Das Sichtbarmachen der Sicherheitsanforderungen ist oft ein schwieriges Thema.
Sie führen beide «Sicherheit» in ihrer Berufsbezeichnung. Wie würden sie ihre Aufgabe in einem Satz beschreiben?
P. Müntener: Meine Aufgabe ist die zentrale Informationssicherheit im Kanton St.Gallen – im Spannungsfeld zwischen Kunden in den kantonalen und kommunalen Behörden und den verschiedenen Leistungserbringern.
M. Dobler: Ich sehe mich als Bindeglied zwischen Management und Technik.
Ich muss zwischen diesen beiden Stellen vermitteln, damit Risiken verstanden, richtig adressiert und auch Sicherheitsmassnahmen umgesetzt werden.
Mit welcher Herausforderung werden sie beim Übersetzen dieser technischen Sprache am häufigsten konfrontiert?
M. Dobler: Aus meiner Sicht ist es diese Vermittlerrolle: Mit dem Management rede ich in Risiken, Schadensausmass, Eintrittswahrscheinlichkeiten. Mit der Technik in Regeln, Accounts, technischen Erfordernissen.
P. Müntener: Ich sehe mich manchmal als eine Art Maler, der einen Bau- oder Architekturplan so visualisiert, dass der Kunde es verstehen kann. In der Zusammenarbeit mit Michael machen wir eine technische Zeichnung, für die Kunden zeichne ich «Blumenwiesen» mit allem was da kreucht und fleucht und für ihn von Belang sein könnte. Das Sichtbarmachen der Sicherheitsanforderungen ist oft ein schwieriges Thema.
Die Medienberichte des vergangenen Sommers vor Augen, hat man den Eindruck, dass Cyber-Angriffe auf Unternehmen in der Schweiz zugenommen haben. Müssen wir in Zukunft verstärkt mit solchen Fällen rechnen?
M. Dobler: Das wird sich häufen. Es ist der Trend immer schneller Geräte wie Smartphones und Pads auf den Markt zu werfen mit teilweise unreifer Software. Daneben haben wir eine CPU-Architektur – die nicht mehr angefasst worden ist, seit man sie erfunden hat – mit bekannten Schwachstellen. Ich habe also unreife Software auf verletzlicher Hardware. Diese Kombination ermöglicht es Angreifern, Angriffe zu fahren.
P. Müntener: Einerseits gibt es immer mehr Software und Hardware, die verletzlicher sind. Zudem sind die Geräte immer mehr vernetzt, was mit der 5G-Technologie noch stärker zunehmen wird. Dies erhöht einfach das Potential für gefährliche Angriffe. Ausserdem ist es ein lukratives Geschäft. Es ist zum Business-Modell geworden und offensichtlich verdient man viel Geld damit.
Wenn solche Cyber-Angriffe immer mehr und immer ausgeklügelter werden, dann stellt sich die Frage: Was kann ich jetzt dagegen machen? Wie kann ich mein Unternehmen dagegen schützen?
M. Dobler: Einerseits kann ich technisch aufrüsten: Ich kann mit einem SOC/SIEM alle meine Systeme und Anwendungen genauer betrachten, Logfiles auswerten, mein Netzwerk kennen und so auch Anomalien erkennen. Andererseits kann ich unternehmensintern mit Awareness-Kampagnen arbeiten, wie beispielsweise Phishing-Tests, Schulungen, Quizzes. Und drittens sich vorbereiten, was man macht, wenn es passiert. Denn passieren wird es. Die Frage ist nicht ob, sondern wann es einen trifft.
P. Müntener: Awareness ist etwas vom Wichtigsten, denn der Mensch ist nach wie vor das schwächste Glied. In die Sicherheitstechnologiekann man je nach Risikoabschätzung mehr oder weniger Geld investieren. Aber häufig wird viel zu wenig in die Mitarbeitenden investiert. Letzthin hat mir zwar ein Mitarbeiter gesagt, er glaube er sei jetzt übersensibilisiert. Aktuelle Ereignisse zeigen, dass man nie zu viel sensibilisiert hat. Es gibt Leute, die sind sehr vorsichtig im Umgang mit sicherheitsrelevanten Informationen und andere, die gehen mit ihren persönlichen Daten und teilweise auch mit Geschäftsdaten eher etwas unbedachter um.
Der Perimeter, die Mauer, bröckelt, verlagert sich in Richtung der einzelnen Services. Ich muss mich auf den Schutz der Informationen fokussieren.
Und ganz konkrete Best Practices? Was sind die drei wichtigsten Sachen, die eine Verwaltung oder ein Unternehmen beherzigen kann, um gegen Cyber-Angriffe gewappnet zu sein?
