00:00:07 Datensicherheit und Cloud Computing.
00:00:38 Herausforderungen der Datensicherheit bei der Optimierung der supply chain.
00:02:11 Anstieg von Cyberangriffen und Abhängigkeit von IT-Systemen.
00:03:08 Einschränkung der Angriffsfläche und Auslagerung an Cloud-Anbieter.
00:06:17 Minimierung der Angriffsfläche im Software-Design und Vermeidung von relationalen Datenbanken.
00:08:01 Verwendung von Einfachheit und minimalen Komponenten für die Sicherheit.
00:09:26 Offenheit, Transparenz und Exposition als Schlüssel zur Datensicherheit.
00:11:03 Die Bedeutung von White Hat Hackern zur Verbesserung der Sicherheit.
00:13:18 White Hat Hacker angemessen zu vergüten.
00:14:35 Unterscheidung zwischen White Hat Hackern und böswilligen Hackern.
00:16:00 Die Sicherheit von Unternehmenssystemen und die Priorisierung von Freelancern.
00:16:47 Das Vertrauen in die Datensicherheit und der Einfluss von Bitcoin auf das Sicherheitsbewusstsein.
00:17:50 Unterschiede in den Sicherheitspraktiken zwischen B2C- und B2B-Unternehmen, großen Konzernen und Regierungen.
00:20:01 Herausforderungen in der militärischen Netzwerksicherheit und Beispiele für Hardware-Schwachstellen.
00:24:01 Die Möglichkeit einer Zukunft mit deutlich reduziertem Hacking und der Etablierung einer Kultur der Offenheit in der supply chain Sicherheit.
Zusammenfassung
Im Interview diskutieren Kieran Chandler und Joannes Vermorel die Datensicherheit in supply chain Optimierung. Vermorel erkennt die zunehmenden Cyberangriffe aufgrund der verstärkten Digitalisierung und der steigenden Abhängigkeit von Software an. Er betont die Bedeutung von Offenheit und Exposition in der supply chain Sicherheit und plädiert für eine “defense-in-depth”-Philosophie mit mehreren Schutzschichten. Er nennt den Wert von White Hat Hackern bei der Identifizierung und Behebung von Schwachstellen und schlägt vor, dass Unternehmen die Sicherheit verbessern können, indem sie die Angriffsflächen minimieren und sich auf vertrauenswürdige Cloud Computing Anbieter verlassen. Vermorel ist der Ansicht, dass die Annahme von Transparenz und Exposition in supply chain Praktiken zu einem schnelleren Übergang zu sichereren Systemen führen wird.
Erweiterte Zusammenfassung
In diesem Interview diskutiert Kieran Chandler, der Moderator, die Datensicherheit mit Joannes Vermorel, dem Gründer von Lokad, einem Softwareunternehmen, das sich auf die supply chain Optimierung spezialisiert hat. Das Gespräch dreht sich um die zunehmende Bedeutung der Datensicherheit, da Cloud Computing immer populärer wird und Hacking-Techniken immer ausgeklügelter werden.
Joannes räumt ein, dass Datensicherheit kein neues Thema ist, sondern schon seit geraumer Zeit existiert. Er erinnert sich, dass, als er Lokad vor 10 Jahren gründete, die ursprüngliche Idee darin bestand, Daten von allen Netzwerken fernzuhalten, doch dieser Ansatz erwies sich als nachteilig für die supply chain Optimierung. Unternehmen mit komplexen und verteilten supply chains müssen allen beteiligten Parteien Zugang zu den Daten gewähren, um ihre Abläufe zu optimieren. Das erhöht naturgemäß die Exposition von Daten und Systemen und führt zu Herausforderungen in der Datensicherheit.
Der Moderator fragt, ob Hackerangriffe tatsächlich häufiger vorkommen oder ob einfach vermehrt darüber in den Medien berichtet wird. Joannes ist der Meinung, dass Cyberangriffe insgesamt zunehmen, vor allem weil es mehr IT-Systeme gibt und die Abhängigkeit von Software steigt. Da Unternehmen digitaler werden und Verbraucher mehr Online-Dienste nutzen, wächst die Angriffsfläche für Hacker, was zu mehr Datenpannen führt.
Auf die Frage nach Techniken zum Schutz der Daten erklärt Joannes, dass Sicherheit bei Lokad die zweithöchste Priorität hat, während die Qualität der Zahlen, die sie für die supply chain Optimierung liefern, an erster Stelle steht. Ein grundlegender Ansatz, um die Datensicherheit zu gewährleisten, besteht darin, die Angriffsfläche für Hacker einzuschränken. Dies beinhaltet, Softwarelösungen so zu gestalten, dass so wenig wie möglich schiefgehen kann.
