Klaus Schmid, CEO von NTT Data Österreich, erklärt im Gespräch mit der COMPUTERWELT, warum eine zeitgemäße Cybersicherheitsstrategie es erfordert, zunächst einmal niemandem zu vertrauen und was das für den Unternehmensalltag bedeutet. [...]
Als einer der weltweit größten Systemintegratoren und Serviceprovider unter anderem im Bereich Security kann NTT Data auf »Big Data« zugreifen, wenn es um den Schutz von Unternehmensdaten geht. Diese Daten wurden im sogenannten »Global Threat Intelligence Report« zusammengefasst und ausgewertet, über den die COMPUTERWELT mit Klaus Schmid gesprochen hat.
Was ist für Sie die wichtigste Erkenntnis aus dem Global Threat Intelligence Report?
Wenn man unseren Threat-Intelligence-Experten zuhört, dann leben wir langsam aber sicher in einem sogenannten Zero-Trust-Environment. Unser Internet hat sich in etwas verwandelt, bei dem du sagst: Wenn ich mich online bewege, darf ich niemandem trauen. Punkt. Es wird natürlich auch künftig noch Anlaufstellen geben: Trusted Partner im Internet wie zum Beispiel eine Bank. Denn es wäre übertrieben, wenn jeder Konsument jedem Unternehmen, mit dem er zu tun hat, mit Zero Trust begegnen müsste. Aber für Unternehmen gilt: Zero Trust. Als Unternehmen müssen wir aufpassen und etwas tun, damit Kunden in so einer Umgebung vertrauensvolle Anlaufstellen haben.
Zero Trust bedeutet, man vertraut zunächst prinzipiell niemandem und schaut erst mal wem man vertrauen kann? Ohne Vertrauen geht es doch im Geschäftsleben auch nicht.
White Listing ist ein Thema. Das gehört zum Identity Management. Ich kann natürlich User auf einer White List festlegen, die bestimmte Dinge dürfen. Aber generell gehen unsere Experten eher davon aus, dass es in der IT im Geschäftsleben ein Zero-Trust-Environment sein wird.
Welche Entwicklungen führen zu diesem Zero-Trust-Environment?
Infrastrukturen sind inzwischen intelligent und mit dem IoT ist jetzt halt in Wahrheit jedes Ding connected. Jede billige Webcam, jeder Sensor, jeder Bluetooth-Lautsprecher ist in Wahrheit online und kann oft mit relativ einfachen Mitteln gehackt werden. Und es gibt plötzlich Hintertüren,die es früher nicht gegeben hat. Das geht vom connected Teddybär mit Kamera bis rauf zu wirklich sehr intelligenten Business Frauds. Aktionen wie der CEO Fraud »Bitte überweisen sie so und so viel Geld, ich bin in den nächsten paar Stunden nicht erreichbar, etc.« sind mittlerweile so geschickt gemacht, dass da tatsächlich Schaden passiert. Laut CIA ist alleine in Amerika vergangenes Jahr vier Milliarden Dollar Schaden durch solche Dummheiten entstanden. Oder Ransomware.
Was tut man gegen diese »Dummheiten«?
Ein Problem ist, dass viele Unternehmen ja nicht einmal bemerken, dass es einen Sicherheitsvorfall gab. Und die Bot-Technologie auch schon relativ weit. Attacken werden ja oft gar nicht mehr durch menschliche Energie ausgeführt, sondern durch programmierte Bots, die automatisiert schauen, wo halt überall was geht. Wir müssen daher in Wahrheit die Security-Architekturen neu denken, neu stricken. Und wir müssen dabei immer an Missbrauch denken. Egal was passiert, immer vorher an Missbrauch denken. Das ist leider so und in diese Richtung müssen wir auch unsere Technologien und Services entwickeln.
Immerhin steigen Security-Budgets in Unternehmen kontinuierlich an. Das ist doch schon Mal ein Schritt in die richtige Richtung.
Unserer Erfahrung nach sind die Security-Budgets eher gleichbleibend oder sinken in reifen Märkten und Industrien, wo das auch OK ist, weil die schon viel Geld für Security ausgegeben haben. Es muss halt ein gewisser Reifegrad da sein und den muss ich auch überprüfen. Was aber massiv steigt, sind die Schutzgeldzahlungen im Zusammenhang mit Ransomware. Und zwar wesentlich stärker als die Investitionen in Security.
Ernsthaft? Da fließt doch das Budget in die völlig falsche Richtung, wenn man es Hackern gibt, die damit weiterhacken.
