Für die Bereitstellung des bestmöglichen Service verwenden wir Cookies. Mit der Nutzung der Website erklären Sie sich mit dem Einsatz einverstanden. Zur Datenschutzerklärung

«Sicherheit ist ein gutes Gefühl im Bauch»

Gregor Patorski

Beides sind Profis, was IT-Security angeht: Peter Müntener, Sicherheitsbeauftragter des Kantons St.Gallen, und Michael Dobler, Chief Information Security Officer bei Abraxas. Im Doppel-Interview suchten wir vergebens nach ihren Sicherheitslücken - in der Langfassung des Interviews Online ausführlicher und vergeblicher.

Zwei Profis, was IT-Security angeht: Peter Müntener (l.) und Michael Dobler (r.).
Das Sichtbarmachen der Sicherheitsanforderungen ist oft ein schwieriges Thema.
Peter Müntener

Sie führen beide «Sicherheit» in ihrer Berufsbezeichnung. Wie würden sie ihre Aufgabe in einem Satz beschreiben?

P. Müntener: Meine Aufgabe ist die zentrale Informationssicherheit im Kanton St.Gallen – im Spannungsfeld zwischen Kunden in den kantonalen und kommunalen Behörden und den verschiedenen Leistungserbringern.

M. Dobler: Ich sehe mich als Bindeglied zwischen Management und Technik.

Ich muss zwischen diesen beiden Stellen vermitteln, damit Risiken verstanden, richtig adressiert und auch Sicherheitsmassnahmen umgesetzt werden.

Mit welcher Herausforderung werden sie beim Übersetzen dieser technischen Sprache am häufigsten konfrontiert?

M. Dobler: Aus meiner Sicht ist es diese Vermittlerrolle: Mit dem Management rede ich in Risiken, Schadensausmass, Eintrittswahrscheinlichkeiten. Mit der Technik in Regeln, Accounts, technischen Erfordernissen.

P. Müntener: Ich sehe mich manchmal als eine Art Maler, der einen Bau- oder Architekturplan so visualisiert, dass der Kunde es verstehen kann. In der Zusammenarbeit mit Michael machen wir eine technische Zeichnung, für die Kunden zeichne ich «Blumenwiesen» mit allem was da kreucht und fleucht und für ihn von Belang sein könnte. Das Sichtbarmachen der Sicherheitsanforderungen ist oft ein schwieriges Thema.

Peter Müntener

Die Medienberichte des vergangenen Sommers vor Augen, hat man den Eindruck, dass Cyber-Angriffe auf Unternehmen in der Schweiz zugenommen haben. Müssen wir in Zukunft verstärkt mit solchen Fällen rechnen?

M. Dobler: Das wird sich häufen. Es ist der Trend immer schneller Geräte wie Smartphones und Pads auf den Markt zu werfen mit teilweise unreifer Software. Daneben haben wir eine CPU-Architektur – die nicht mehr angefasst worden ist, seit man sie erfunden hat – mit bekannten Schwachstellen. Ich habe also unreife Software auf verletzlicher Hardware. Diese Kombination ermöglicht es Angreifern, Angriffe zu fahren.

P. Müntener: Einerseits gibt es immer mehr Software und Hardware, die verletzlicher sind. Zudem sind die Geräte immer mehr vernetzt, was mit der 5G-Technologie noch stärker zunehmen wird. Dies erhöht einfach das Potential für gefährliche Angriffe. Ausserdem ist es ein lukratives Geschäft. Es ist zum Business-Modell geworden und offensichtlich verdient man viel Geld damit.

Wenn solche Cyber-Angriffe immer mehr und immer ausgeklügelter werden, dann stellt sich die Frage: Was kann ich jetzt dagegen machen? Wie kann ich mein Unternehmen dagegen schützen?

M. Dobler: Einerseits kann ich technisch aufrüsten: Ich kann mit einem SOC/SIEM alle meine Systeme und Anwendungen genauer betrachten, Logfiles auswerten, mein Netzwerk kennen und so auch Anomalien erkennen. Andererseits kann ich unternehmens-intern mit Awareness-Kampagnen arbeiten, wie beispielsweise Phishing-Tests, Schulungen, Quizzes. Und drittens sich vorbereiten, was man macht, wenn es passiert. Denn passieren wird es. Die Frage ist nicht ob, sondern wann es einen trifft.

