Die Zeiten, in denen Hacker nur internationale Konzerne ins Visier nahmen, sind längst vorbei. KMU, Privatpersonen sowie Behörden finden sich heute ebenso im Fadenkreuz wieder. Welche Auswirkungen hat dies auf eine Gesellschaft, die privat und beruflich immer mehr in der digitalen Sphäre unterwegs ist? Und was müssen die grossen Tech-Anbieter tun, um mit ihren Produkten den sich verändernden Sicherheitsansprüchen zu genügen?
Interview mit Roger Halbheer, Chief Security Advisor bei Microsoft
Roger Halbheer, das Thema IT- und Daten-Sicherheit wird in einer zunehmend digitalisierten Welt immer wichtiger. Welches sind Ihres Erachtens die grössten Stolpersteine für Unternehmen, wenn es um Cyber-Security geht?
Wir stehen heute an einem Punkt, an dem wir sozusagen das «Erwachsenwerden» der IT erleben. Bisher traf man vor allem in KMU häufig die Situation an, dass jemand aus dem Team quasi «nebenamtlich» noch die IT unter sich hatte. Hier lässt sich nun verstärkt ein Wandel feststellen: Immer mehr Unternehmen machen den nächsten Schritt hin zu einer professionellen IT. Das ist auch notwendig, denn wie unter anderem die zunehmenden Ransomware-Fälle exemplarisch aufzeigen, ist die Gegenseite hochprofessionell aufgestellt. Dieses Ungleichgewicht müssen wir beheben. Wie einfach oder schwierig sich dies in der Praxis gestaltet, hängt direkt mit dem Know-how der jeweiligen Firma zusammen. Gängige Stolpersteine liegen im Vernachlässigen von grundlegenden Sicherheitsaspekten, wenn etwa das System oder die Benutzer-Authentifizierung nicht regelmässig upgedatet wird. Denn beim Grossteil der erfolgreichen Angriffe handelt es sich gar nicht um hochkomplexe Attacken. Vielmehr gelingen sie, weil IT-Sicherheit nicht zum Kerngeschäft der betroffenen User gehört. Hinzu kommt, dass das Gefährdungspotenzial vielerorts noch generell unterschätzt wird.
Warum denken Sie, ist das der Fall?
Lange lebten vor allem KMU in dem Glauben, dass ihr Betrieb für Cyberattacken nicht genügend attraktiv wäre. «Von uns will ja niemand etwas», lautete der Tenor. Doch diese Zeiten sind vorbei: «Human-Operated-Ransomware-Angriffe» werden gezielt auf unterschiedlichste Marktteilnehmer und Organisationen gerichtet. Die Hackerattacke auf die Gemeinde Rolle VD, die Ende August bekanntgeworden war, ist dafür ein Paradebeispiel. Jeder und jede kommt als Opfer eines Angriffs in Frage.
Vereinfacht gesagt stehen also professionelle Hacker KMU gegenüber, die in Sachen IT-Sicherheit erst langsam aufholen. Wird sich der technologische Rückstand jemals ganz ausgleichen lassen?
Da bin ich absolut zuversichtlich. Doch damit das funktionieren kann, müssen Unternehmen das Thema «Sicherheit» in die Hände der Profis legen. Einer der Gründe, warum ich von meiner letzten Anstellung als CISO (Chief Information Security Officer) zu Microsoft zurückgekehrt bin, hängt mit genau dieser Erkenntnis zusammen.
Welchen Einfluss hat demnach der Sicherheitsgedanke auf die Produkte und Dienstleistungen eines Tech-Anbieters wie Microsoft?