Das ist ja das Erschreckende. Man kann vorher investieren oder nachher. Das kann auch eine strategische Entscheidung sein. (lacht) Ich kann auch sagen: Nein, ich investiere jetzt mal nicht in die Security und wenn mich einer erpresst, dann zahl ich halt.
Wie sieht es denn eigentlich bei den Investitionen im Bereich Security mit der Awareness Bildung der Mitarbeiter aus? Wird Geld dafür in die Hand genommen um Mitarbeiter zu schulen?
Das ist definitiv ein wichtiger Bereich. Es gibt Unternehmen, die haben da gut investiert. Sie müssen nur unsere Mitarbeiter fragen (lacht). Die sind davon schon etwas genervt. Da könnte man sich schon denken, dass wir da vielleicht überinvestiert sind, wenn die Leute das schon als Belastung sehen. Das kann dann nerven und vielleicht dazu führen, dass die Leute es nicht ernst genug nehmen oder es nur noch als Belastung sehen. Das wäre auch nicht schön.
In anderen Unternehmen dagegen gibt es das gar nicht. Das ist sehr unterschiedlich. Da gibt es kein einheitliches Bild über alle Unternehmen und Branchen hinweg. Auch hier kommt es wieder auf den Reifegrad des jeweiligen Unternehmens und der Branche an. Militärische und nachrichtendienstliche Einheiten, Banken, Versicherung oder Telkos sind gut aufgestellt. Dann gibt es eine riesige Kluft geht mit dem produzierenden Gewerbe oder dem Handel weiter, die einen weniger hohen Reifegrad haben aber die Vielzahl unserer Unternehmen ausmachen.
Sie haben nun schon mehrmals im Gespräch einen »gewissen Reifegrad« im Zusammenhang mit dem Thema Security erwähnt. Wie erreicht man den?
Indem man seine Hausaufgaben macht. Dazu gehört sein Netzwerk von der Architektur her richtig zu segmentieren. Wenn es dann einen Angriff gibt, kann man gewisse Schoten dicht machen und Teile abtrennen, aber das System lebt weiter. Segmentierung ist ganz wichtig.
Genauso das ganze Thema Identity Management. Ebenso Privilileged Access Management, also die Verwaltung von Administratoren-Passwörtern. Das dritte Thema ist Patch Management. Wenn ich unterschiedliche Betriebssysteme auf meinen Servern hab, unterschiedliche Anwendungen, vielleicht eine alte Produktionsanwendung, die auf XP läuft: Wie manage ich das? Wie manage ich Patches dort? Da bin ich wieder zurück beim Segmentieren: Wie gebe ich diesem Teil meines Netzwerkes eine besondere Aufmerksamkeit? Microsoft releast durchschnittlich zwei Security-Patches pro Woche. Spielen Sie das mal ein, wenn Sie für fünf- bis zehntausend Server verantwortlich sind. Und ein letzter Punkt, der ganz entscheidend ist: das ganze Thema Security Operations. Gerade wenn ich selber Software entwickle – Banken, Versicherungen oder öffentliche Einrichtungen haben oft selbstgeschriebene Kernanwendungen – ist die Frage, wie ich von Anfang an Security einflassen lassen kann, ganz entscheidend. Wie kann ich einen Schulterschluss herbeiführen zwischen Entwicklung, Operations und Security?
Welche Angebote hat NTT Data dazu parat?
Vom Angebot her beginnen wir sehr oft mit einem Dienstleistungspaket, das wir »Risk Insight« nennen. Dabei beleuchten wir aus informationstechnischer Sicht die bestehenden Risiken eines Unternehmens. Wo kann man sich einfach Zugang verschaffen zu Rechnern, physisch wie auch elektronisch?, Welche Prozesse sind etabliert?, etc. Das ist verhältnismäßig wenig Aufwand und man hat ein Röntgenbild des Unternehmens, auf dessen Basis man sagen kann, wo man sich Securitytechnisch noch verbessern kann. Wichtig ist dabei auch, dass wir ein Branchen-Benchmark machen. Dadurch können wir beurteilen, ob ein Unternehmen im Vergleich mit dem direkten Wettbewerb zu viel oder zu wenig für Security tut. Damit kann man dann eine Roadmap für die nächsten Jahre erstellen und festlegen, wo man sinnvoll investieren kann, damit der Sicherheitslevel, der Reifegrad steigt.
Be the first to comment