P. Müntener: Awareness ist etwas vom Wichtigsten, denn der Mensch ist nach wie vor das schwächste Glied. In die Sicherheitstechnologiekann man je nach Risikoabschätzung mehr oder weniger Geld investieren. Aber häufig wird viel zu wenig in die Mitarbeitenden investiert. Letzthin hat mir zwar ein Mitarbeiter gesagt, er glaube er sei jetzt übersensibilisiert. Aktuelle Ereignisse zeigen, dass man nie zu viel sensibilisiert hat. Es gibt Leute, die sind sehr vorsichtig im Umgang mit sicherheitsrelevanten Informationen und andere, die gehen mit ihren persönlichen Daten und teilweise auch mit Geschäftsdaten eher etwas unbedachter um.

Der Perimeter, die Mauer, bröckelt, verlagert sich in Richtung der einzelnen Services. Ich muss mich auf den Schutz der Informationen fokussieren.
Michael Dobler

Und ganz konkrete Best Practices? Was sind die drei wichtigsten Sachen, die eine Verwaltung oder ein Unternehmen beherzigen kann, um gegen Cyber-Angriffe gewappnet zu sein?

P. Müntener: Sensibilisierte Mitarbeitende, gut gesicherte Daten, eine dokumentierte Infrastruktur und ein gutes Passwort-Management. Einen Basisgrundschutz mit Malwarescanner-Software – aktualisierte Software generell, nicht dass man Schwachstellen über Jahre hinweg mit sich trägt. Sich über seine Prozesse bewusst sein und eine Notfall-Checkliste in der Hand zu haben – denn im Ernstfall hat man dafür keine Zeit mehr, da ist man mit anderen Sachen beschäftigt. Dann ist man schon mal recht gut abgedeckt.

M. Dobler: Das erste ist sicher: Misstrauisch sein. Nicht alles glauben. Zweitens: Wenn es irgendwie geht sein Backup offline halten, so dass nicht einfach darauf zugegriffen werden kann. Zuletzt: Software prüfen. Braucht es sie wirklich und ist sie wirklich aktuell. Mit diesem Dreier-Set hat man sicher eine gute Basis.

Michael Dobler

Mit welchen aktuellen Trends in der IT-Security beschäftigen sie sich? Ist Cloud ein Thema?

M. Dobler: Die Cloud ist ein Thema und verändert IT-Sicherheitskonzepte. Bisher sind wir davon ausgegangen: Ich habe eine Burg, ich habe hohe, dicke Mauern. Das Leben spielt sich fast ausschliesslich drinnen ab. Und ich kontrolliere, wer reinkommt und wer rausgeht und was er mitnimmt. Wenn man jetzt in die Welt hinausschaut, dann sieht man, dass dies heute schon nicht mehr Bestand hat: eigene Service werden mit Cloud Services ergänzt oder ersetzt, ich habe nicht mehr alles selber unter Kontrolle, trage aber die Verantwortung. Der Perimeter, die Mauer, bröckelt, verlagert sich in Richtung der einzelnen Services. Ich muss mich auf den Schutz der Informationen fokussieren, z. B. müssen Daten ausserhalb der Mauer verschlüsselt werden und dürfen nur innerhalb bearbeitbare und verständliche Informationen sein.

P. Müntener: Die Cloud ist sicher ein zunehmend wichtigeres Thema. Dann auch Bring-Your-Own-Device. Hier gibt es auch Lösungen von Abraxas, die wir teilweise einsetzen, um solche Geräte sicher zu betreiben. Mit der 5G-Technologie wird es noch wichtiger werden: Jederzeit und überall arbeiten zu wollen, Mobilität zu haben, das spüren wir auch bei unseren Mitarbeitenden. Im Hinblick auf die bestehenden Gefahren aus dem Cyberraum wird es unerlässlich, erkennen zu können, wenn im Netzwerk Anomalien auftreten. Eine gute Lösung für das Monitoring und die Analyse von Sicherheit-Events braucht es um cyber-resilienter zu werden.

Ihre Überlegungen gehen in Richtung eines SOC, eines Security Operations Center…

P. Müntener: Ja. So etwas kann man nicht ausser Acht lassen. In Zukunft wird man es sich im Hinblick auf Cybergefahren nicht leisten können, auf einem oder mehreren Augen blind zu sein. Das wird sicher etwas sein, was wir genauer prüfen wollen.

Was ist aus der Perspektive von Abraxas das Spezielle an so einem Service?

