Focus IT-Sicherheit: Interview

"Das perfekte System ist hochsicher, ohne dass der Nutzer es merkt"

Uhr | Aktualisiert

Collaboration-Tools, Instant Messenger, Skype oder Webmail – im Unternehmen steht heute eine Vielzahl von digitalen Kommunikationsmitteln im Einsatz. Wo die grössten Risiken liegen und wie die IT-Abteilung diese erfolgreich ­managen kann, verrät Umberto Annino, Präsident der Information Security Society Switzerland.

Umberto Annino, Präsident, Information Security Society Switzerland (Source: Netzwoche)
Umberto Annino, Präsident, Information Security Society Switzerland (Source: Netzwoche)

Wo liegen heute die grössten Herausforderungen, wenn Unternehmen ihre digitalen Kommunikationskanäle sicher machen wollen?

Umberto Annino: Da gibt es zwei Problembereiche. Die eine ist die Erziehung der Nutzer zu mehr Sicherheit bei der Kommunikation. Man muss die Leute etwa dazu motivieren, ihre Mails aktiv zu verschlüsseln. Das ist oft mit Mehraufwand verbunden. Vor allem, wenn die Empfänger nicht Teil des eigenen Netzwerks sind. Die zweite Herausforderung besteht darin, zu wissen, welche Kommunikationskanäle überhaupt genutzt und kontrolliert werden können. Das fängt bei Webmail-Angeboten an und geht bis zu Messengern auf den persönlichen Geräten. Mit beiden Bereichen hat man sich bisher eher technisch befasst und dabei den Menschen vergessen.

Welche Kanäle sind aktuell besonders im Visier von Cyber­kriminellen?

Man muss hier zwischen den Angriffsvektoren unterscheiden. Der einfache Betrüger, der auf schnelles Geld aus ist, setzt auf Phishing per E-Mail. Die Qualität der Nachrichten wird hier immer besser. Bei organisiertem Verbrechen und Spionage zielen die Täter mit anderen Methoden auf andere Dienste. Dort besteht das Ziel im Abhören von Instant-Messengern und Telefongesprächen. Das muss sich für den Angreifer aber auch lohnen, denn es ist technisch sehr aufwändig. Viele Dienste wie Whatsapp, iMessage oder Threema bieten mittlerweile eine End-to-End-Verschlüsselung an. Die Frage ist, ob man dieser vertraut.

Wie hat sich die Sicherheitslage in der letzten Zeit verändert?

In den letzten ein bis zwei Jahren hat sich das Bewusstsein des privaten Nutzers für sichere Kommunikation verstärkt. Er weiss um Methoden, wie er seine Kommunikation relativ einfach sicherer machen kann, und nutzt diese auch vermehrt. Das ist eine positive Entwicklung. Auch die digitalen Kommunikationsmittel sind sicherer geworden. Je mehr Menschen diese nutzen, desto genauer werden sie von Sicherheitsexperten unter die Lupe genommen und dementsprechend verbessert. Ein Beispiel hierfür ist die Schweizer Lösung Threema.

Gleichzeitig werden Angreifer auf Kanäle gelockt, wenn diese ­populärer werden.

Das stimmt, ist aber immer auch eine Frage des Aufwands. Ob Kriminelle einen Kanal ins Visier nehmen, hängt von der Möglichkeit zum Angriff, den Fähigkeiten des Angreifers und dem Aufwand im Verhältnis zur Motivation ab. Alles in allem dürften die Hürden höher geworden sein.

Welche Probleme entstehen dadurch, dass Mitarbeiter über ­Social Media oder Messenger miteinander und ausserhalb der Unternehmens-IT kommunizieren?

Es können zum einen Datenlecks entstehen, durch die Informationen aus dem Unternehmen an Unberechtigte gelangen. Und zum anderen können Mitarbeiter mittels Social Media unkontrolliert über Unternehmensthemen kommunizieren.

Wie realistisch ist das Szenario, dass eine Firma versucht, einem Mitbewerber zu schaden, indem sie seine Kommunikationssysteme lahmlegt?