Joannes erklärt, dass einer der Gründe, warum Lokad auf Cloud Computing umgestiegen ist, darin bestand, die Hardware und die Verwaltung der Betriebssysteme an größere Unternehmen wie Microsoft zu delegieren. Obwohl diese nicht perfekt sind, verfügen sie über wesentlich mehr Ressourcen und Personal, um die Computerhardware physisch zu sichern. Es macht also Sinn, nicht seinem eigenen 20-köpfigen Team zu vertrauen, während Microsoft denselben Sicherheitsaufwand mit mehreren hundert Personen bewältigt.
Der Moderator fragt daraufhin, wie man vertrauenswürdige IT-Unternehmen auswählt, an die man Arbeiten outsourcen kann. Joannes schlägt vor, großen Cloud-Computing-Anbietern wie Amazon, Microsoft und Google zu vertrauen – Überlebenden des Internets, die täglich von Hunderten von Hackern angegriffen werden. Wenn deren Systeme nach einem Jahrzehnt Betrieb noch standhalten, haben sie alle täglichen Strapazen überstanden. Das heißt nicht, dass sie nie gehackt wurden, sondern dass sie alle Probleme sorgfältig behoben und gepatcht haben. Je größer die Exposition des Anbieters und je länger er am Markt ist, desto mehr Vertrauen kann man ihm entgegenbringen. Haben sie durchgehende Exposition, werden unablässig angegriffen und überstehen dies, sind sie vermutlich sehr sicher.
Um die Sicherheit ihrer Systeme zu gewährleisten, minimiert Lokad die Angriffsfläche, indem sie einfachere Komponenten verwendet und programmgesteuerte smarte Datenspeicherschichten, wie relationale Datenbanken, vermeidet. Stattdessen setzen sie auf eine grundlegendere Datenspeicherung, indem sie Blob Storage auf Azure nutzen, welches weniger anfällig für bestimmte Angriffstypen ist. Außerdem geht Lokad selektiv bei der Nutzung von open source Komponenten vor, prüft jede einzelne und begrenzt die technologische Masse in ihren Lösungen.
Vermorel ist der Ansicht, dass ein Schlüsselelement der Unternehmenskultur zur Verbesserung der Datensicherheit Offenheit ist – im Gegensatz zur oft in supply chain Praktiken verwendeten Festungsmentalität. Er argumentiert, dass IT-Systeme nicht allein aufgrund ihres Designs sicher sind, sondern auch durch Transparenz und Exposition. Transparenz bedeutet, dass die Menschen verstehen, wie die Systeme funktionieren und wie ihre Architektur aufgebaut ist, während Exposition darauf hinausläuft, die Systeme White Hat Hacker, also ethischen Hackern, auszusetzen, die darauf abzielen, die Sicherheit zu verbessern.
White Hat Hacker helfen Organisationen dabei, Schwachstellen in ihren Systemen zu identifizieren und zu beheben. Vermorel berichtet, dass Lokad dies schon einige Male erlebt hat, wobei White Hat Hacker Probleme in einzelnen Konten entdeckten, die anschließend gemeldet und behoben wurden. Um White Hat Hacker weiter zu ermutigen, potenzielle Sicherheitslücken aufzudecken, sollten Organisationen sie für ihre Bemühungen fair entschädigen.
Vermorel teilt seine Perspektive zu den unterschiedlichen Reifegraden der Sicherheit in verschiedenen Organisationen. Am einen Ende des Spektrums stehen Unternehmen wie Facebook und Google, die dank ihrer massiven Exposition und der hohen Anzahl an Hackerangriffen über robuste Sicherheitsmaßnahmen verfügen. Diese B2C-orientierten Unternehmen sind ständig Angriffen ausgesetzt, was sie zu hoher Vorbereitung und proaktivem Handeln in puncto Sicherheit zwingt.
Weiter hinten im Spektrum befinden sich B2B-Softwareunternehmen wie Lokad, die, obwohl sie nicht so exponiert sind wie die B2C-Riesen, dennoch hohe Sicherheitsstandards anstreben, indem sie Transparenz wahren und den Zugang zu ihren Systemen erleichtern. Vermorel meint, dass die Sicherheit dieser B2B-Unternehmen tendenziell schwächer sei, da sie weniger Exposition haben und daher nicht der gleichen Intensität von Hackerangriffen ausgesetzt sind.
