00:00:07 Datensicherheit und Cloud Computing.
00:00:38 Herausforderungen der Datensicherheit bei der Optimierung der Supply Chain.
00:02:11 Zunahme von Cyberangriffen und Abhängigkeit von IT-Systemen.
00:03:08 Begrenzung der Angriffsfläche und Auslagerung an Cloud-Anbieter.
00:06:17 Minimierung der Angriffsfläche bei der Softwareentwicklung und Vermeidung relationaler Datenbanken.
00:08:01 Verwendung von Einfachheit und minimalen Komponenten für die Sicherheit.
00:09:26 Offenheit, Transparenz und Exposition als Schlüssel zur Datensicherheit.
00:11:03 Die Bedeutung von White-Hat-Hackern zur Verbesserung der Sicherheit.
00:13:18 Angemessene Entschädigung von White-Hat-Hackern für ihre Bemühungen.
00:14:35 Unterscheidung zwischen White-Hat- und bösartigen Hackern.
00:16:00 Die Sicherheit von Unternehmenssystemen und die Priorisierung von Freiberuflern.
00:16:47 Das Vertrauen in die Datensicherheit und die Auswirkungen von Bitcoin auf das Sicherheitsbewusstsein.
00:17:50 Unterschiede in den Sicherheitspraktiken zwischen B2C- und B2B-Unternehmen, großen Konzernen und Regierungen.
00:20:01 Herausforderungen in der Netzwerksicherheit des Militärs und Beispiele für Hardware-Schwachstellen.
00:24:01 Die Möglichkeit einer Zukunft mit deutlich reduziertem Hacking und der Annahme einer Kultur der Offenheit in der Sicherheit der Lieferkette.
Zusammenfassung
In dem Interview diskutieren Kieran Chandler und Joannes Vermorel die Datensicherheit in der Optimierung der Supply Chain. Vermorel erkennt die zunehmenden Cyberangriffe aufgrund der zunehmenden Digitalisierung und Abhängigkeit von Software an. Er betont die Bedeutung von Offenheit und Exposition in der Sicherheit der Lieferkette und plädiert für eine “Defense-in-Depth”-Philosophie mit mehreren Schutzebenen. Er nennt den Wert von White-Hat-Hackern bei der Identifizierung und Behebung von Schwachstellen und schlägt vor, dass Unternehmen die Sicherheit verbessern können, indem sie die Angriffsflächen minimieren und sich auf vertrauenswürdige Cloud-Computing-Anbieter verlassen. Vermorel glaubt, dass die Annahme von Transparenz und Exposition in den Praktiken der Lieferkette zu einem schnelleren Übergang zu sichereren Systemen führen wird.
Erweiterte Zusammenfassung
In diesem Interview diskutiert Kieran Chandler, der Moderator, die Datensicherheit mit Joannes Vermorel, dem Gründer von Lokad, einem Softwareunternehmen, das sich auf die Optimierung der Supply Chain spezialisiert hat. Das Gespräch dreht sich um die zunehmende Bedeutung der Datensicherheit, da Cloud Computing immer beliebter wird und die Hacking-Techniken immer ausgefeilter werden.
Joannes erkennt an, dass Datensicherheit kein neues Problem ist, sondern schon seit geraumer Zeit besteht. Er erinnert sich daran, dass die ursprüngliche Idee, als er vor 10 Jahren Lokad gründete, darin bestand, Daten von allen Netzwerken fernzuhalten, aber dieser Ansatz erwies sich als nachteilig für die Optimierung der Lieferkette. Unternehmen mit komplexen und verteilten Lieferketten müssen allen beteiligten Parteien Zugang zu Daten ermöglichen, um ihre Abläufe zu optimieren. Dies erhöht zwangsläufig die Exposition von Daten und Systemen und führt zu Herausforderungen bei der Datensicherheit.
