Cyber Security: Ein Gespräch mit Umberto Annino

• Serge Nussbaumer, Chefredaktor
  

Wie wird man ein Cyber Security Experte? Ist man zuerst Hacker und wird dann zum Cyber Security Spezialisten?
Es gibt verschiedene Karrierewege: Technische Erfahrung (insbesondere im IT-Betrieb) ist von Vorteil, aber eine vorherige Hacker-Karriere ist nicht zwingend. Das Thema ist sehr interdisziplinär, es braucht auch Fähigkeiten in Kommunikation, Psychologie, Management, Projektführung und andere. Wichtig ist auch die Fähigkeit für Abstraktion und eine natürliche Neugier – man muss wie die möglichen Angreifer denken können. Viele Wege führen zur Lösung, was das Thema so interessant macht. Generell kann man gut auf vorhandene Erfahrungen aufbauen.

Was sind derzeit die grössten Bedrohungen und wo liegen die häufigsten Schwachstellen?
Bezüglich Bedrohungen verweise ich gern auf den Halbjahresbericht von MELANI, der Melde- und Analysestelle Informationssicherung unter melani.admin.ch. Leider immer noch sehr aktuell ist das Thema «Ransomware», also erpresserische Malware – Daten und komplette Systeme werden verschlüsselt und unbrauchbar gemacht und anschliessend ein Lösegeld verlangt. Es gibt eine neue Variante, bei der zuerst die Daten gestohlen werden und danach verschlüsselt – wenn man das Lösegeld nicht zahlen will, wird mit Veröffentlichung gedroht. Schwachstellen: verspätete Aktualisierungen der Systeme und ungenügende Aus- und Weiterbildung der Mitarbeitenden.

Ende März 2020 wurde für viele Arbeitnehmende das Home Office zur Pflicht erklärt. Hat sich dadurch an der Sicherheitslage etwas verändert? Wenn ja was? Oder wenn nein, warum nicht?
Der Trend bezüglich Home Office ist ja nicht ganz freiwillig erfolgt – entsprechend müssen nun unter Druck und sofort die Mitarbeitenden und Geräte für Home Office ausgerüstet werden. Dabei wird teilweise bei den Sicherheitsmassnahmen gespart oder verzichtet, damit es schneller geht – was mir natürlich entsprechend Sorge bereitet. Möglichkeiten, den Unternehmen in dieser hektischen Zeit zu helfen bezüglich Cybersicherheit werden momentan gerade durch Unternehmen und Fachverbände erarbeitet.

Und wie sieht es für die Zukunft aus? Quantum Technologie oder Industrie 4.0 als Stichworte?
Beim Quanten-Computing und auch bezüglich der künstlichen Intelligenz besteht noch wenig Einigkeit, was man security-mässig davon halten soll. Generell wird aber erwartet, dass die Entwicklungen in diesen Bereichen noch ein paar Jahre benötigen. Im Bereich Industrie 4.0 hingegen, also bei Industrie-Steuerungsanlagen und dem «Internet der Dinge» zeigt sich leider, dass die Fehler der Vergangenheit wiederholt werden – Sicherheit wird gar nicht oder viel zu spät im Entwicklungs-Zyklus berücksichtigt.

Gehen Unternehmen heute zu sorglos mit Ihren Daten um?
Es ist weniger eine Sorglosigkeit – die Unternehmen sind sich dem Wert ihrer Daten durchaus bewusst. Die Schwierigkeit liegt jedoch an der abstrakten Substanz – Daten sind immaterielle Güter, die schwer fassbar sind. Das Problem ist dabei ganz grundsätzlicher Natur: Wie können die Daten und Informationen effizient inventarisiert werden, damit man überhaupt eine Grundlage für deren Schutz hat? Wenn ich nicht genau weiss, was ich alles schützen will und vor allem, wo diese Daten und Informationen liegen, wird es schwierig mit der Sicherheit.

Und wie steht es mit den Privatpersonen?
Durch die enorme Geschwindigkeit der technologischen Innovation und Evolution der letzten Jahrzehnte verfügen Privatpersonen heute über vielerlei Möglichkeiten zum Bearbeiten, Kommunizieren und Kollaborieren von Daten. Das Problem ist auch hier: Welche Werkzeuge werden für welchen Zweck genutzt? Bei der Menge an Instant-Messaging-Apps, welche dieser Apps kann und soll für vertrauliche Unternehmenskommunikation genutzt werden und welche ist für privaten Austausch geeignet? Zudem sind die Daten zunehmend in Cloud-Back-Ends abgelegt, wo das Vertrauen bezüglich Sicherheit in die Hände der Anbieter gelegt wird.

