Thought Leadership
Schon jetzt ist die Vielzahl der mobilen Geräte im Firmennetzwerk schwer zu managen – wie soll das erst werden, wenn mehrere Milliarden Sensoren und Endgeräte involviert sind? Jürgen Kolb, Geschäftsführer von Antares-NetlogiX, geht in diesem Interview auf die Herausforderungen für IoT-Umgebungen, Versäumnisse des Marktes und auch Forderungen an die Hersteller ein.
Sie beraten Kunden aus unterschiedlichsten Branchen – von Energie über Banken bis hin zur produzierenden Industrie. Welche Herausforderungen beobachten Sie im Bereich Cybersecurity?
Jürgen Kolb: Sehr unterschiedliche, da das Problembewusstsein nicht in jeder Branche gleich ausgeprägt ist. Zwei Beispiele: Finanzdienstleister haben zwar bei zentralen Sicherheitsmaßnahmen ihre Hausaufgaben erledigt, kundenseitig führt die Nutzung von Apps auf Mobilgeräten aber zu neuen Schwachstellen.
Ähnlich ist es im Energiesektor. Dieser ist hochsicher gestaltet und sehr sensibel in Sachen Cybersicherheit. Denn ohne Strom besteht Lebensgefahr. Durch neue Services und Geschäftsmodelle – man denke nur an Smart Meter oder Smart-Home-Technologien – entstehen aber auch hier neue Herausforderungen. Aktuell schreien alle nach Digitalisierung, bedenken aber nicht, dass es viel zu wenig Spezialisten für rechtlichen Datenschutz und technische Datensicherheit gibt, um diesen Prozess sicher zu begleiten.
Was gehört heutzutage zur „Basisausstattung“ in Sachen Cybersicherheit?
Jürgen Kolb: In aller Kürze: Die Awareness des Vorstandes ist das Wichtigste, erst danach kommt die Technologie. Die technische Basis sind heute Systeme wie Firewalls mit Modulfunktionen, Monitoringsysteme und ein zentrales Security Management, an das Lösungen für Network Access Control und Endpunktsicherheit angeschlossen sind.
Wichtig sind zudem definierte Prozesse und die Abbildung von Standards und Regularien. Der Erfolg dieser Maßnahmen sollte in regelmäßige Schwachstellen-Scans und Pentests nachgewiesen werden.
Das nächste Level wären Hochsicherheitslösungen, permanentes Monitoring und der Betrieb (oder die Nutzung) eines Security Operations Centers, das rund um die Uhr besetzt ist. Dennoch sind alle Systeme nichts wert, wenn nicht von Vorstandsseite IT-Sicherheit mitgedacht und entsprechend unterstützt wird.
Was empfehlen Sie Kunden, die zig Lösungen installiert haben und dennoch unsicher sind, ob sie ausreichend geschützt sind?
Jürgen Kolb: Zuallererst einen Pentest, denn eine hohe Zahl an Lösungen ist kein Garant für ein hohes Sicherheitslevel. Architekturfehler, falsches Sizing und Konfigurationsfehler sind weiter verbreitet als man glaubt. Fehlende Patches und somit veraltete Software sind nur das i-Tüpfelchen, die Fehler sind in der Regel viel grundsätzlicher.
Sie sprechen aber einen wichtigen Punkt an: Wir beraten oft Kunden, bei denen Kosten eingespart werden können. Sei es weil Systeme abgelöst, Preise aktualisiert oder neu verhandelt werden können. Oder weil – ganz trivial – nach einer Überprüfung der eingesetzten Lösungen mit weniger Aufwand trotzdem mehr Security möglich ist.
Sie haben eben die veraltete Software erwähnt. Wie gefährlich sind veraltete Betriebssysteme wie Windows XP?
Jürgen Kolb: Üblicherweise befinden sich veraltete Systeme in abgeschotteten und isolierten Umgebungen, die nicht mit dem übrigen Unternehmensnetzwerk verbunden sind. Dennoch sollten Unternehmen sich keine Fehler erlauben. Wir schlagen in solchen Fällen eine externe Prüfung, regelmäßige Checks und das Monitoring vor. Das ist auch für Systeme möglich, die ihren Zenit schon lange überschritten haben.
Sind die IT-Infrastrukturen der Unternehmen mittlerweile zu komplex geworden, um sie zu schützen?