Ein noch niedrigerer Sicherheitsreifegrad zeigt sich bei großen, nicht technologieorientierten Konzernen und Regierungen, die oft auf eine veraltete Festungsmentalität und Sicherheit durch Verschleierung setzen. Diese Organisationen versuchen zwar, sensible Informationen abzuschotten, doch Vermorel argumentiert, dass dieser Ansatz mit der Größe und Komplexität moderner Organisationen nicht vereinbar ist.
Erstaunlicherweise behauptet Vermorel, dass militärische Organisationen die schlechtesten Sicherheitspraktiken aufweisen, da sie häufig private Netzwerke nutzen, die seit Jahrzehnten isoliert sind. Obwohl man annehmen könnte, dass diese privaten Netzwerke sicherer sind, hat deren mangelnde Exposition gegenüber externen Bedrohungen sie schlecht auf moderne Sicherheitsherausforderungen vorbereitet. Vermorel merkt an, dass große militärische Organisationen, die sich über mehrere Standorte und Länder erstrecken, Schwierigkeiten haben, ein isoliertes Netzwerk aufrechtzuerhalten und gleichzeitig tausende von Mitarbeitern und Auftragnehmern zu managen.
Vermorel hebt hervor, dass selbst die sichersten Systeme kompromittiert werden können – wie frühere Betrugsfälle und die in Intel-Hardware entdeckten Schwachstellen zeigen. Er erklärt, dass Hardware-Schwachstellen, wie Spectre und Meltdown, auch Software und Anwendungen unsicher machen können.
Vermorel betont die Wichtigkeit, Hackern Zugang zu gewähren, die Schwachstellen identifizieren und beheben, bevor diese ausgenutzt werden können. Er weist darauf hin, dass militärische Systeme, die häufig Intel-Hardware verwenden, besonders anfällig für solche Angriffe sind. Dennoch ist er der Meinung, dass es letztlich möglich ist, Hacking zu eliminieren, da es kein fundamentales Gesetz gibt, das besagt, dass alle Computersysteme unsicher sein müssen.
Vermorel schlägt vor, dass supply chains sicherer werden können, wenn sie eine Kultur der Offenheit und Exposition annehmen. Das bedeutet, Systeme transparenter und zugänglicher zu machen, während dennoch die nötigen Sicherheitsmaßnahmen beibehalten werden. Er befürwortet eine “defense-in-depth”-Philosophie, bei der mehrere Sicherheitsebenen implementiert werden, um sensible Informationen zu schützen. Insgesamt argumentiert Vermorel, dass Unternehmen und Organisationen mit supply chains sicherer sein werden, wenn sie diesen Ansatz verfolgen, was zu einem schnelleren Übergang zu sichereren Systemen führt.
Gesamtes Transkript
Kieran Chandler: Heute bei Lokad TV werden wir darüber sprechen, wie Cloud Computing an Popularität gewinnt und wie Hacking-Techniken immer ausgeklügelter werden. Kann man wirklich darauf vertrauen, dass deine Daten sicher sind? Joannes, dies ist ein Thema, das in letzter Zeit in den Medien etwas sensationell dargestellt wurde – aber ist Datensicherheit wirklich ein neues Problem? Joannes Vermorel: Nein, das ist schon seit geraumer Zeit ein Thema. Es ist faszinierend. Als ich Lokad vor 10 Jahren gründete, war die Idee, die Daten von allen Netzwerken und vor Hackern abzuschotten. Aber sobald es um supply chains geht, führt das Verriegeln der Daten in einem Tresor zwar zu hoher Sicherheit, doch leiden deine supply chains dramatisch. Das Problem ist, dass weder Menschen noch Partner und selbst die eigene Organisation keinen Zugang zu den Daten haben, um die supply chain tatsächlich zu optimieren. Wenn du also irgendeinen Grad der supply chain Optimierung erreichen und eine supply chain haben möchtest, die etwas komplex ist und sich über verschiedene Standorte oder gar Länder erstreckt, musst du allen beteiligten Parteien die richtigen Daten zuführen. Das bedeutet, dass du per Design deine Daten und Systeme stärker aussetzt – und damit entsteht das Problem der Datensicherheit. Kieran Chandler: Es scheint, dass wir täglich in den Medien von einer neuen Organisation oder einem neuen Prominenten hören, der gehackt wurde. Kommt das tatsächlich häufiger vor oder wird einfach mehr darüber berichtet? Joannes Vermorel: Ich glaube, dass Cyberangriffe insgesamt