DETECON Consulting

Artikel

Wider die digitale Ignoranz

Cyber Security – let’s work and think out loud!

Bei Cyber Security denken viele an Viren, Denial of Service Attacks oder Filme mit Bruce Willis. Dabei sind die Gefahrenszenarien vielfältiger und die Abwehrmaßnahmen komplexer als mancher Actionfilm verspricht. Und um diese souverän abzuwehren, braucht man umfassende und vielfältige digitale Engineering-Kompetenzen. Die Detecon hat im Rahmen eines Digital Engineering Centers in Berlin ein Team aufgebaut, das sich umfassend mit dem globalen Ökosystem der Cyber Security vernetzt, um Unternehmen dabei zu helfen, sich gegen Cyberangriffe zu rüsten. 

In diesem Gespräch erklärt CEO Dr. Heinrich Arnold den ökosystem-basierten Detecon-Ansatz und appelliert, dem Prinzip der offenen Netzwerke folgend, an die Experten aus der Security Community, sich zu vernetzen und gemeinsam vielversprechende digitale Szenarien zu diskutieren. Dabei sollen auch diejenigen wachgerüttelt werden, die – bewusst oder unbewusst – in Sachen Cybersicherheit immer noch zu sehr einer gefährlichen digitalen Ignoranz anhängen.

Herr Dr. Arnold, warum ist das Thema Cyber Security für Sie als Beratungsunternehmen von so großer Bedeutung? Wie stellt sich Detecon auf dieses Thema ein?

Die Digitalisierung ist für die Wirtschaft ein Segen. Doch leider hat diese Medaille auch eine Kehrseite Seite: Cyberangriffe. Durch zahlreiche Angriffe auf Unternehmen sind Manager i.d.R. alarmiert, zumal auch immer wieder in der Presse darüber zu lesen ist. Die jüngsten Berichte über die Prozessor-Sicherheitslücken sind da nur ein Beispiel von vielen. Die Herausforderung Cyber Security stellt sich damit auch uns und unseren Kunden. Ohne Security-Kompetenzen können wir in der digitalen Welt als Beratung nicht mehr erfolgreich arbeiten.

Wir setzen heute in verstärktem Maße auf die Zusammenarbeit mit Partnern. Was heißt das? Die zweite Welle der Digitalisierung bringt ein anderes Verständnis von Partnerschaften mit sich. Wir bewegen uns mehr und mehr in Ökosystem-basierten Geschäftsmodellen – sowohl wir als Beratung, als auch unsere Kunden. Unsere Aufgabe ist es, ein tragfähiges Netzwerk zu knüpfen, das uns und unsere Kunden mit ihren komplexen Anforderungen sicher trägt. Wir öffnen uns ganz bewusst für alle relevanten Security-Hot Spots in Deutschland und international; sei es das Innovations- und Startup-Ökosystem in Berlin, das altbekannte Silicon Valley in den USA oder das ‚neue Silicon Valley‘ für Cyber Security in Israel (Beer Sheva). Die namhaftesten Experten aus dem Security Ökosystem in Israel arbeiten bereits heute mit uns – auch ganz konkret auf unseren Beratungsprojekten.

Wie bewerten Sie das Bedrohungspotential durch das Internet of Things und das Bewusstsein dafür? Welche Gefahren sind für den Mittelstand besonders relevant und wie gut ist dort heute schon die Vorsorge in Richtung Cyber Security?

Im Internet of Things gehen ja immer mehr Geräte aus allen Geschäfts- und Lebensbereichen, also Things wie Steueranlagen, aber eben auch Babyphones und Kühlschränke online. Dies birgt viele neue Möglichkeiten, aber es entstehen auch gewaltige Angriffsflächen für Cyberattacken wie Datendiebstahl oder die Manipulation kritischer Infrastrukturen. Wenn dann noch Billiggeräten der Vorzug gegeben wird, hat Security natürlich keine Chance. 

Wir stellen immer wieder fest, dass die digitale Ignoranz bei Nutzern, aber auch bei IT-Verantwortlichen immer noch weit verbreitet ist. So war etwa die Lösung für den Cyberangriff durch WannaCry im Mai 2017 längst vorhanden, aber viele Firmen hatten diesen Patch acht Wochen später immer noch nicht eingespielt. Für den Mittelstand bestehen besondere Bedrohungen, weil immer mehr Anlagen und Maschinen vernetzt werden, die aber schon vor vielen Jahren konfiguriert und gebaut wurden, zu einem Zeitpunkt also, als das Risiko von Webangriffen noch nicht so virulent war. Auf der einen Seite bietet die Vernetzung, etwa von Robotern, hier völlig neue Potenziale für datenzentrische Geschäftsmodelle; andererseits sind eben schätzungsweise nur zehn Prozent dieser Industrienetzwerke vernünftig geschützt, was Dirk Backofen, Leiter der Telekom Security, neulich auf dem Detecon Expert Talk völlig zurecht warnend hervorgehoben hat. 

