbau kam, haben wir beschlossen, in das Consulting-Geschäft zu gehen. Nachdem ich einen britischen Investor gefunden hatte, der bereit war, alle Mitarbeiter zu übernehmen, haben wir Cognosec gegründet.

Wie sind die ersten Jahre gelaufen?
Wir sind jetzt im dritten Geschäftsjahr. Der Start war sehr hart, in den ersten zwei Jahren hieß es, Vertrauen aufzubauen. Bevor ich einen Sicherheitsauftrag vergebe, möchte ich sicher sein, dass es das Unternehmen länger gibt. Letztes Jahr konnten wir die Umsätze versiebenfacht. Heuer haben wir die Aufgabe, das Personal zu verdoppeln und die Umsätze nochmals zu verdreifachen. Wir bauen gerade in London ein Office, wir planen zudem in Johannisburg ein Office gemeinsam mit einem Partner zu eröffnen. Wir waren mit dem richtigen Thema zur richtigen Zeit am richtigen Ort.

Woran liegt es, dass die Sicherheitsvorfälle in Unternehmen nicht weniger werden?
Unternehmen wachsen, sie verlieren die Übersicht über die eigene Infrastruktur. Kaum eine Firma weiß, wie viele Server sie haben und was auf diesen Servern läuft. Es gibt Turnover im Personal. Das größte Problem ist immer die fehlende Dokumentation. Und auch wenn es eine gibt, wird sie nie angesehen, oder sie ist überaltert. Es liegen Daten herum, von denen niemand eine Ahnung hat. Der Hacker findet sie aber.

Setzen Unternehmen auf die falsche Security-Philosophie? Glaubt man noch an Perimeter?
Viele Unternehmen sind gerade erst so weit gekommen, dass sie daran glauben. Viele Unternehmen sind im Mittelalter der Informationstechnologie angekommen und glauben, in der Neuzeit zu sein. Mit Mobility und Cloud ist der Gedanke, eine Burg bauen zu können, die schützt, ist absurd.

Kann man damit Firewalls & Co ad acta legen?
Natürlich ist eine Firewall wichtig, ist aber mit entsprechendem Aufwand durch die Angreifer kein Hinderniss. Immer mehr Unternehmen kommen darauf, dass man bei den Daten schützen muss. Dank Snowden weiß man, dass auch Verschlüsselung nicht immer hilft. Es gibt immerhin noch Arten von Verschlüsselung, die sicher sind.
Wir müssen uns damit abfinden, dass ich meine Firma bis zu einem gewissen Grad sichern kann, ich muss mir aber immer bewusst sein, dass immer jemand einbrechen kann. Wer glaubt, sicher zu sein, denkt falsch. Ich kann es Angreifern sehr schwer machen, das ist eine Ressourcen-Frage, aber selbst Rechner, die nicht im Netz hängen, lassen sich knacken. Diese werden einfach bei der Lieferung abgefangen und entsprechend präpariert. Wir reden von organisierter Kriminalität. Man kann sich dagegen schützen, es ist nur unglaublich aufwändig.

Sie malen ein sehr schwarzes Bild.
Es sterben auch Menschen in hochmodernen Autos. Das Bild, das ich male, ist nicht schwarz, im Gegenteil. Die Welt geht nicht unter, man kann sehr viel tun. Der erste Schritte ist: Man muss sich der Risiken bewusst sein. Unternehmen rasen wie Raketenautos mit 700 km/h über die Autobahn und glauben, dass sich dadurch sicherheitstechnisch nichts ändert. Man will die besten, coolsten Dinge, ist aber nicht bereit zu akzeptieren, dass damit das Risiko steigt.

Was kann man also tun?
Gefragt sind etwa die Service Provider. Wenn ich ein Auto kaufe, erwarte ich mir, dass der Sicherheitsgurt und die Bremsen bereits drinnen sind und ich sie nicht selbst kaufen muss. Apple ist mit seinem geschlossenen System da schon sehr weit. Die Sicherheit muss in genau in diese Richtung gehen. Security wird immer komplexer und schwieriger. Es ist wie Alchemie. Meine Mitarbeiter sind die Alchemisten der Neuzeit.