zunehmen. Dafür gibt es einige grundlegende Gründe. Es liegt nicht daran, dass es mehr Bösewichte gibt; vielmehr haben wir mehr IT-Systeme und eine steigende Abhängigkeit von unserer eigenen Software. Unternehmen werden digitaler und auch normale Kunden nutzen mehr Online-Dienste. Dadurch vergrößert sich die Angriffsfläche für Hacker, was zu mehr Datenlecks führt. Das heißt aber nicht, dass die Sicherheit schlechter wird oder dass es insgesamt mehr schlechte Menschen gibt. Kieran Chandler: Wenn täglich mehr Angriffe stattfinden, wollen wir uns einige Techniken ansehen, die wir zum Schutz einsetzen können. Was können wir tun? Joannes Vermorel: Bei Lokad steht Sicherheit an zweiter Stelle. An erster Stelle steht die Qualität der Zahlen, die wir für eine hervorragende supply chain Optimierung liefern. Aber das zweite Anliegen ist, die Sicherheit der Daten unserer Kunden zu gewährleisten. Eine der grundlegendsten Techniken hierfür besteht darin, die Angriffsfläche für Hacker und andere Probleme einzuschränken. Wie macht man das bei der Gestaltung einer Softwarelösung? Zuerst versucht man, so viele potenzielle Fehlerquellen wie möglich zu minimieren. Beispielweise war einer der Gründe, warum wir auf Cloud Computing umgestiegen sind, dass wir die Hardware und einen Großteil der Verwaltung der Betriebssysteme an Microsoft delegieren konnten. Es ist nicht so, dass Microsoft perfekt ist, aber was Ingenieurteams angeht, verfügen sie über weitaus mehr Ressourcen, um die Hardware physisch zu sichern als Lokad. Daher macht es viel Sinn, nicht voll auf ein 20-köpfiges Team zu setzen, während Microsoft denselben Sicherheitsaufwand mit mehreren hundert Personen bewältigt. Kieran Chandler: Lass uns ein wenig über diese Delegation sprechen. Es gibt viele IT-Unternehmen da draußen – wie weißt du, welchen du vertrauen solltest, an welchen du deine Arbeit outsourcen kannst und welche du wahrscheinlich meiden solltest? Joannes Vermorel: Als Faustregel gilt: Vertraue großen Unternehmen, die tonnenweise IT-Ressourcen online bereitstellen. Ich meine die großen Cloud-Computing-Anbieter wie Amazon, Microsoft und Google. Diese sind Überlebende des Internets und werden täglich von Hunderten von Hackern angegriffen. Wenn ihre Systeme nach einem Jahrzehnt Betrieb noch laufen, haben sie alle täglichen Strapazen überstanden. Das heißt nicht, dass sie nie gehackt wurden, sondern dass sie alle Probleme sorgfältig behoben und gepatcht haben. Je größer die Exposition deines Anbieters und je länger er am Markt ist, desto mehr Vertrauen kannst du ihm entgegenbringen. Haben sie durchgängig Exposition, werden unablässig angegriffen und überstehen dies, sind sie vermutlich sehr sicher. Kieran Chandler: Okay, also Outsourcing an andere Unternehmen ist ein Weg, um unsere Systeme abzusichern. Welche weiteren Techniken können wir nutzen, um unsere Systeme sicher zu machen?
Kieran Chandler: Lass uns ein wenig über diese Delegation sprechen. Es gibt viele IT-Unternehmen da draußen – wie weißt du, welchen du vertrauen solltest und welchen du meiden solltest? Joannes Vermorel: Als Faustregel gilt: Vertraue großen Unternehmen, die tonnenweise IT-Ressourcen online bereitstellen. Ich meine die großen Cloud-Computing-Anbieter wie Amazon, Microsoft und Google. Diese sind Überlebende des Internets und werden täglich von Hunderten von Hackern angegriffen. Wenn ihre Systeme nach einem Jahrzehnt Betrieb noch laufen, haben sie alle täglichen Strapazen überstanden. Das heißt nicht, dass sie nie gehackt wurden, sondern dass sie alle Probleme sorgfältig behoben und gepatcht haben. Je größer die Exposition deines Anbieters und je länger er am Markt ist, desto mehr Vertrauen kannst du ihm entgegenbringen. Haben sie durchgängig Exposition, werden unablässig angegriffen und überstehen dies, sind sie vermutlich sehr sicher. Kieran Chandler: Okay, also Outsourcing an andere Unternehmen ist ein Weg, um unsere Systeme abzusichern. Welche weiteren Techniken können wir nutzen, um unsere Systeme sicher zu machen?