Was sind Ihre drei Tipps und Tricks, die jede Privatperson sofort umsetzen sollte?
Erstens: bewusster Umgang mit Technologie – wie vorher erwähnt, welche Funktionen und welche Apps zu welchem Zweck einsetzen, und dies diszipliniert und konsequent befolgen. Das ist alles andere als einfach, da fast jeder Kommunikationspartner etwas anderes nutzt. Sicherheitsfunktionen nutzen: bei der Auswahl der Apps und Geräte darauf achten, welche Sicherheits-Funktionalität zur Verfügung steht: Verschlüsselung, Zugriffsschutz; Wo sind die Daten gespeichert und wer hat alles darauf Zugriff? Wie sehen Notfallpläne bei Verlust aus? Aktuell halten: nicht nur Anti-Malware, sondern insbesondere auch die Apps und Betriebssysteme. Ständig, immer, ausnahmslos und sofort – Updates dürfen nicht «auf morgen» verschoben werden.

Vielen Firmen verschieben derzeit Ihre Daten in die Cloud. Ist es sinnvoll und wo liegen die gefährlichsten Schwachstellen bei diesen Cloud-Lösungen?
Ich erachte eine Cloud-Lösung insbesondere dann sinnvoll, wenn ein Unternehmen den Betrieb der Informationstechnologie selbst nicht auf einem gleich hohen Niveau gewährleisten kann wie ein professioneller Anbieter. Allerdings ist heute jeder IT-Dienstleistungsanbieter auch ein Cloud Service Provider – entsprechend gilt auch hier: darum prüfe, wer sich (ewig) bindet. Man gibt mit einer Cloud-Lösung Kontrolle aus der Hand, die Vertrauensfrage muss deshalb vor Vertragsunterzeichnung geklärt sein. Am komplexesten sind dabei die Anforderungen aus rechtlicher und regulatorischer Sicht.

Welche Unternehmen verdienen mit Sicherheitslösungen derzeit Geld?
Da wären einerseits die traditionellen Anbieter von Informatikleistungen – Microsoft, Google, Amazon, IBM, Oracle, SAP und andere «grosse Player», die Sicherheit als USP in ihren Dienstleistungen integrieren. Daneben die «dedizierten» Anbieter von Sicherheitslösungen wie z. B. mein Arbeitgeber InfoGuard AG, Anbieter von Malware-Schutz wie McAfee, TrendMicro, Kaspersky, Palo Alto, Vectra, Juniper, Cisco, Ergon, Fortinet – die Liste kann lange fortgesetzt werden.

Welche börsenkotierten Cyber Security-Unternehmen besitzen aus Ihrer Sicht gegenwärtig die besten Ansätze im Bereich der IT-Sicherheit?
Die Liste ist auch hier nicht klein – ohne Anspruch auf Vollständigkeit und Reihenfolge, sind das Microsoft (MSFT), Cisco (CSCO), Google/Alphabet (GOOG), Cyber Ark (CYBR), Palo Alto (PANW), Fortinet (FTNT), IBM, Juniper (JNPR), Splunk (SPLK), Tenable (TENB), Qualys (QLYS), Proofpoint (PFPT), Amazon (AMZN), Okta (OKTA), Rapid7 (RPD), CrowdStrike (CRWD).

 

«Dabei wird teilweise bei den Sicherheitsmassnahmen gespart oder verzichtet, damit es schneller geht.»

 

Würden Sie auf diese Firmen auch Ihr Geld setzen?
Durchaus – fokussieren würde ich wohl auf die grossen Cloud Service Provider. Aus der momentanen Krisensituation können möglicherweise die Ausrüster für Netzwerk- und Systemsicherheit kurzfristig profitieren, aber mittel- und langfristig ist eine Verschiebung des Angebot in die Cloud absehbar. Die grossen Anbieter, allen voran Microsoft, machen kein Geheimnis daraus, dass die Dienstleistungen zukünftig nicht mehr als lizenzpflichtige Software, sondern als Cloud Service zur Verfügung gestellt werden. Das schliesst einen Anteil an «on-premises» Infrastrukturen zwar nicht aus, aber ein grosser Teil der heutigen Systemlandschaften bei Unternehmen wird zukünftig «as a service» bezogen werden.