"Social Engineering kombiniert mit technischer Attacke ist die grösste Gefahr"
Längst nicht alle sind sich der latenten Gefahr im World Wide Web bewusst. Die Netzwoche sprach mit Marco Marchesi, dem Gründer und Inhaber der Sicherheitsfirma Ispin AG Zurich und Dozent an der Fachhochschule Nordwestschweiz (FHNW) über Trends und Gefahren in der heutigen ICT-Welt.
Herr Marchesi, bis vor kurzem war Security bei IT-Produkten noch eine lästige Notwendigkeit, heute in der Cloud-Welt ist sie hingegen zum Verkaufsargument geworden. Wie ist es dazu gekommen?
Das hat mit der Awareness der Anwender und mit dem "Charakter" von Cloud-Services zu tun. Die Anwender sind sich stärker bewusst, welche Gefahren im Web lauern und welche Schäden entstehen können. Viele Nutzer werden zukünftig von der einfachen Nutzung von Cloud-Services profitieren. Dabei werden sichere Services die Nase vorn haben. In fünf Jahren wird Sicherheit zum Standard gehören. Es ist ähnlich wie mit dem Auto: Heute würde niemand einen Wagen ohne Sicherheitsgurt kaufen. Sicherheit ist ein Grundbedürfnis jedes Menschen.
Auch die Benützung von Facebook scheint ein reges Bedürfnis zu sein. In immer mehr Firmen wird die Site jetzt gesperrt. Finden Sie das sinnvoll?
Dazu gibt es eine Studie von uns zum Thema "Entsicherung am Arbeitsplatz". Das heisst, je mehr verboten und verschlossen ist, umso mehr sucht sich der Mitarbeiter ein Schlupfloch. Ich rate deshalb von einem Verbot ab. Wir machen die Anwender mündig, die Services richtig zu nuten. Fragen uns Unternehmen an, dann erarbeiten wir gemeinsam mit den Verantwortlichen Social-Media-Policies und bieten Sensibilisierungs- und Ausbildungsprogramme an. Viele Unternehmen haben bereits sehr positive Erfahrungen damit gemacht.
Sie sind Dozent an der FHNW und bieten dort den Certification of Advanced Studies (CAS) an. Wie haben sich in der Ausbildung die Themenschwerpunkte in den letzten Jahren entwickelt?
Früher legten wir vor allem Gewicht auf die Technik. Heute sind die Themen Sicherheitskultur und Risikomanagement stärker gewichtet. Für die Sicherheitskultur arbeiten wir mit Soziologen, NLP-Trainern und Kommunikationsspezialisten zusammen. Im Risikomanagement liegt der Fokus auf der richtigen Methodik und dem Detaillierungsgrad. Ein Beispiel: Ich sass schon in einigen Geschäftsleitungssitzungen und habe nach den drei Top-Risiken gefragt. Regelmässig war dann zehn Minuten lang Ruhe, weil alle in irgendwelchen Excel-Sheets herumscrollten. Mit anderen Worten, man tappt im Dunkeln. Dies obwohl man einen erheblichen Aufwand für ein Risikomanagement betreibt.
Die Cyberkriminalität gehört heute zum Alltag. Über Schadensfälle wird wenig bekannt. Warum?
Wenn früher ein Ordner im Unternehmen entwendet wurde, dann konnte man den Schaden entdecken und Alarm schlagen. Wird eine Datei elektronisch aus dem Unternehmen geschleust, kann es lange dauern, bis jemand etwas merkt – wenn überhaupt. Die wirklich gefährlichen Attacken sind Kombinationen zwischen Social Engineering und technischer Attacke. Oft kann nicht mehr nachvollzogen werden, was genau passiert ist und das die Ausmasse des Schadens sind.
Wie schätzen Sie denn die aktuelle Bedrohungslage ein?
Die Wirtschaftskriminalität hat sich stark professionalisiert. Die Verhaftung des Hackers "BadB" ist nur die Spitze des Eisbergs. Da¬runter läuft sehr viel mehr. Zudem steckt viel Kapital in diesem Geschäft. Wobei nicht einfach ziellos gehackt und spioniert wird. Bei ernsthaften Angriffen steckt ein konkreter Auftrag dahinter.
Wie wirken die IT-Security-Anbieter dem entgegen? Welche Trends können Sie identifizieren?
Das Thema Identity-Access-Management wird in den nächsten Jahren zu einem der Hauptthemen werden: das Wissen, wer wo und wann auf was zugreift. Das Zweite ist Logging & Monitoring. Dabei geht es vor allem um Überwachung und Spurensicherung, auf die man dann bei einem Vorfall zurückgreifen kann. Dann ist Borderless Work heute in vielen Unternehmen ein grosses Bedürfnis. Für die IT-Security bedeutet dies eine grosse Herausforderung. Daher werden Themen wie Data-Center-Security und End-Point-Security an Bedeutung gewinnen.
Security ist ein Bereich, den man wahrscheinlich nicht einfach so outsourcen oder offshoren kann. Wie sehen Sie das?
Offshoren nicht, outsourcen schon. Wir haben einige Kunden, die ihren Security Officer zu uns ausgelagert haben. "Unser" Security Officer ist beim Kunden vor Ort – dort intern auch als Security Officer bekannt – und hat Zugriff auf sämtliche Spezialisten von Ispin. Selbst wenn Firmen einen eigenen Security Officer einstellen würden, könnte diese Person nur immer ein Teilsegment des gesamten Wissens abdecken. Es ist deshalb auch finanziell attraktiver, eine Firma wie uns damit zu beauftragen.
Dies setzt aber jede Menge Vertrauen seitens Ihrer Kunden voraus.
Wir sind eine geschlossene Aktiengesellschaft ohne Verflechtungen. Wir beschäftigen auch keine Freelancer, sondern haben nur eigene, forensisch geprüfte Mitarbeiter. Ich weiss nicht, wie viele Anbieter das ebenso machen. Bei einem Strafregisterauszug sehe ich ja nicht, ob jemand im Ausland straffällig geworden ist. Nach heutigem Wissensstand erreichen wir damit den höchsten Grad an Risikominimierung.
Amexio expandiert mit Abacus in Schweizer ERP-Markt
Microsoft GSA – eine neue Ära für sicheren Zugriff auf Firmenressourcen
Nexplore ernennt neuen Verwaltungsratspräsidenten
Netzwerk für digitale Souveränität geht an den Start
Digital vernetzt, ganzheitlich gesichert: Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
Englisch, die Sprache der Seeleute
Achermann ICT-Services holt drei neue Fachkräfte an Bord
ICT Day und Roadshow 2025, Zürich
Graphax passt Führungsstruktur an und ernennt neue CEO