Joannes Vermorel: Das gleiche Prinzip, die Angriffsfläche zu minimieren, gilt auch für den inneren Teil Ihrer Software. Zum Beispiel verwenden wir bei Lokad intern keine relationalen Datenbanksysteme oder SQL-Datenbanken. Es ist nicht so, dass wir sie nicht mögen; sie sind leistungsstark und können vieles. Allerdings schafft ihre Verwendung in der Speicherschicht ein massives Sicherheitsproblem. Es kann zwar immer noch gesichert werden, aber es erfordert viel Aufwand. Mit SQL können Sie Code schreiben, was bedeutet, dass auch bösartiger Code geschrieben werden kann. Um uns dagegen zu schützen, verwenden wir bei Lokad eine sehr einfache, naive Datenspeicherschicht, wie Blob Storage auf Azure. Die zentrale Idee ist, dass wir eine Datenspeicherschicht nutzen, die um Größenordnungen einfacher ist als relationale Datenbanken und keinerlei programmatische Ausdruckskraft besitzt. Das bedeutet, dass ganze Klassen von Angriffen auf der Ebene unserer Datenspeicherschicht nicht stattfinden können, weil sie zu simpel ist, um Ansatzpunkte für diese Angriffe zu bieten. Wir wenden denselben Ansatz bei vielen anderen Komponenten an, indem wir einfachere und weniger ausdrucksstarke Optionen wählen, um die Anzahl der potenziellen Fehlerquellen zu minimieren.
Kieran Chandler: Also, schlicht und ein wenig dumm zu sein, ist tatsächlich sehr vorteilhaft. Das deckt das Prinzip der Sicherheit by design ab. Wie sieht es aber mit der Sicherheit in Bezug auf die Unternehmenskultur aus? Welche kulturellen Werte sollten Unternehmen fördern, um ihre Datensicherheit zu erhöhen?
Joannes Vermorel: Offenheit ist wahrscheinlich der Schlüssel.
Kieran Chandler: Wie würden Sie also den Festungsansatz beschreiben, den ich in Bezug auf supply chains erwähnt habe und wie die Dinge vor zehn Jahren gehandhabt wurden?
Joannes Vermorel: Wenn Sie eine Festungsmentalität haben, möchten Sie Ihre Daten in einem Tresor einschließen, der vergraben und sehr schwer zugänglich ist. Das macht alles undurchsichtig und geheimnisvoll, und es ist schwierig, auf die Daten zuzugreifen. Aber macht Sie das wirklich sicher? Das Problem ist, dass dieses Verhalten und diese Unternehmenskultur, was die IT betrifft, der Sicherheit stark abträglich sind.
Kieran Chandler: Warum sind IT-Systeme nicht sicher?
Joannes Vermorel: IT-Systeme sind nicht vollständig sicher – nicht nur, weil sie darauf ausgelegt wurden, sicher zu sein, sondern auch aufgrund von Designpraktiken. Wenn die Software nicht von Grund auf korrekt konzipiert ist, ist es sehr schwierig, etwas abzusichern. Sobald das gegeben ist und Ihre Software einer strengen Überprüfung unterzogen wird, benötigen Sie zur Verbesserung der Sicherheit Transparenz und Exponiertheit.
Transparenz bedeutet, dass die Menschen sehen können, was in Ihren IT-Systemen vor sich geht, und Sicherheit ist nicht die Folge davon, dass niemand weiß, was in Ihre IT-Systeme einfließt. Die Menschen sollten wissen, wie die Systeme funktionieren, wie ihre Architektur aufgebaut ist, und sie können erkennen, ob sie korrekt entworfen und sicher sind. Exponiertheit bedeutet, Hackern ausgesetzt zu sein und, was noch wichtiger ist, white hats, also den Guten.
Kieran Chandler: Es erscheint kontraintuitiv, seine Systeme offenzulegen und jedem zu erlauben, zu sehen, was vor sich geht. Wie trägt es zur Sicherheit bei, wenn Leute Ihre Systeme hacken? Was machen diese white hats eigentlich?
