Krzysztof Müller hat als Head of Information Security über viele Jahre die Aktivitäten der A1 Telekom im Bereich Cybersecurity koordiniert und verantwortet. Als Berater bei NTT Security und Vortragender stellt er nun im Rahmen der Confare Veranstaltungen seine gesammelten Erfahrungen betroffenen Unternehmen zur Verfügung.
Im datenzentrierten digitalen Business spielt Information Security eine besondere Rolle. Im Blog Interview anlässlich seines Vortrages auf der Confare Konferenz #Digitalize 2017 – Market sagt er, was die wichtigsten Bedrohungen und geeignete Schutzmaßnahmen sind, und welche Bedrohung von der 1 Milliarde gestohlenen Identitäten im Netz ausgeht.
Inwieweit verändert sich durch den digitalen Wandel die Bedeutung von IT-Security?
Die zukünftige Rolle von IT-Security – und hier würde ich lieber über Information Security sprechen,
weil eben die Sicherheit der Information entscheidend sein wird – hängt sehr stark von Veränderungen ab, die der digitale Wandel mit sich bringt und weiterbringen wird. Was wird sich grundsätzlich ändern? Ich denke es sind vor allem vier Aspekte: 1. Daten werden zum Hauptrohstoff der digitalen Wirtschaft, 2. alle Geschäftsprozesse werden weitgehend vollständig automatisch ablaufen, 3. zentrale Plattformen werden viele Geschäftsprozesse auf Basis von Big Data und künstlicher Intelligenz managen, 4. dezentrale Kommunikation basierend auf Blockchain-Technologie und IoT schafft autonome Peer2Peer Systeme, die viele Daten erfassen und austauschen werden, um autonome Entscheidungen zu treffen. Digitale Wirtschaft wird also massiv data-centric sein. Sogar in der Produktion der materiellen Güter wird das Wissen wie man produziert am wertvollsten sein. Unternehmen, die Daten und intelligente Analyse-Technologie zur Verfügung haben, werden zu den Gewinnern des digitalen Zeitalters zählen. Vielleicht – wobei das eher noch eine Vision ist – erleben wir eine Zeit, in der in den Bilanzen der Unternehmen statt dem “klassischen”, auf materiellen Werte basierenden Anlagevermögen die Position Datenvermögen auftauchen wird.
Die Automatisierung, die nicht nur die Menschen bei der Arbeit unterstützt, sondern sogar fast vollständig ersetzt, sehen wir schon jetzt in der Finanzbranche bei Daily Trading und anderen Finanzprozessen. Interessant ist, dass auch sehr viele Angriffe gegen unsere Unternehmen automatisch durchgeführt werden.
Daraus ergeben sich klare Anforderungen an Information Security von morgen: Schutz der wichtigen Daten des Unternehmens und Sicherstellung der einwandfreien Funktionsweise der automatisierten Geschäftsprozesse. Wenn ein Unternehmen es nicht schafft seine digitalen Werte vor Dieben und der Konkurrenz zu schützen, wird es bald Bankrott gehen.
Was müssen Unternehmen im Bereich IT-Security tun, um im digitalen Business erfolgreich zu sein?
Unternehmen müssen zunächst eine einfache, schnell anpassbare Strategie entwickeln. Eine solche Strategie (IT-Security) berücksichtigt den Wert der Daten für das Unternehmen und die größten Gefahren und leitet daraus die erforderlichen und praktischen Sicherheitsmaßnahmen ab. Die Cybersecurity muss weitgehend automatisch erfolgen. Das ist die einzige Chance, automatische Angriffe rechtzeitig zu erkennen und abzuwehren. Unternehmen müssen auch überprüfen, ob sie über eine ausreichende Zahl an kompetenten Ressourcen verfügen und ob es nicht sinnvoller ist, diese Aufgabe an ein Managed Security Service zu übergeben.
Das ist besonders wichtig angesichts der rasanten Zunahme der Bedrohungen und der zunehmenden Stärke der Angriffe – z. B. ist die DDOS Angriffsstärke im Jahr 2016 von 300 Gbit per second auf 1,2 Terabit per second gestiegen, also um das Vierfache!
Was sind die wichtigsten Risiken, mit denen Unternehmen im Bereich Cybersecurity umgehen müssen?