Mir ist kein Fall bekannt, bei dem interne Kommunikationsservices zum Ziel von Angriffen wurden, auch wenn das Szenario interessant ist. Die für Unternehmen kritische Kommunikation geht primär nach aussen. Intern findet man meist eine andere Lösung. Aber wenn die Schnittstelle zur Aussenwelt, etwa durch eine Denial-of-Service-Attacke, blockiert ist, hat man ein Problem.

Was sagen Sie zur Lücke im E-Mail-Verschlüsselungsprotokoll PGP, die vor einigen Monaten bekannt wurde?

Die Lücke war primär für die Open-Source-Community relevant, da PGP dort oft verwendet wird. Unternehmen setzen stärker auf S/MIME. Die Schwachstelle konnte ausserdem relativ schnell mit einem Update behoben werden. Das Problem lag vielmehr darin, dass die Lücke lange unentdeckt blieb und dadurch Gelegenheit zum Ausnutzen bestand. Solche Fälle gibt es immer wieder. Firewall-Hersteller kämpfen beispielsweise alle paar Monate mit gröberen Lücken – und reagieren nicht immer so schnell wie die PGP-Entwickler.

Wie sicher sind Cloud-Lösungen, die bei der Kommunikation und Kollaboration in Unternehmen immer öfter zum Einsatz kommen?

Pauschale Aussagen sind hier schwierig. Bei Cloud-Anwendungen geht es vor allem um Vertrauen. Nutzer geben die Kontrolle über ein System in die Hände eines Anbieters und müssen sich darauf verlassen, dass der das gut macht. Ein grosser Cloud-Anbieter hat natürlich ganz andere Möglichkeiten, die Sicherheit zu gewährleisten, als ein KMU. Vereinfacht gesagt: Sicherheit skaliert sehr gut. Dazu kommt, dass beim Cloud-Anbieter ein enormer Reputationsschaden durch Sicherheitslücken droht. Dadurch ist er stark motiviert und auch fähig, seine Systeme sicher zu machen.

Welche Rolle spielt der Umstand, dass Unternehmen heute Cloud-Lösungen von vielen verschiedenen Anbietern nutzen?

Das ist ein Problem. Ich vergleiche Cloud-Lösungen heute mit dem früheren End-User-Computing. Einst haben sich Mitarbeiter einfach selbst IT-Systeme eingerichtet, wenn ihnen die Informatik des Unternehmens nicht weiterhalf. Heute findet diese Schatten-IT in der Cloud statt. Dadurch wandern Daten unkontrolliert nach aussen, ohne dass die IT-Abteilung davon weiss. Wer sich seine Cloud-Lösungen in Eigenregie zusammenklickt, achtet zuletzt auf die Sicherheit. Deshalb sperren viele Unternehmen aktiv die Nutzung von Diensten. Dass heute jede Plattform eigene Kommunikations-Tools anbietet, macht das Ganze nicht einfacher. Auch wenn sich ein Unternehmen für eine Lösung entscheidet: Sie können sicher sein, dass ihre Mitarbeiter noch andere nutzen.

Slack ist im Moment der Star der Collaboration-Tools. Wie beurteilen Sie es, wenn solche Anwendungen die ganze interne Kommunikation abwickeln und auch Dienste von Drittanbietern einbinden?

Slack ist der Elefant im Raum. Vor allem in der Start-up-Community nutzen es fast alle für die Arbeit, oftmals auch für die private Kommunikation. Viele Unternehmen haben das aber noch nicht mitbekommen. Dass man bei Slack auch andere Cloud-Dienste einbinden kann, verstärkt das Problem noch. Im schlimmsten Fall greifen Mitarbeiter auf Google Drive oder Dropbox über Slack zu, obwohl die IT diese Kanäle eigentlich dicht gemacht hat. So umgehen sie dann die Cybersecurity. Man muss darauf hoffen, dass die Anbieter von Plattformen wie Slack eine Kontrolle der Schnittstellen einbauen.

Eine neuere Entwicklung sind Tools, die Wissen im Unternehmen mittels Machine Learning an die Orte bringen wollen, wo es gebraucht wird (z.B. Starmind). Welches Potenzial haben solche Tools für die schädliche Nutzung?