Joannes Vermorel: White hats sind die guten Hacker. Sie versuchen, in Systeme einzudringen, um ihren Lebensunterhalt zu verdienen. Bei Lokad haben wir das ein paar Mal erlebt. Menschen im Internet registrieren sich für ein kostenloses Konto bei Lokad und versuchen, herumzustochern, um Sicherheitslücken zu finden. Einige von ihnen haben es geschafft, Lücken zu entdecken, allerdings nur innerhalb eines einzelnen Kontos, sodass die Eindämmung sehr eng war.
Wenn sie ein Problem finden, melden sie es zurück. Sie könnten um eine Belohnung bitten, aber es liegt an Ihnen, den Preis zu bestimmen. Das motiviert sie, weitere Probleme in Ihren Systemen zu finden, wodurch diese noch sicherer werden. Sie möchten, dass Leute versuchen, in Ihr System einzudringen, insbesondere white hats, damit sie, wenn sie ein Problem finden, es gewissenhaft an Sie melden. Sie müssen mitspielen und sie fair für den Aufwand entschädigen, den sie beim Hacken Ihres Systems betreiben. So wird Ihre Sicherheit verbessert.
Wenn Ihre Systeme angeblich sicher sind, aber niemand jemals versucht hat, in sie einzudringen, dann ist das sehr riskant, weil Sie es nicht wissen. In der IT gibt es keine offensichtliche Festung. In einer echten Festung haben Sie Steinmauern, und es bedarf roher Gewalt, um sich hindurchzusetzen. Aber im Bereich der Software kann die Sicherheit manchmal an der kleinsten Unachtsamkeit zerfallen, wie einem winzigen Konfigurationsfehler in einem Ihrer sekundären Server. Daher brauchen Sie Leute, die überall nach Schwachstellen suchen, um Ihre Sicherheit zu gewährleisten.
Kieran Chandler: Sicherheit von Anfang bis Ende – das ist ein etwas bizarrer Gedanke, nicht wahr, dass Leute, die Ihr System hacken, tatsächlich die Guten sind? Wo ziehen Sie also die Grenze zwischen einem white hat-Angriff und etwas, das ein wenig bösartiger ist?
Joannes Vermorel: Das ist völlig unterschiedlich. White hats sind wie Freiberufler, allerdings mit einer soliden Reputation. Sie sind die Guten und gehen sehr professionell vor, wenn sie Probleme offenlegen. Typischerweise melden sie das Problem zuerst an Sie und sagen dann: “Was Sie mir zahlen, liegt ganz bei Ihnen.” Einige Unternehmen haben sogar offizielle Belohnungsprogramme. Im Grunde genommen sind sie freiberufliche Helfer, die dazu beitragen, dass Ihr System in puncto Sicherheit besser wird.
Black hats hingegen sind das Gegenteil. Sie werden es nicht so handhaben. Sobald sie eine Lücke in Ihrem System finden, nutzen sie diese Lücke aus – entweder ewig oder bis Sie sie geschlossen haben. Dann versuchen sie, Ihre Daten weiterzuverkaufen oder Sie zu erpressen. Es ist ganz anders. White hats betreiben keine Erpressung. Sie sagen: “Wenn Sie mich nicht bezahlen, ist das in Ordnung. Ich werde zwar nicht bezahlt, aber erwarten Sie nicht, dass ich danach weiter an Ihrem System arbeite.” Sie haben den ersten Fund kostenlos durchgeführt, damit Sie sehen, dass es ein echtes Problem ist und sie ernsthafte Arbeit leisten, statt nur leere Behauptungen aufzustellen. Aber was Sie zahlen, liegt in Ihrer Entscheidung. Je mehr Sie zahlen, desto mehr wecken Sie ihr Interesse, tatsächlich nach weiteren Problemen in Ihrem System zu suchen. Und das ergibt Sinn, denn sie sind Freiberufler, die an der Verbesserung der Sicherheit Ihres Unternehmens oder anderer Unternehmen arbeiten könnten, weshalb sie priorisieren müssen.
Kieran Chandler: Und Sie haben vorhin erwähnt, dass es sehr leicht sein kann, dass irgendwo eine kleine Hintertür existiert – genau darin sind Hacker gut: sie finden diese Hintertüren. Aber können Sie sich jemals wirklich der Sicherheit Ihrer Daten sicher sein? Ich meine, selbst Regierungen werden heutzutage gehackt und scheinen unendliche Ressourcen dafür aufzubringen. Können Sie sich also jemals wirklich entspannen?