P. Müntener: Sensibilisierte Mitarbeitende, gut gesicherte Daten, eine dokumentierte Infrastruktur und ein gutes Passwort-Management. Einen Basisgrundschutz mit Malwarescanner-Software – aktualisierte Software generell, nicht dass man Schwachstellen über Jahre hinweg mit sich trägt. Sich über seine Prozesse bewusst sein und eine Notfall-Checkliste in der Hand zu haben – denn im Ernstfall hat man dafür keine Zeit mehr, da ist man mit anderen Sachen beschäftigt. Dann ist man schon mal recht gut abgedeckt.
M. Dobler: Das erste ist sicher: Misstrauisch sein. Nicht alles glauben. Zweitens: Wenn es irgendwie geht sein Backup offline halten, so dass nicht einfach darauf zugegriffen werden kann. Zuletzt: Software prüfen. Braucht es sie wirklich und ist sie wirklich aktuell. Mit diesem Dreier-Set hat man sicher eine gute Basis.
Mit welchen aktuellen Trends in der IT-Security beschäftigen sie sich? Ist Cloud ein Thema?
M. Dobler: Die Cloud ist ein Thema und verändert IT-Sicherheitskonzepte. Bisher sind wir davon ausgegangen: Ich habe eine Burg, ich habe hohe, dicke Mauern. Das Leben spielt sich fast ausschliesslich drinnen ab. Und ich kontrolliere, wer reinkommt und wer rausgeht und was er mitnimmt. Wenn man jetzt in die Welt hinausschaut, dann sieht man, dass dies heute schon nicht mehr Bestand hat: eigene Service werden mit Cloud Services ergänzt oder ersetzt, ich habe nicht mehr alles selber unter Kontrolle, trage aber die Verantwortung. Der Perimeter, die Mauer, bröckelt, verlagert sich in Richtung der einzelnen Services. Ich muss mich auf den Schutz der Informationen fokussieren, z. B. müssen Daten ausserhalb der Mauer verschlüsselt werden und dürfen nur innerhalb bearbeitbare und verständliche Informationen sein.
P. Müntener: Die Cloud ist sicher ein zunehmend wichtigeres Thema. Dann auch Bring-Your-Own-Device. Hier gibt es auch Lösungen von Abraxas, die wir teilweise einsetzen, um solche Geräte sicher zu betreiben. Mit der 5G-Technologie wird es noch wichtiger werden: Jederzeit und überall arbeiten zu wollen, Mobilität zu haben, das spüren wir auch bei unseren Mitarbeitenden. Im Hinblick auf die bestehenden Gefahren aus dem Cyberraum wird es unerlässlich, erkennen zu können, wenn im Netzwerk Anomalien auftreten. Eine gute Lösung für das Monitoring und die Analyse von Sicherheit-Events braucht es um cyber-resilienter zu werden.
Ihre Überlegungen gehen in Richtung eines SOC, eines Security Operations Center…
P. Müntener: Ja. So etwas kann man nicht ausser Acht lassen. In Zukunft wird man es sich im Hinblick auf Cybergefahren nicht leisten können, auf einem oder mehreren Augen blind zu sein. Das wird sicher etwas sein, was wir genauer prüfen wollen.
Was ist aus der Perspektive von Abraxas das Spezielle an so einem Service?
M. Dobler: In einem SOC/SIEM-Service habe ich alle Log-Files zentral und eine Intelligenz, die mir das auswerten kann, so wie ich das gerne hätte. Was mir ermöglicht, Angriffe, bereits vollzogene Hacks oder Eindringlinge im eigenen Netzwerk zu detektieren. Das ist etwas, was ich sonst nicht kann.
Wie gehen Sie mit dem Spannungsfeld Sicherheit und Kosten um?
P. Müntener: Es ist eine ökonomische Frage basierend auf einer Risikoabwägung. Wie viel Geld kann und will man ausgeben. Wenn die Massnahmen teurer sind als ein potentieller Schaden, sollte man vielleicht doch nicht investieren. Gegenüber dem Management sind Risiken aufzuzeigen, zu bewerten, zu kommunizieren. Und dann das zu machen, was wirklich sinnvoll ist. Deshalb ist auch ein Partner wichtig, der uns die Möglichkeiten aufzeigt, einen planbaren Pfad über drei bis fünf Jahre auslegt und uns dann auf diesem Weg begleitet.
M. Dobler: Grundsätzlich möchte ich immer möglichst viel Sicherheit und möglichst viele Massnahmen umgesetzt haben. Allerdings – wenn ich mich mit meinem Masterplan durchsetzen würde – könnten ganz viele Leute wahrscheinlich nicht mehr so arbeiten, wie sie sich es gewohnt sind, es wäre einiges komplizierter, unsere Services wären teurer und wir hätten weniger Chancen am Markt. Soviel als Simulation. In Realität sagt der Servicemanager: du machst meinen Service zu teuer. Dann muss man sich auf ein vernünftiges Mass einigen. Es ist ja auch nicht die Idee, dass man jedes Risiko reduziert. Jedem Risiko steht immer eine Chance gegenüber, das darf man nicht vergessen. Wenn ich alle Risiken minimiere oder eliminiere, dann habe ich ja auch keine Chancen.
