Laut Oliver Eckel, Geschäftsführer von Cognosec, investieren Unternehmen zu viel Geld in die Prävention. Wichtiger wäre es, das Hauptaugenmerk darauf zu konzentrieren, nach einem erfolgreichen Angriff so schnell wie möglich auf die Beine zu kommen. [...]
Nach seiner Tätigkeit bei der bwin AG hat sich Oliver Eckel selbständig gemacht und Cognosec gegründet. Das Unternehmen, heute im dritten Geschäftsjahr, ist ein Anbieter von IT-Sicherheitsdienstleistungen, der sich auf die Bereiche Informations-Sicherheit, Governance, Enterprise Risk Management, Compliance und Audit spezialisiert hat.
Computerwelt: Was waren die Gründe dafür, ein eigenes Unternehmen zu gründen?
Oliver Eckel: Wir haben es geschafft, bei bwin alle relevanten Themen in einer Einheit zusammenzuführen: IT-Security, Innenrevision, Risk Management, Compliance. Bwin war ein internationales Vorzeigemodell. Dann kam der Merger mit PartyGaming, die Technik ist größtenteils nach Indien gegangen. Als es zum Mitarbeiterabbau kam, haben wir beschlossen, in das Consulting-Geschäft zu gehen.
Wie sind die ersten Jahre gelaufen?
Der Start war sehr hart, in den ersten zwei Jahren hieß es, Vertrauen aufzubauen. Letztes Jahr konnten wir die Umsätze versiebenfachen. Heuer haben wir die Aufgabe, das Personal zu verdoppeln und die Umsätze nochmals zu verdreifachen.
Woran liegt es, dass die Sicherheitsvorfälle in Unternehmen nicht weniger werden?
Unternehmen wachsen, sie verlieren die Übersicht über die eigene Infrastruktur. Kaum eine Firma weiß, wie viele Server sie hat und was auf diesen Servern läuft. Es gibt Turnover im Personal. Das größte Problem ist immer die fehlende Dokumentation. Es liegen Daten herum, von denen niemand eine Ahnung hat. Der Hacker findet sie aber.
Setzen Unternehmen auf die falsche Security-Philosophie? Glaubt man noch an Perimeter?
Viele Unternehmen sind gerade erst soweit gekommen, dass sie daran glauben. Viele Unternehmen sind im Mittelalter der Informationstechnologie. Mit Mobility und Cloud ist der Gedanke, eine Burg bauen zu können, die schützt, absurd.
Firewalls & Co. sind nicht mehr relevant?
Natürlich ist eine Firewall wichtig, ist aber mit entsprechendem Aufwand durch die Angreifer kein Hinderniss. Wir müssen uns damit abfinden, dass ich meine Firma bis zu einem gewissen Grad sichern kann, ich muss mir aber immer bewusst sein, dass immer jemand einbrechen kann. Wer glaubt, sicher zu sein, denkt falsch.
Sie malen ein sehr schwarzes Bild.
Im Gegenteil. Die Welt geht nicht unter, man kann sehr viel tun. Der erste Schritt ist: Man muss sich der Risiken bewusst sein. Unternehmen rasen wie Raketenautos mit 700 km/h über die Autobahn und glauben, dass sich dadurch sicherheitstechnisch nichts ändert.
Was kann man also tun?
Gefragt sind etwa die Service Provider. Wenn ich ein Auto kaufe, erwarte ich mir, dass der Sicherheitsgurt und die Bremsen bereits drinnen sind und ich sie nicht selbst kaufen muss. Apple ist mit seinem geschlossenen System da schon sehr weit. Die Sicherheit muss in genau diese Richtung gehen. Security wird immer komplexer und schwieriger. Es ist wie Alchemie. Meine Mitarbeiter sind die Alchemisten der Neuzeit.
Welche Anbieter verfolgen Ihrer Meinung nach die richtige Strategie? RSA?
RSA sagt – und das finde ich sehr richtig –, dass Firmen viel zu viel Geld in die Prävention investieren. Jeder muss sich mit dem Gedanken abfinden, dass er gehackt werden wird. Das ist unabwendbar. Die Firmen müssen lernen, dass sie so schnell wie möglich wieder auf die Beine kommen, nachdem sie gehackt wurden. Da scheitern sehr viele Firmen.
Welche Schritte sind zu setzen?
Ich muss saubere Prozesse und die richtigen Verantwortlichen definieren. Ich muss alle Informationen haben, um im Fall der Fälle die Situation so schnell wie möglich unter Kontrolle zu bekommen.
Welche Rolle spielen staatliche Institutionen?
Die Aufgabe des Staates ist es, die Infrastruktur zu schützen – Stichwort Supervisory Control and Data Acquisition, SCADA. Seit den 1980er-Jahren haben Schleusenanlagen, Atomkraftwerke, Stromversorgung oder Verkehrsanlagen Rechner, die seit den 1980er-Jahren nicht gepatcht wurden. Damit sind diese Computer noch weit verwundbarer als alle anderen und stehen etwa Erpressungsversuchen offen.
Wie kann Europa den Vorsprung der USA aufholen?
Die USA ist definitiv weiter als wir. Es gibt in Europa Bestrebungen, eine eigene IT aufzubauen – mit eigener Hard- und Software. Ich glaube, dieser Zug ist abgefahren und die EU dafür noch nicht reif genug. Wir sind nicht die Vereinigten Staaten von Europa. Wir reden viel und einigen uns hie und da auf irgendetwas.
Machen regionale Initiativen wie Eurocloud Sinn?
Gegenfrage: Machen Flughafenkontrollen Sinn? Man kann jede Kontrolle umgehen. Hauptziel der Kontrollen ist, dass die Fluggäste beruhigt sind und glauben, dass in Sachen Sicherheit viel getan wird. Es ist mehr gefühlte Sicherheit. Bei der Cloud kann man ohnehin nicht nachvollziehen, wo die Daten liegen. Europäische Initiativen können nicht funktionieren, wenn sich die europäischen Staaten gegenseitig ausspionieren und teilweise mit den USA zusammenarbeiten.
Das Gespräch führte Wolfgang Franz.
Oliver Eckel
Oliver Eckel ist Geschäftsführer von Cognosec und ein internationaler Experte in Sachen IT-Security, SCADA (Schutz kritischer Prozesse) und sicherer Zahlungsverkehr im Internet. Er ist darüber hinaus Mitglied im internationalen Security Risk Management Beirat von Agiliance. Zuvor war er Head of Security bei der bwin AG und Chief Security Officer der Wave Solutions/Bank Austria.
Be the first to comment