Joannes Vermorel: Die Antwort ist wirklich nein. Es ist interessant, denn ich denke, all diese Sicherheitsprobleme wurden dank Dingen wie Bitcoin sichtbarer. Warum? Weil es plötzlich offensichtlich wird, dass es unglaublich schwer ist, etwas abzusichern. Bei Bitcoin, wenn Ihre Maschine, die Ihre Bitcoins hält, gehackt wird, werden die Bitcoins gestohlen. Die Leute begannen zu erkennen, als sie Bitcoins auf Servern im Internet ablegten, dass nach einer Weile praktisch alles weg war. So wurde deutlich, wie schwierig es tatsächlich ist, etwas wirklich sicher zu machen.
Wenn wir das Beispiel von Regierungen nehmen, haben Sie in puncto Reife und Sicherheit ganz oben im Spektrum außergewöhnlich gute Unternehmen wie Facebook und Google. Ja, Facebook kann ab und zu gehackt werden, aber täglich versuchen Tausende von Menschen, in Facebook einzudringen. Sie sind Überlebenskünstler und sehr gut, weil sie einer massiven Exponiertheit, massiven Angriffen und endlosen, fortlaufenden Attacken auf ihre Systeme ausgesetzt sind. Dasselbe gilt für Google, Amazon und Apple – all diese Unternehmen, die B2C-orientiert und super exponiert sind.
Dann, eine Stufe tiefer in der Praxis, befinden sich alle B2B-Softwareunternehmen wie Lokad. Bei Lokad bemühen wir uns, im Internet sehr exponiert zu sein, insofern unsere Systeme nicht sicher sind, weil sie undurchsichtig sind. Alles ist online dokumentiert, und Sie können sich sogar kostenlos registrieren und online ein Konto abrufen. Also geben wir uns im Grunde einen hohen Grad an Exponiertheit – ganz bewusst, ähnlich wie Facebook. Aber Hand aufs Herz, wenn Sie
Kieran Chandler: Joannes, kannst du über die Unterschiede in der Sicherheit zwischen kleinen und großen Organisationen und sogar Regierungen sprechen?
Joannes Vermorel: Ja, sicherlich. Die Anzahl der Hacker, denen kleine Organisationen ausgesetzt sind, ist typischerweise geringer, und folglich ist auch ihre Sicherheit oft schwächer. Einen großen Schritt tiefer finden Sie dann Megakonzerne und Regierungen. Ich würde sagen, dass Megakonzerne, die nicht technologiegetrieben sind, wie die Googles dieser Welt, tendenziell sehr schwache Sicherheitsvorkehrungen haben. Warum? Weil sie immer noch stark in dieser Festungsmentalität verhaftet sind – Sicherheit durch Geheimhaltung – was bedeutet, dass Dinge nicht gesichert werden, weil sie transparent und exponiert sind, sondern weil man sie einfach wegsperrt. Aber wissen Sie was? Wenn Sie eine sehr große Organisation sind, funktioniert das einfach nicht. Man kann nicht alles wegsperren und gleichzeitig Zehntausende junger Mitarbeiter beschäftigen. Das ist schlichtweg unvereinbar. Zusammengefasst tendiert die Sicherheit also dazu, ziemlich schlecht zu sein. Und ganz am äußersten Ende des Spektrums befindet sich das Militär, das wahrscheinlich in puncto IT-Sicherheit und Praxis am schlechtesten abschneidet. Ich weiß, dass manche denken würden, das Militär müsste absolut, überaus sicher sein. Aber ganz im Gegenteil – sie haben jahrzehntelange Erfahrung mit ihren eigenen privaten Netzwerken, eigenen Systemen, allem. Und infolgedessen fehlt es ihnen dramatisch an der Exponiertheit, die sie haben sollten. Wenn Sie Nachrichten verfolgen, werden Sie sehen, dass verschiedene Armeen weltweit häufig mit relativ rückständigen IT-Problemen zu kämpfen haben, die eine direkte Folge des Mangels an Exponiertheit sind.
Kieran Chandler: Was genau an diesen privaten Netzwerken macht sie anfälliger? Denn wenn Sie ein Militärsystem haben, das seit Jahrzehnten privat ist, sollten sie doch in der Lage sein, die Sicherheit in den Griff zu bekommen, sodass es wirklich sicher ist?
