- Interview
- - secure.
5 Fragen, 5 Antworten mit Andreas Koch
Andreas Koch, Senior Manager Secure Productivity bei adesso
Welche Security-Komponenten halten Sie für unabdingbar, um künftig ein Höchstmaß an Cyber-Resilienz und Ausfallsicherheit zu gewährleisten? Welche davon werden gerne übersehen oder unterschätzt?
Unabdingbar geworden ist vor allem die ganzheitliche Sicht auf die IT-Landschaft, denn letztere hat sich durch die Cloud und jetzt durch die KI gravierend verändert. Durch die public Cloud haben wir sicherheitstechnisch eine völlig andere Situation als mit rechenzentrumszentrierten IT-Architekturen. Das Konzept der Perimetersicherheit funktioniert heute nicht mehr. Moderne Security-Architekturen basieren auf dem Zero-Trust-Prinzip und hierfür gibt es inzwischen gute Frameworks, die im Detail beschreiben, wie die Umsetzung dieses Konzepts aussehen muss.
Andererseits müssen wir berücksichtigen, dass in den Unternehmen historisch gewachsene Security-Produkte im Einsatz sind. Viele davon arbeiten nicht vernetzt, also nicht in Abstimmung mit der restlichen Sicherheitsinfrastruktur. Was wir aber heute auf keinen Fall brauchen können, sind Einzelsilos in der Verteidigung, denn dadurch kommt die Reaktion auf einen Angriff nicht in der Geschwindigkeit, die heute nötig ist, um einen Angriff effektiv abzuwehren.
Wichtig ist auch zu verstehen, dass wir bei IT-Security nicht einfach über Technik sprechen, die irgendwo in der IT agiert, sondern über das Zusammenspiel zwischen Menschen, Prozessen und Technologien. Auch sollte klar sein, dass einer der größten Risikofaktoren der Mensch ist und dass deshalb auch die Belegschaft mitgenommen werden muss. Deshalb müssen wir Security ganzheitlich als Bestandteil der Unternehmensstrategie verstehen, die im gesamten Unternehmen verankert ist.
Wie verändert KI den Bereich der Cybersicherheit und wie sollte man sich am besten darauf vorbereiten?
Hier müssen wir zunächst unterscheiden zwischen KI als Werkzeug im Unternehmen, als Bedrohung von außen, und von KI zur Abwehr von Angriffen auf die IT-Infrastruktur. KI ist ein tolles Werkzeug für die produktive Arbeit wenn die Mitarbeiter gelernt haben, was sie von KI erwarten können und wie sie mit Ergebnissen umgehen, die sie von der KI bekommen. Dabei wird aber häufig übersehen, dass viele Unternehmen aus Sicht der IT-Sicherheit noch nicht auf den Einsatz von KI vorbereitet sind. Denn dadurch können neue Probleme wie beispielsweise Datenverluste entstehen, weil die Berechtigungssysteme nicht darauf eingestellt sind. Datenklassifizierung und die Anpassung von Zugriffsberechtigungen können zwar aufwändig sein, aber man kann niemandem empfehlen, KI scharfzuschalten, ohne diese Dinge geregelt zu haben.
Auf der anderen Seite haben wir es immer mehr mit KI-gestützten Angriffsszenarien zu tun. Dadurch hat sich die Angriffsgeschwindigkeit und Angriffsgenauigkeit massiv erhöht. Das hießt: werden KI-gestützte Techniken für Angriffe eingesetzt, steigt die Wahrscheinlichkeit eines erfolgreichen Angriffs enorm an. Um hier in einer angemessenen Geschwindigkeit reagieren zu können, müssen wir also auch in der Verteidigung KI zum Einsatz bringen. Beim Schutz von Cloud-Umgebungen zum Beispiel profitieren wir davon, dass öffentliche Clouds wie die von Microsoft durch die Auswertung von Trillionen von Events dazulernen und dieses Wissen zur Gefahrenprävention oder der Abwehr von Angriffen genutzt werden kann.
Unternehmen wurden in den letzten Jahren mit immer mehr regulatorischen Standards wie NIS2, DORA, CRA, AI Act, Data Act, etc. konfrontiert. Wie sollten sich Unternehmen strukturell aufstellen, um langfristig die Rechtskonformität zu gewährleisten?