Einen wesentlichen, wobei das Kunden-Feedback für uns absolut zentral ist. Wir halten konstanten Kontakt und gelangen so ständig zu neuen Einsichten. Diese Rückmeldungen sowie weitere Erkenntnisse fliessen laufend in unseren Planungszyklus mit ein. Dieser umfasst einen Zeithorizont von 18 Monaten, der in drei sechsmonatige Blöcke unterteilt ist. Den ersten Block planen wir sehr detailliert, hier besteht eine konkrete Roadmap. Der nächste Block ist ebenfalls noch relativ klar umrissen. Der dritte Block wiederum, und damit der Zeitraum der letzten sechs Monate, befindet sich noch in einer Konzept-Phase. Dieses Planungsvorgehen hat sich bewährt, da es uns eine konkrete Stossrichtung vorgibt, ohne uns dabei in unserer Agilität einzuschränken.
Wie genau kommen Sie zu den Kundeninformationen beziehungsweise -daten bezüglich Sicherheit – und wie werten Sie diese aus?
Da gibt es verschiedene Ansätze. Ein erprobter Weg besteht etwa darin, einen neuen Service zu lancieren und dann zu analysieren, welche Usergruppen diesen wie nutzen. Dadurch gewinnen wir anonyme Nutzerdaten, die uns neue Einsichten liefern. In Bezug auf Sicherheitshandlungen sammeln wir viel Telemetrie, unter anderem aus unseren KMU-, B2B-, B2C- sowie XBox-Umgebungen. Dort können wir beispielsweise eruieren, wie sich Userinnen und User für die verschiedenen Services anmelden und ob Anomalien bei diesen Vorgängen auftauchen. Hierfür setzen wir auch auf künstliche Intelligenz sowie Machine Learning.
Sicherheit wird von der Userschaft verlangt, aber diese steht oft der Nutzerfreundlichkeit im Weg. Ein Dilemma?
Ich würde es mehr als Risikoabwägung bezeichnen – wie letztlich alles im Leben. Wir bemühen uns, den Security-Aspekt für die Endbenutzer:innen so unsichtbar wie möglich zu machen, ohne dadurch die Sicherheit zu beschneiden. Gleichzeitig muss die Frage, wie man Sicherheit und Usability gegeneinander abwägt, für jedes Produkt und damit jedes Kundensegment individuell beantwortet werden. Im B2C-Bereich etwa geniesst die einfache Handhabung einen hohen Stellenwert. Doch bei Anwendungen für Administrator:innen, Entwickler:innen oder Security-Analyst:innen ist der Sicherheitsgedanke weit höher zu gewichten als die Nutzerfreundlichkeit.
Gleichzeitig findet immer mehr ein Verschmelzen von privatem und professionellem IT-Gebrauch statt. Das Nutzen persönlicher Devices für Businessanwendungen zum Beispiel setzt sich immer mehr durch. Was ist die Folge davon?
Dies führt in der Tat zu einer spannenden Ausgangslage, da man zwar ein privates Gerät nutzt, dieses aber entsprechend den Spielregeln der Firma einsetzen sollte. Meine persönliche Grundhaltung hierzu lautet: Meine Mitarbeitenden sollen, wenn dies möglich und gewünscht ist, ihren eigenen Rechner oder ihre Handys benutzen, dabei aber die Vorgaben des Unternehmens beachten. Klappt das nicht, müssen ein Geschäftshandy oder ein Firmenrechner her. Wir ermöglichen es unseren User:innen darum, auf ihren Devices ein privates sowie ein «Work Profil» anzulegen. Aus dem privaten Profil kann man nicht auf die Geschäftsumgebung zugreifen und der Arbeitgeber wiederum hat keinerlei Zugang auf das persönliche Profil. Solche praktischen Lösungen werden meines Erachtens immer wichtiger werden, da die Ansprüche an Benutzerfreundlichkeit insgesamt stiegen.
Cloudlösungen sind mittlerweile auch in der Schweiz etabliert. Das Thema «Wo sind meine Daten» ist aber gerade in KMU-Kreisen nach wie vor aktuell und Serverumgebungen in der Schweiz daher gefragt.