Jürgen Kolb: Nicht zwangsläufig, auch kleine Netzwerke können unsicher sein. Bei komplexen Systemen sind deshalb Lösungen sinnvoll, die die Architektur übersichtlicher machen. Wenn die eigenen Kapazitäten nicht ausreichen, um die Systeme zu schützen, besteht die Alternative in der Auslagerung. Hier kommen Skaleneffekte und die Spezialisierung des Dienstleisters voll zum Tragen. Doch was heißt schon Komplexität? Diese ist immer relativ und hat viel mit den Fähigkeiten sowie finanziellen und personellen Kapazitäten des Unternehmens zu tun. Dazu kommt auch immer der Faktor Zeit, zum Beispiel wie oft kann und will ich patchen?
Wie groß ist die Gefahr, durch IoT-Technologien Opfer eines Hackerangriffs zu werden?
Jürgen Kolb: Im Prinzip wurde hier das Tor zum Hades geöffnet. Firmen und Geschäftsmodelle, die vollkommen Security-avers sind, werfen sich kopfüber in das Haifischbecken. Schon jetzt ist die Vielzahl der mobilen Geräte im Firmennetzwerk schwer zu managen – wie soll das erst werden, wenn mehrere Milliarden Sensoren und Endgeräte involviert sind? Wir sehen das Log Management hierfür sowohl als Basis als auch als Schnittstelle, die sich individuell programmieren und mit anderen Sicherheitslösungen verbinden lässt. Die angeschlossenen Sicherheitslösungen, hier kooperieren wir mit Weltmarktführern, sollten den Fokus auf Endpoint- und Netzwerksicherheit haben und somit Echtzeitschutz ermöglichen. Aber momentan wirkt vieles noch sehr planlos.
Würden Sie sagen, dass Unternehmen die Kompetenzen fehlen, um der komplexer werdenden Sicherheitslandschaft Herr zu werden?
Jürgen Kolb: Nicht per se, aber umständehalber ist es oft so. Aufgaben, die selten anfallen, werden vergessen oder aufgeschoben – das kann sich schnell rächen. Verlässt ein Mitarbeiter die Firma, geht das Wissen verloren. Häufig fehlen Dokumentationen und der neue Mitarbeiter benötigt Monate, um sich einzuarbeiten. Also werden Routinen und Prozesse nicht umgesetzt, aber gerade die sorgen für einen reibungslosen Betrieb. Managed Security Services werden nicht ohne Grund stark nachgefragt. Viele Unternehmen benötigen einen strategischen, aber auch einen operativen Partner, um ihre Sicherheitsmaßnahmen aufrecht zu erhalten oder auszubauen.
Welche Verantwortung haben die Hersteller von Security-Plattformen?
Jürgen Kolb: Die höchstmögliche natürlich. Das gilt aber für alle Beteiligten, also auch Reseller und IT-Dienstleister. Doch trotz umfassender Vertragswerke und neuer Gesetzgebungen wie der EU-DSGVO ist der bestmögliche Service – laut Kunden – leider nicht immer geboten. Es gibt sicherlich auch Fälle, in denen Hersteller eine Lösung anbieten könnten, dies aber nicht tun, weil es angesichts fehlender Standards zu aufwändig in der Umsetzung wäre. Oder der Kunde nicht bereit ist, das Geld hierfür in die Hand zu nehmen.
Und natürlich spielen auch Machtverhältnisse zwischen KMU und Konzernen, zwischen internationalen und regionalen Anbietern, zwischen stark profitgetriebenen Herstellern und jenen, die auch Verständnis für öffentliche Aufgaben haben, immer eine Rolle.
Die Übergangsfrist für die EU-DSGVO endet in wenigen Tagen. Haben die gestiegenen Anforderungen an Datenschutz auch zu mehr Datensicherheit geführt? Wie beurteilen Sie als diplomierter Datenschutzberater den Stand der Umsetzung?
Jürgen Kolb: Der Handlungsbedarf ist enorm, auch in vermeintlich gut organisierten und regulierten Branchen. Positiv ist, dass endlich Budgets freigegeben werden, die seit Jahren in der Projektvorbereitungsphase steckten. Dazu gehören beispielsweise Bereiche wie das Passwort-Management, das Security-Monitoring und das Schwachstellen-Management.
Aber die Bandbreite ist sehr groß. Manche Unternehmen beginnen jetzt mit Ausschreibungen für Schulungen tausender Mitarbeiter zur Datenschutzgrundverordnung, andere zerbrechen sich bereits seit Monaten den Kopf über Feinheiten. An der EU-DSGVO führt kein Weg vorbei: Wer sich jetzt noch nicht damit beschäftigt hat, muss eben schrittweise die größten Löcher stopfen. Wir planen aber keine Notfall-Pakete für Spätstarter – dafür ist die Zeit einfach schon zu knapp.