Der Moderator fragt, ob Hacking-Vorfälle tatsächlich häufiger vorkommen oder ob sie einfach häufiger in den Medien gemeldet werden. Joannes glaubt, dass Cyberangriffe tatsächlich zunehmen, hauptsächlich weil es mehr IT-Systeme gibt und die Abhängigkeit von Software zunimmt. Mit zunehmender Digitalisierung von Unternehmen und der Nutzung von Online-Diensten durch Verbraucher wächst die Angriffsfläche für Hacker, was zu mehr Datenlecks führt.
Auf die Frage nach Techniken zum Schutz von Daten gibt Joannes an, dass Sicherheit bei Lokad die zweitwichtigste Sorge ist, wobei die Qualität der Zahlen, die sie für die Optimierung der Lieferkette liefern, ihre Hauptanliegen sind. Ein grundlegender Ansatz zur Gewährleistung der Datensicherheit besteht darin, die Angriffsfläche für Hacker einzuschränken. Dies beinhaltet die Gestaltung von Softwarelösungen mit minimalem Potenzial für Fehler.
Joannes erklärt, dass Lokad sich aus einem Grund für Cloud Computing entschieden hat: um die Hardware und die Verwaltung von Betriebssystemen an größere Unternehmen wie Microsoft zu delegieren. Obwohl diese Unternehmen nicht perfekt sind, verfügen sie über mehr Ressourcen und Personal, um die physische Sicherheit von Computertechnik zu gewährleisten. Es macht Sinn, einem Unternehmen mit Hunderten von Mitarbeitern, die an Sicherheit arbeiten, zu vertrauen, anstatt einem kleineren Team von 20 Personen.
Der Moderator fragt dann, wie man vertrauenswürdige Computing-Unternehmen auswählt, um Arbeit auszulagern. Joannes schlägt vor, dass große Cloud-Computing-Anbieter wie Amazon, Microsoft und Google, die Überlebende des Internets sind, im Allgemeinen zuverlässig sind. Diese Unternehmen sind ständigen Cyberangriffen ausgesetzt, daher machen ihre Erfahrung und ihre Ressourcen sie besser für den Umgang mit Datensicherheit ausgestattet.
Um die Sicherheit ihrer Systeme zu gewährleisten, minimiert Lokad ihre Angriffsfläche, indem sie einfachere Komponenten verwendet und programmatisch intelligente Datenspeicherschichten wie relationale Datenbanken vermeidet. Stattdessen entscheiden sie sich für eine grundlegendere Datenspeicherschicht und verwenden Blob-Speicher auf Azure, der weniger anfällig für bestimmte Arten von Angriffen ist. Lokad ist auch selektiv bei der Verwendung von Open-Source-Komponenten und überprüft jede einzelne und beschränkt die Menge an technologischer Masse in ihren Lösungen.
Vermorel glaubt, dass ein wesentliches Element der Unternehmenskultur zur Verbesserung der Datensicherheit Offenheit ist, was im Gegensatz zur Festungsmindset steht, das oft in Lieferkettenpraktiken verwendet wird. Er argumentiert, dass IT-Systeme nicht nur aufgrund ihrer Konstruktion sicher sind, sondern auch aufgrund von Transparenz und Offenlegung. Transparenz bedeutet, dass Menschen verstehen, wie die Systeme funktionieren und wie ihre Architektur aussieht, während Offenlegung bedeutet, dass die Systeme ethischen Hackern, den sogenannten White-Hat-Hackern, ausgesetzt werden, die die Sicherheit verbessern wollen.
White-Hat-Hacker helfen Organisationen dabei, Schwachstellen in ihren Systemen zu identifizieren und zu beheben. Vermorel teilt mit, dass Lokad dies schon einige Male erlebt hat, wobei White-Hats Probleme in einzelnen Konten gefunden haben, die anschließend gemeldet und behoben wurden. Um White-Hats dazu zu ermutigen, potenzielle Sicherheitsprobleme weiterhin zu identifizieren, sollten Organisationen sie fair für ihre Bemühungen entschädigen.