Joannes Vermorel: Der Punkt ist: Wenn Sie sagen, mein Netzwerk sei sicher, weil es vom Internet getrennt ist – wissen Sie was? Wiederum: Wenn Sie das Militär sind, dann sind Sie eine große Organisation, die sich über viele Standorte mit Zehntausenden von Personen erstreckt. Wenn Sie tatsächlich ein aktives Militär sind, das im Ausland kämpft, verteilen sich Ihre Systeme über mehrere Länder. Und wie können Sie dieses Netzwerk absolut von allem anderen isoliert halten? Sie können Ihren Mitarbeitern oder den Mitgliedern Ihrer Organisation in diesem Ausmaß nicht vertrauen, nicht wenn Sie Tausende von Personen haben. Die Menge an Akquisitionen, die Sie vornehmen, ist sinnlos, denn wir haben viele Betrugsfälle entdeckt. Bernie Madoff hatte, bis er verurteilt wurde, eine makellose Bilanz. Er hatte eine tadellose Erfolgsbilanz, bis wir entdeckten, dass er der größte Betrüger der Geschichte war. So ist das typischerweise – wir vertrauen Menschen, bis sie enttarnt werden. Das gilt für Investmentfonds ebenso wie fürs Militär und Ähnliches – das sind einfach menschliche Dinge. Also, wenn Ihr Netzwerk … komplett getrennt ist, wie erreichen Sie die Exponiertheit gegenüber all den Hackern, die versuchen, beispielsweise die Schwachstellen in der Intel-Hardware auszunutzen? Die CPU-Prozessoren haben vor etwa einem Jahr zwei Klassen von Schwachstellen offenbart: Spectre und Meltdown. Das bedeutet, dass die Hardware selbst verwundbar ist und es Klassen von Softwareanwendungen gibt, die verwundbar werden, weil die Hardware, auf der sie laufen, kompromittiert ist. Ich glaube keinen Moment daran, dass irgendein Militärsystem heutzutage keine Intel-Hardware enthält. Intel hält etwa über fünfzig Prozent Marktanteil bei Desktop-CPUs. Daher bin ich mir ziemlich sicher, dass jede einzelne Armee der Welt buchstäblich Hunderte, wenn nicht Tausende von Workstations betreibt, die auf Intel-Hardware laufen und kritische Schwachstellen aufweisen. Wie gehen Sie also damit um, wenn Sie keine Leute haben, die versuchen, das Problem zu beheben? Nun, die Wahrscheinlichkeit ist groß, dass Sie einfach verwundbar bleiben, bis es jemand schafft, sich mit Ihrem angeblich privaten und geschützten Netzwerk zu verbinden – und dann ist alles vorbei, weil alles irgendwie schwach ist und nicht ausreichend überprüft wurde.
Kieran Chandler: Das beginnt jetzt ein wenig besorgniserregend zu werden. Ich könnte heute Nacht nicht schlafen. Versuchen wir also, mit einer positiveren Note abzuschließen. Die Googles und Facebooks dieser Welt investieren riesige Beträge in Forschung und Entwicklung im Bereich Datensicherheit. Können wir uns also einen Tag vorstellen, an dem Hacking der Vergangenheit angehört und gar nicht mehr existiert?
Joannes Vermorel: Ich glaube schon. Es gibt kein physikalisches Gesetz, das besagt, dass jedes einzelne Computersystem unsicher ist. Es gibt kein fundamentales Gesetz, das vorschreibt, dass die Anzahl der Hacks mit der Zeit nur zunehmen wird. Das ist also nicht Entropie. Aber letztendlich wird es Zeit brauchen. Und was die supply chain betrifft, so kann sich diese Entwicklung viel schneller vollziehen, wenn Sie eine Kultur der Offenheit und Exponiertheit für Ihre supply chain und Ihre supply chain Systeme annehmen. Das bedeutet, dass Ihre Systeme transparenter und exponierter sind, aber dennoch gesichert. Ich behaupte nicht, dass Sie so exponiert sein wollen, dass jeder von überall auf alles zugreifen kann – das meine ich nicht mit Exponiertheit. Mit Exponiertheit meine ich, dass es nicht sicher ist, nur weil es in der IT department nur eine Person gibt, die darauf zugreifen soll. Es ist nicht diese Art von Sicherheit. Aber grundsätzlich gilt: Je mehr Unternehmen supply chain mit Systemen haben, die stärker online sind und einer Defense-in-Depth-Philosophie folgen, desto schneller erreichen sie einen wesentlich sichereren Zustand.
Kieran Chandler: Damit belassen wir es. Hoffentlich hackt uns danach niemand, oder vielleicht möchten Sie, dass uns jemand hackt. Bitte nur white hats. Das war alles für diese Woche. Vielen Dank fürs Einschalten, und bis zum nächsten Mal. Tschüss für jetzt.