Zunächst muss man verstehen, dass diese Regularien nicht entstanden sind, um Leute zu ärgern. Vielmehr geht es darum, unsere Wirtschaft und unsere Unternehmen abzusichern, und sie beinhalten lediglich Mindestanforderungen, die der heutigen Zeit entsprechen. Deswegen haben diese Standards die gesamte Lieferkette im Blick. Unternehmen sollten sich freiwillig damit beschäftigen, weil die Richtlinien letztlich dazu dienen, ihre geschäftlichen Risiken zu minimieren. Wenn ich als Unternehmen von einer Richtlinie wie NIS2 nicht direkt betroffen bin, aber innerhalb einer Lieferkette agiere, in der NIS2 gilt, bin ich gut beraten, die Richtlinie umzusetzen, um meine Geschäftsbeziehungen aufrechterhalten zu können.
Eine der Disziplinen, die bei NIS2 von der IT verlangt wird, ist Risikomanagement. Dabei muss die IT einzelne Geschäftsprozesse ganzheitlich betrachten und die IT-Komponenten identifizieren, die den jeweiligen Prozess stützen, um die daraus resultierenden Risiken abzuschätzen. Das wird manchmal nicht sauber durchdekliniert, denn die IT ist es gewohnt, Security durch die Perspektive eines Vorfalls zu sehen und sich in Sicherheit zu wähnen, wenn sie keine Verletzungen wahrnimmt. Andererseits gibt es realistischer Weise nur zwei Arten von Vorfällen, die man direkt mitbekommt, nämlich DDoS-Angriffe und Ransomware, während Datenabflüsse oder die Manipulation von Produktionsmaschinen oft monatelang unbemerkt bleiben. Ich hoffe, dass die neuen Compliance-Vorschriften eine Bewusstseinsveränderung bewirken und dass akzeptiert wird, dass Security eine strategische Säule des Unternehmens ist, um vertrauensvoll im Markt agieren zu können.
Wie können am besten die Gefahren, die durch die Integration der IT mit dem Produktionsbetrieb (IT/OT-Integration) entstehen, abgewendet werden?
Die strikte Trennung von IT und Produktionsbetrieb ist heute kaum noch möglich. Unternehmen betreiben beispielsweise Fernwartung oder Business Analytics, um ihre Just-in-Time-Produktion steuern. Die Produktion hat sich mit der Annäherung an die IT bisher schwergetan, weil sie zum Teil ganz andere Anforderungen hat, zum Beispiel dass eine Produktionslinie nie ausfallen darf. Ein Ausfall von einer halben Stunde kann bei der Verwaltung ärgerlich sein, in der Produktion ist er ungleich teurer.
Deswegen muss die IT/OT-Integration sehr sorgfältig angegangen werden, denn sie bringt mit sich, dass sich die OT-Seite mehr öffnen muss. Das macht eine Segmentierung der Netze mit gut abgesicherten Schnittstellen nötig. Die Herausforderung besteht darin, einerseits die Produktionsmaschinen für die IT sichtbar zu machen, andererseits die Betriebsstabilität der OT nicht zu gefährden. Hier gibt es häufig viele alte Systeme, die mit nicht mehr von den Herstellern supporteter Software betrieben werden, zum Beispiel Windows 95. Das Überwachen dieser Systeme mit dem Ziel Unregelmäßigkeiten zu erkennen, muss hier von aussen erfolgen (z.B. durch das Abgreifen von Informationen an Netzknoten) durch sog. Agentless Monitoring, da eine direkte Überwachung auf den Systemen in der Regel nicht möglich ist.
IT-Sicherheit wird immer komplexer und diese Sparte ist vom Fachkräftemangel besonders betroffen. In der Konsequenz wenden sich immer mehr Unternehmen an Managed Services Provider. Welche Bereiche der IT-Sicherheit eignen sich Ihrer Ansicht nach besonders für eine Auslagerung, welche nicht?
Was sich gut auslagern lässt, ist das Security Operations Center (SOC), vor allem für mittelständische Unternehmen. Auch die Security Operations der eigenen Sicherheitsinfrastruktur lassen sich auslagern. Wichtig ist dabei, im eigenen Unternehmen so viel Fachkompetenz zu behalten, dass man die Zusammenhänge immer noch versteht – wenn nicht in allen Einzelheiten, so zumindest im Sinne der Orchestrierung der verschiedenen Maßnahmen. Das heißt, ich muss die Themen Governance, Risk Management & Compliance (GRC), die Zero-Trust-Architektur sowie den Betrieb und alles was mit Defense bzw. Response zu tun hat, ganzheitlich betrachten und im Griff behalten.