Vermorel teilt seine Perspektive über die unterschiedlichen Sicherheitsniveaus verschiedener Arten von Organisationen mit. Auf der einen Seite befinden sich Unternehmen wie Facebook und Google, die aufgrund ihrer massiven Präsenz und der hohen Anzahl von Hacking-Versuchen robuste Sicherheitsmaßnahmen haben. Diese B2C-getriebenen Unternehmen sind ständigen Angriffen ausgesetzt, was sie dazu zwingt, gut vorbereitet und proaktiv in ihren Sicherheitsmaßnahmen zu sein.
Weiter unten in der Skala befinden sich B2B-Softwareunternehmen wie Lokad, die zwar nicht so exponiert sind wie die B2C-Riesen, dennoch aber hohe Sicherheitsniveaus durch Transparenz und einfachen Zugang zu ihren Systemen anstreben. Vermorel deutet darauf hin, dass die Sicherheit dieser B2B-Unternehmen tendenziell schwächer ist, da sie nicht so viel Exposition haben und folglich nicht der gleichen Intensität von Hacking-Versuchen ausgesetzt sind.
Ein noch niedrigeres Sicherheitsniveau findet sich in großen, nicht technologiegetriebenen Unternehmen und Regierungen, die oft auf eine veraltete “Festungsmindset” und Sicherheit durch Obskurität setzen. Diese Organisationen versuchen möglicherweise, sensible Informationen zu verbergen, aber Vermorel argumentiert, dass dieser Ansatz mit der Größe und Komplexität moderner Organisationen unvereinbar ist.
Überraschenderweise behauptet Vermorel, dass militärische Organisationen die schlechtesten Sicherheitspraktiken haben, da sie oft private Netzwerke verwenden, die seit Jahrzehnten isoliert sind. Obwohl man annehmen könnte, dass diese privaten Netzwerke sicherer wären, hat ihre mangelnde Exposition gegenüber externen Bedrohungen sie schlecht auf moderne Sicherheitsherausforderungen vorbereitet. Vermorel stellt fest, dass große militärische Organisationen, die sich über mehrere Standorte und Länder erstrecken, Schwierigkeiten haben, ein isoliertes Netzwerk aufrechtzuerhalten und gleichzeitig Tausende von Mitarbeitern und Auftragnehmern zu verwalten.
Vermorel betont, dass selbst die sichersten Systeme kompromittiert werden können, wie durch vergangene Betrugsfälle und die gefundenen Schwachstellen in der Intel-Hardware gezeigt wurde. Er erklärt, dass Hardware-Schwachstellen wie Spectre und Meltdown Software und Anwendungen ebenfalls unsicher machen können.
Vermorel betont die Bedeutung der Exposition gegenüber Hackern, die Schwachstellen identifizieren und beheben können, bevor sie ausgenutzt werden können. Er stellt fest, dass militärische Systeme, die oft Intel-Hardware verwenden, besonders anfällig für solche Angriffe sind. Er glaubt jedoch, dass es möglich ist, Hacking letztendlich zu eliminieren, da es kein grundlegendes Gesetz gibt, das besagt, dass alle Computersysteme unsicher sein müssen.
Vermorel schlägt vor, dass Supply Chains sicherer werden können, indem sie eine Kultur der Offenheit und Exposition annehmen. Dies beinhaltet die Transparenz und Zugänglichkeit von Systemen, während gleichzeitig Sicherheitsmaßnahmen beibehalten werden. Er plädiert für eine “Defense-in-Depth”-Philosophie, bei der mehrere Sicherheitsebenen implementiert werden, um sensible Informationen zu schützen. Insgesamt argumentiert Vermorel, dass Unternehmen und Organisationen mit Supply Chains sicherer sein werden, wenn sie diesen Ansatz übernehmen, was zu einem schnelleren Übergang zu sichereren Systemen führt.
Vollständiges Transkript
Kieran Chandler: Heute bei Lokad TV werden wir darüber diskutieren, wie Cloud Computing an Popularität gewinnt und wie Hacking-Techniken immer ausgefeilter werden. Können Sie sich wirklich auf die Sicherheit Ihrer Daten verlassen? Also Joannes, das ist ein Thema, das in letzter Zeit in den Medien etwas aufgebauscht wurde, aber ist die Datensicherheit wirklich ein neues Problem?