Aus der Alchemie hat sich die Chemie entwickelt. Wie würde die Chemie der IT-Security aussehen? Ist die RSA-Philosophie der richtige Ansatz?
Technisch ist RSA gut drauf und geht in die richtige Richtung. RSA sagt – uns das finde ich sehr richtig –, dass Firmen viel zu viel Geld in die Prävention investieren. Jeder muss sich mit dem Gedanken abfinden, dass er gehackt werden wird. Das ist unabwendbar. Die Firmen müssen lernen, dass sie so schnell wie möglich wieder auf die Beine kommen, nachdem sie gehackt wurden. Da scheitern sehr viele Firmen. Sie verlieren Daten, dann bricht das große Chaos aus, keiner weiß, was zu tun ist.

Was ist also zu tun?
Ich muss saubere Prozesse und die richtigen Verantwortlichen definieren. Ich muss alle Informationen haben, um im Fall der Fälle die Situation so schnell wie möglich unter Kontrolle zu bekommen.
Systeme werden immer komplexer. Moderne Autos kann ich auch nicht mehr selbst reparieren, die IT ist da noch viel schlimmer. Es nimmt Ausmaße an, dass ich die Sicherheit und die Risiken gar nicht mehr verstehen kann. Daher muss man damit rechnen, dass das System zusammenbricht. Die entscheidende Frage ist, wie zu reagieren ist, wenn etwas passiert ist.  

Welche Rolle spielen staatliche Institutionen?
Die Aufgabe des Staates ist es, die Infrastruktur zu schützen – Stichwort Supervisory Control and Data Acquisition, SCADA. Seit den 1980er-Jahren haben Schleusenanlagen, Atomkraftwerke, Stromversorgung oder Verkehrsanlagen Rechner, die seit den 1980er-Jahren nicht gepatcht wurden. Damit sind diese Computer noch weit verwundbarer als alle anderen und stehen Erpressungsversuchen offen. Man kann den Verkehr zum Erliegen bringen oder Wasser vergiften. Ein 16-Jähriger Schüler in Warschau hat per Fernsteuerung zwei Straßenbahnen zusammenstoßen lassen.
Die Aufgabe des Staates ist es außerdem, Awareness zu schaffen bei Unternehmen und bei den Bürgern. Wenn man sich noch einigen könnte, wer diese Aufgaben übernimmt, und im Vergleich zu anderen Ländern ein angemessenes Budget hätte –, dann wären wir schon weiter.

Heute kommt das Internet of things hinzu.
Internet of things lässt mein Technikerherz höher schlagen, weil vieles möglich wird, allerdings steigt auch das Risiko. Es wurde vor kurzem das erste Botnet gefunden, das sich auf Embedded Devices spezialisiert hat. Wir sind in der Zauberlehrling-Situation. Die Geister, die wir riefen, werden wir nicht mehr los.

Wie kann Europa den Vorsprung der USA aufholen?
Die USA ist definitiv weiter als wir. Es gibt in Europa Bestrebungen, eine eigen IT aufzubauen. Mit eigener Hard- und Software. Ich glaube, dieser Zug ist abgefahren und die EU dafür noch nicht reif genug ist. Wir sind nicht die Vereinigten Staaten von Europa. Wir reden viel und einigen uns hie und da auf irgendetwas.

Machen regionale Initiativen wie Eurocloud Sinn?

Gegenfrage: Machen Flughafenkontrollen Sinn? Man kann alle Kontrollen umgehen. Hauptziel der Kontrollen ist, dass die Fluggäste beruhigt sind und glauben, dass in Sachen Sicherheit viel getan wird. Es ist mehr gefühlte Sicherheit. Bei der Cloud kann man ohnehin nicht nachvollziehen, wo die Daten liegen. Europäische Initiativen können nicht funktionieren, wenn sich die europäischen Staaten selbst gegenseitig ausspionieren und teilweise mit den USA zusammenarbeiten.

Das Gespräch führte Wolfgang Franz.
 

Oliver Eckel
Oliver Eckel ist Geschäftsführer von Cognosec und ein internationaler Experte in Sachen IT-Security, SCADA (Schutz kritischer Prozesse) und sicherer Zahlungsverkehr im Internet. Er ist darüber hinaus Mitglied im internationalen Security Risk Management Beirat von Agiliance. Zuvor war er Head of Security bei der bwin AG und Chief Security Officer der Wave Solutions/Bank Austria.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*