Hier findet häufig eine Vermischung von technischen, regulatorischen und emotionalen Themen statt. Alle drei sind wichtig, aber man sollte sie idealerweise auseinanderhalten. Wenn etwa eine KMU-Unternehmerin oder ein -Unternehmer sagt, dass der eigene Betrieb aufgrund des Datenschutzes nicht in der Cloud sein kann handelt es sich um eine rein emotionale Argumentation. Technisch und regulatorisch entbehrt das jeder Grundlage. Auch dass die Daten zwingend in der Schweiz gelagert werden müssen, damit sie Schweizer Recht unterliegen, ist inkorrekt. Vielmehr müssen sich die Nutzerin oder der Nutzer beim Entschlüsseln der Daten in der Schweiz aufhalten. Wir möchten diese Vorbehalte aber keineswegs kleinreden, denn sie gehen mit einem empfundenen Kontrollverlust einher, was verständlich ist. Wir haben in Sachen IT die «Sturm und Drang»-Periode hinter uns gelassen und bewegen uns in eine Ära der Professionalisierung. Dafür müssen wir uns daran gewöhnen, die Server nicht mehr selber anzuschaffen und zu betreiben, sondern diese Aufgabe in professionelle Hände zu legen. Das ist nicht immer einfach, weil es darum geht, mit Ängsten umzugehen und die eigene Komfortzone zu verlassen.
Welche technischen Innovationen kommen auf Hersteller und User im Bereich «Sicherheit» künftig zu?
Viele von uns werden sich zwar noch einige Zeit mit dem Thema «Passwörter» herumschlagen müssen, aber das Ende ist absehbar. Wir bieten für Microsoft-User:innen seit Kurzem die passwortlose Autorisierung über unsere Authentificator-App an. Früher oder später werden sämtliche Anwendungen mit dem Finger entsperrt werden. Zwar haben heute noch viele Leute Angst vor Biometrie, doch wenn man diese Authentifizierungsmethode selber aufsetzt, bleibt der eigene Fingerprint immer auf dem Gerät und gelangt nie zu einem Hersteller. Indem wir Passwörter hinter uns lassen, werden wir einen entscheidenden Schritt machen, um im Wettrennen mit Hackern nicht mehr hinterherzuhinken. Denn ein Grossteil der Angriffe zielt heute darauf ab, Passwörter einer Userin oder eines Users zu erlangen und sich so Zugang zu kritischen System zu verschaffen.
Also sehen wir einer sicheren digitalen Zukunft entgegen?
Ganz so einfach ist es leider nicht. Denn um Cyberattacken nachhaltig Einhalt zu gebieten, müssten wir die Strafverfolgung an die neuen Gegebenheiten anpassen – und das ist leider enorm komplex. Hacker sind international aufgestellt, während die Strafverfolgung vielerorts noch national ausgerichtet ist. Die «Budapest Convention» sollte hier Abhilfe schaffen: Sie dient als Richtlinie für jedes Land, um umfassende nationale Rechtsvorschriften gegen Cyberkriminalität zu entwickeln und die internationale Zusammenarbeit zwischen den Vertragsstaaten dieser Vereinbarung zu fördern. Doch leider haben viele Länder die Budapest Convention nicht ratifiziert, weil sie diese als Eingriff in ihr Hoheitsgebiet sehen. Das zeigt, dass nicht nur Einzelpersonen und Firmen in der neuen digitalen Welt umdenken müssen, sondern auch Behörden und Staaten.
Interview SMA Bild zVg
Zur Person
Roger Halbheer (54) ist seit rund vier Jahren als Chief Security Advisor bei Microsoft tätig. Das Thema «IT-Sicherheit» zieht sich wie ein roter Faden durch Halbheers Vita. So war er zuvor bei Accenture unter anderem für den Bereich der Sicherheitstechnologie verantwortlich, lehrt als Gastdozent an der ETH Zürich und gehört zum Cybersecurity Advisory Board der «Schweizerischen Akademie der Technischen Wissenschaften».
Schreibe einen Kommentar