Bei Wissenstools wie Starmind muss man sich immer auch überlegen, welche Informationen im Unternehmen frei zirkulieren sollten. Die künstliche Intelligenz sollte also auch in der Lage sein, zu kontrollieren, über welche Inhalte sich die Nutzer austauschen dürfen und über welche nicht. Starmind sammelt aus Prinzip alle möglichen Arten von Informationen. Das ist aus Sicht der Sicherheits durchaus risikobehaftet. Neue Methoden bringen neue Probleme.

Welche Aspekte sind im Hinblick auf die EU-DSGVO zu beachten?

Unternehmen müssen beim Datenschutz einen Mittelweg zwischen Verharmlosung und Überreaktion finden. Es gibt zwar das Bewusstsein, dass man auch die Kommunikation DSGVO-konform machen muss, man nimmt dies aber nicht wirklich ernst. Auf der anderen Seite gibt es Extrembeispiele, bei denen die Verordnung viel zu streng interpretiert wurde. Man sollte bei der Compliance keine halben Sachen machen, aber auch den Zweck der Übung nicht aus den Augen verlieren. Generell fehlen uns aber heute noch die Erfahrungswerte mit der EU-DSGVO.

Wie kann eine Sicherheitsstrategie für die Unternehmens­kommunikation den Faktor Mensch effektiv einbeziehen?

Das scheitert oft daran, dass man den Menschen eben nicht einbezieht. Dass man nicht mit dem Nutzer spricht, auf seine Probleme eingeht und schaut, wie er arbeitet. Ich sage den C-Level-Entscheidern heute: People, Process, Technology – und zwar in dieser Reihenfolge. Das heisst, man muss zuerst den Mitarbeitern verständlich machen, warum und wie sie sich um die Informationssicherheit kümmern sollten.

Wie geht das?

Als sehr erfolgreich hat sich erwiesen, den Mitarbeitern den privaten Nutzen einer Lösung aufzuzeigen, etwa eines sicheren Messengers. Dieser Buy-in ist viel wertvoller, als wenn man Kanäle einfach sperrt und keine Alternative bietet. Der heilige Gral der Information-Security lautet: So sicher wie möglich und so nutzerunfreundlich wie nötig. Das perfekte System ist hochsicher, ohne dass der Nutzer es merkt und dadurch zusätzlichen Aufwand hat.

Welche Lehren für die interne Kommunikation haben Sie aus Ihrer Tätigkeit als Sicherheitsexperte gezogen?

Am meisten beeindruckt mich die Fülle an Möglichkeiten, mit denen wir heute kommunizieren können. Die wirkt fast schon wieder kontraproduktiv, weil sie die IT-Sicherheit und auch die Nutzung verkomplizieren. Die Herausforderung besteht darin, sich auf eine Lösung zu einigen – ob im Unternehmen oder in der Schulklasse. Wenn einer aus der Reihe tanzt, fange ich an, Kompromisse einzugehen.

Was sind die grössten Fehler, die ein Unternehmen machen kann?

Erstens: Die Hausaufgaben nicht zu machen. Das heisst: Habe ich ein Inventar meiner IT? Kenne ich meine Prozesse? Weiss ich, welche Daten ich wo habe? Zweitens: Den Menschen und seine Use Cases zu vernachlässigen und stattdessen Technik um der Technik willen einzuführen. Nur weil ich etwas mit dem Internet verbinden kann, muss ich das nicht zwingend tun. Und drittens: Sich im Management nicht mit Informationssicherheit zu beschäftigen. Oftmals sind die, die über Risiken entscheiden, ziemlich weit vom Tagesgeschäft entfernt. Heute muss sich aber der C-Level aktiv mit Technologierisiken auseinandersetzen, auch wenn das ein komplexes und schwer quantifizierbares Thema ist. Informationssicherheit zu unterschätzen und nicht verstehen zu wollen, das ist wohl der grösste Fehler, den ein C-Level-Entscheider machen kann.

Webcode
DPF8_117637

Kommentare

« Mehr