Es gibt sehr viele Gefahren für jedes Unternehmen im Bereich Cybersecurity. Das Internet ermöglicht Angriffe gegen unsere Unternehmen von jedem Ort der Welt. Alle Internet-Nutzer der Welt können zumindest potentiell versuchen, Daten zu stehlen oder unsere Unternehmen zu infiltrieren. Je mehr Geschäft online stattfindet, umso mehr lockt es potentielle Angreifer. Die Angreifer wollen schnell Geld machen, sei es durch die Erpressung oder durch Verkauf oder Nutzung der gestohlenen Daten. Zur Zeit ist es auch ein relativ leicht “verdientes Geld”. Die Hauptrisiken sind derzeit aus meiner Sicht vor allem 1. Unterbrechung der wichtigen Geschäftsprozesse (DDOS mit Erpressung), 2. Malware-Infektion (Infiltration des Unternehmens mit diversen Absichten oder Ramsonware), 3. Online-Fraud, Betrug (CEO Fraud, Rechnungen mit gefälschten Bankkontodaten, …), 4. Datendiebstahl. Die Erpressungsversuche mit Ramsonware und DDOS sind aktuell sehr populär. Solche Angriffe kosten den Angreifer fast nichts, auf jeden Fall viel weniger als der Schaden, den sie anrichten. Angreifer nutzen hier die vorhandenen Botnetze und die Schwäche der IT-Security in vielen Unternehmen aber auch Anonymität, die z.B. Bitcoin-Zahlung garantiert.
Ich möchte hier auch auf das Problem des Identitätsdiebstahls hinweisen. Die Zahl der gestohlenen Identitäten ist erschreckend hoch und beträgt für das Jahr 2016 mehr als eine Milliarde. Jede dieser gestohlenen Identitäten kann (und wird in vielen Fällen bereits) für Angriffe gegen die Unternehmen genutzt werden.
Inwieweit verändert sich der rechtliche Rahmen?
Der Gesetzgeber ist in letzter Zeit sehr aktiv und sorgt mit diversen gesetzlichen Initiativen für mehr Sicherheit. Es ist eine klare Tendenz erkennbar, Schutz der Daten und Schutz gegen Cyber Kriminalität mit rechtlichen Maßnahmen zu verbessern. Hier kann man in erster Linie zwei Gesetze der EU erwähnen: Datenschutzgrundverordnung (EU-DSGV) und Network & Information Security (NIS). EU-DSGV betrifft alle Unternehmen, die personenbezogene Daten verarbeiten, also praktisch alle. Bis 25. Mai 2018 haben Unternehmen Zeit, sich auf das neue Gesetz vorzubereiten. EU-DSGV zwingt alle Unternehmen – unter Androhung extrem hohen Strafen – den Schutz der Daten natürlichen Personen zu garantieren.
Für NIS wird derzeit die österreichische Fassung unter dem Namen Cybersecurity Gesetz vorbereitet. Das Ziel ist hier, den Schutz kritischer Infrastruktur (also Infrastruktur, die für normales Funktionieren der Gesellschaft extrem wichtig ist) zu erhöhen. Provider der kritischen Infrastruktur, aber auch Unternehmen aus einigen anderen Branchen, die für Online-Wirtschaft wichtig sind, werden verpflichtet, ihre Netze gut zu schützen und im Falle eines Vorfalls die Behörde darüber zu informieren.
Man muss hier auch die vielen regulativen Sicherheitsvorgaben in diversen Branchen erwähnen, wie Telekommunikation, Energie oder Banken. Heutzutage sind Unternehmen zunehmend mit gesetzlichen oder regulativen Sicherheits-Vorgaben und Auflagen konfrontiert.
Die CISOs haben den Ruf, Innovationen zu verhindern, Arbeitsabläufe zu erschweren und sind generell eher lästig – Muss das so sein?
Nein, es muss nicht so sein.
Auf einer Seite besteht das Problem darin, dass viele Unternehmen noch nicht erkannt haben, wie wichtig die Daten und deren Verfügbarkeit für den Erfolg des Unternehmens sind. Der CISO sieht schon viele Gefahren kommend, die die anderen im Unternehmen derzeit ignorieren oder bagatellisieren. Trotz der vielen Angriffe, die fast täglich stattfinden, wollen sehr viele Unternehmen die Gefahr noch nicht wahrnehmen. Erst wenn Unternehmen merken, wie viel Geld dabei verloren gehen kann, beginnt das Umdenken. Anderseits erschweren sehr oft Sicherheitsmaßnahmen die Flexibilität der Arbeit. CISOs haben in der Vergangenheit auch zu oft versucht, alle möglichen Sicherheitsmaßnahmen zu etablieren, auch Maßnahmen, die schon etwas veraltet oder nachweislich wenig erfolgreich waren. 
Wie kann man es also ändern? Die gute Cybersecurity-Strategie muss von dem ganzen Unternehmen und hier vor allem von den Geschäftsführern und Vorständen getragen werden. Jedes Unternehmen muss sich die Frage stellen, wie viel Sicherheit benötigt wird. Und ob es bereit ist, gewisse aus Sicherheit resultierende Einschränkungen im Kauf zu nehmen. Man darf dabei nicht vergessen, dass es keine 100%-ige Sicherheit gibt und Kosten mit dem Grad der Sicherheit steigen. Jedes Unternehmen sollte also aus der Business-Perspektive entscheiden, wie viel Sicherheit absolut notwendig und akzeptabel ist. Das verbleibende Risiko muss man dann akzeptieren. Wenn so eine Cybersecurity-Strategie von CISO mit dem Business gemeinsam ausgearbeitet wird, wird die Akzeptanz der sich daraus ergebenden Maßnahmen kein großes Thema sein.