Was sollten Ihrer Meinung nach Unternehmen und Unternehmensführer tun, die bei der Cyber Security auf der sicheren Seite sein wollen. Auf welche externen Partner sollte man setzen und welche Rollen sollten Externe übernehmen?

Insbesondere die Deutsche Telekom bietet natürlich mit ihrem Geschäftsbereich Telekom Security ein umfangreiches Lösungsportfolio an, mit dem sich ein stets aktueller, hochprofessioneller Schutz installieren lässt. Hier wird auf die immense Erfahrung von Angriffen auf die eigene Infrastruktur profitiert, mehr als 20 Millionen Beispiele von Attacken wurden gesammelt und zur Verbesserung der eigenen Schutzsysteme eingesetzt. 

Letztendlich bergen in einem Unternehmen aber auch die eigenen Mitarbeiter und die eigenen Prozesse immer ein Sicherheitsrisiko. Mittels der Expertise von Detecon lässt sich daher etwa das eigene, bestehende Sicherheitskonzept testen. Handlungsempfehlungen auf Basis von Penetration Tests, die Abläufe und die Kommunikation im Ernstfall, aber auch das Security by Design von Produkten oder die Bewertung von Verschlüsselungstechnologien gehören hier zu den Hausaufgaben, bei denen wir unterstützen. Besonders hervorheben möchte ich die Cyber Security Expertise unserer neu eröffneten Digital Engineering Center in Berlin. Hier führen wir etwa für unsere Klienten kundenindividuell abgestimmte Innovationstouren für Cyber Security durch das Cyber-Ökosystem in Israel durch. Wir wollen Entscheider mit dem nötigen Rüstzeug ausstatten, ihre Unternehmen hinsichtlich der Bedrohungslagen richtig auszurichten. Hacker-Angriffe in Live-Szenarien zu erleben, aber auch die Taktik von Angreifern zu verstehen, ist sehr hilfreich. Mittels Security Innovation Scouting bewerten wir neueste Technologien und Lösungen. Ein Security Bootcamp für CxOs und Fachexperten bei unseren Partnern in Israel macht zudem die Dramatik von Angriffen in Simulationsszenarien erlebbar. 

Was müsste sich auf Unternehmensseite und in der öffentlichen Wahrnehmung beim Thema Cyber Security ändern?

Zunächst einmal möchten (und müssen!) wir alle unsere Netzwerke erweitern. Im Sinne von ‚Working out Loud‘ ist es heutzutage unerlässlich, dass Unternehmen, Institutionen und Individuen ihr Wissen und ihre Erfahrungen teilen und sich in den digitalen Ökosystemen engagieren. Dirk Backofen sprach anlässlich der Eröffnung des neuen Cyber Defense und Security Operation Centers der Deutschen Telekom in Bonn von der „Armee der Guten“, die nur gemeinsam gebildet werden kann. „Die Armee der Bösen“ existiert schon lange und Kleinstaatereien wie auch getrennte Datenbanken helfen dagegen sicher nicht. In diesem Sinne wollen wir motivieren, sich dieser „Armee“ sozusagen mittels Austausch von Wissen und (Abwehr-)Waffen anzuschließen.

Zweitens möchten wir noch deutlich stärker sensibilisieren und eine Bresche durch die Mauer der digitalen Ignoranz schlagen: Viele Unternehmen sind bewusst oder unbewusst heute nicht ausreichend gut gerüstet vor Cyberangriffen. Aber ich frage mich schon, welche Schäden denn noch erst eintreten müssen, damit Cyber Security es auf der Agenda der Unternehmensverantwortlichen ganz nach oben schafft. Auf keinen Fall wollen wir digitale Entwicklungen bremsen, aber Security muss für Produkte und Prozesse – nicht nur, aber ganz besonders für IoT-Szenarien – eben von vorneherein mitgedacht werden und nicht erst hinterher. Hier wollen wir Wege finden, die überzeugen, animieren und ein Handeln in Gang setzen, ohne dass wieder erst ein Kind – siehe WannaCry – in den Brunnen fallen muss.