M. Dobler: In einem SOC/SIEM-Service habe ich alle Log-Files zentral und eine Intelligenz, die mir das auswerten kann, so wie ich das gerne hätte. Was mir ermöglicht, Angriffe, bereits vollzogene Hacks oder Eindringlinge im eigenen Netzwerk zu detektieren. Das ist etwas, was ich sonst nicht kann.

Wie gehen Sie mit dem Spannungsfeld Sicherheit und Kosten um?

P. Müntener: Es ist eine ökonomische Frage basierend auf einer Risikoabwägung. Wieviel Geld kann und will man ausgeben. Wenn die Massnahmen teurer sind als ein potentieller Schaden, sollte man vielleicht doch nicht investieren. Gegenüber dem Management sind Risiken aufzuzeigen, zu bewerten, zu kommunizieren. Und dann das zu machen, was wirklich sinnvoll ist. Deshalb ist auch ein Partner wichtig, der uns die Möglichkeiten aufzeigt, einen planbaren Pfad über drei bis fünf Jahre auslegt und uns dann auf diesem Weg begleitet.

M. Dobler: Grundsätzlich möchte ich immer möglichst viel Sicherheit und möglichst viele Massnahmen umgesetzt haben. Allerdings – wenn ich mich mit meinem Masterplan durchsetzen würde – könnten ganz viele Leute wahrscheinlich nicht mehr so arbeiten, wie sie sich es gewohnt sind, es wäre einiges komplizierter, unsere Services wären teurer und wir hätten weniger Chancen am Markt. Soviel als Simulation. In Realität sagt der Servicemanager: du machst meinen Service zu teuer. Dann muss man sich auf ein vernünftiges Mass einigen. Es ist ja auch nicht die Idee, dass man jedes Risiko reduziert. Jedem Risiko steht immer eine Chance gegenüber, das darf man nicht vergessen. Wenn ich alle Risiken minimiere oder eliminiere, dann habe ich ja auch keine Chancen.

Somit muss auf die Balance zwischen Sicherheitsmass-nahmen und Nutzerfreund-lichkeit geachtet werde. Umgeht der Benutzer die Massnahmen, hat keiner gewonnen.
Michael Dobler

Ein weiteres Spannungsfeld ist Sicherheit und Nutzerfreundlichkeit…

P. Müntener: Sicherheit schränkt den Benutzenden teilweise auch ein. Sicherheit wird oft als mühsam empfunden. Ich denke an Themen wie Webaccess oder E-Mail auf dem Handy. Wir könnten hier eine grössere Sicherheit schaffen, wenn wir hier 2-Faktoren-Authentifizierung einsetzen würden. Technisch ist es relativ einfach umzusetzen aber für den Benutzer sind es zwei, drei Klicks mehr und das behindert ihn unter Umständen in seinem Komfort.

M. Dobler: Wenn die Sicherheit den Benutzer und dessen Arbeit zu stark einschränkt, dann sucht sich der Benutzer einen Weg, um die Sicherheitsmassnahmen zu umgehen. Somit muss auf die Balance zwischen Sicherheitsmassnahmen und Nutzerfreundlichkeit geachtet werde. Umgeht der Benutzer die Massnahmen, hat keiner gewonnen.

Was erwarten Sie von der Abraxas als Partner?

P. Müntener: Gute Services zu marktentsprechenden Preisen sowie ein proaktives, unkompliziertes und kundenorientiertes Handeln. All das muss Hand in Hand gehen. Und schlussendlich muss ich dem Partner vertrauen können, dass er seinen Job, den er im Hintergrund macht, gut macht.

Was wünschen Sie sich in der Zusammenarbeit mit Kunden?

M. Dobler: Ich würde mich gern mit mehr Kunden austauschen können, so wie wir das beispielsweise mit dem Kanton St. Gallen haben, wo wir sehr offen über Sicherheit und Herausforderungen reden. Das hilft auch im Verständnis für den Kunden. Für uns ist vielleicht ein System einfach nur ein System unter vielen, aber es könnte der Lebensnerv des Kunden sein. Das will ich stärker merken. Diese Erkenntnis hilft beim Definieren und Gewichten von Risiken und Massnahmen.

P. Müntener: Dieser offene Austausch ist wichtig. Einen Sparringpartner zu haben auf der anderen Seite, jemanden herausfordern zu können: «Ist das nicht ein Problem? Können wir da nicht miteinander etwas verbessern?» Hier habe ich mit Abraxas sehr gute Erfahrungen gemacht und das schätze ich natürlich.