Joannes Vermorel: Nein, das gibt es schon seit geraumer Zeit. Es ist faszinierend. Als ich vor 10 Jahren Lokad gegründet habe, war die Idee, die Daten von allen Netzwerken fernzuhalten und vor Hackern und allem zu schützen. Aber sobald es um Supply Chains geht, wenn Sie Ihre Daten einfach in einem Tresor einschließen, ja, dann ist es sehr sicher, aber Ihre Supply Chains leiden stark darunter. Das Problem ist, dass Menschen, Partner und sogar Ihre eigene Organisation keinen Zugriff auf die Daten haben, um Ihre Supply Chain tatsächlich zu optimieren. Wenn Sie also irgendeinen Grad der Supply Chain-Optimierung erreichen und eine Supply Chain haben möchten, die etwas komplex ist und sich über verschiedene Standorte oder möglicherweise verschiedene Länder erstreckt, dann müssen Sie eine Möglichkeit haben, alle beteiligten Parteien in Ihrer Supply Chain mit den richtigen Daten zu versorgen. Das bedeutet, dass Sie Ihre Daten von Natur aus mehr offenlegen, Ihre Systeme mehr offenlegen und somit das Problem der Datensicherheit entsteht.
Kieran Chandler: Es scheint, dass wir jeden Tag in den Medien eine neue Organisation oder einen neuen Prominenten sehen, der gehackt wurde. Ist das etwas, das tatsächlich häufiger vorkommt oder hören wir einfach öfter davon?
Joannes Vermorel: Ich glaube, Cyberangriffe nehmen insgesamt zu. Es gibt einige sehr grundlegende Gründe dafür. Es ist nicht so, dass wir mehr böse Leute haben; es ist nur so, dass wir mehr IT-Systeme und eine größere Abhängigkeit von unserer eigenen Software im Allgemeinen haben. Unternehmen werden immer digitaler und selbst normale Kunden nutzen immer mehr Online-Dienste. Dadurch erhöht sich einfach die Angriffsfläche für böse Leute und somit kommt es zu mehr Lecks. Das bedeutet nicht, dass die Sicherheit schlechter wird oder dass es insgesamt mehr böse Menschen gibt.
Kieran Chandler: Wenn es jeden Tag mehr Angriffe gibt, schauen wir uns einige der Techniken an, die wir tatsächlich verwenden können, um uns zu schützen. Was können wir hier tun?
Joannes Vermorel: Bei Lokad ist Sicherheit die zweitwichtigste Sorge. Die wichtigste Sorge ist die Qualität der Zahlen, die wir für eine optimale Supply Chain-Optimierung liefern. Aber die zweite Sorge ist die Sicherheit der Daten unserer Kunden zu gewährleisten. Eine der grundlegendsten Techniken dafür ist es, die Angriffsfläche für Hacker und Probleme im Allgemeinen so weit wie möglich einzuschränken. Wie macht man das, wenn man eine Softwarelösung entwirft? Zuerst versuchen Sie, so viel wie möglich die Dinge einzuschränken, die aufgrund Ihrer eigenen Fehler schiefgehen können. Zum Beispiel war einer der Gründe, warum wir uns dem Cloud Computing zugewandt haben, dass wir die Hardware und einen Großteil der Betriebssystemverwaltung an Microsoft delegieren konnten. Es ist nicht so, dass Microsoft perfekt ist, aber in Bezug auf Engineering-Teams haben sie viel mehr Ressourcen, um die Hardware für das Computing physisch abzusichern als Lokad. Es macht also viel Sinn, Ihrem Team nicht zu vertrauen, wenn Sie 20 Leute haben, während Microsoft versucht, mit mehreren hundert Leuten den gleichen Sicherheitsaufwand zu betreiben.
Kieran Chandler: Sprechen wir ein wenig über diese Delegation. Es gibt viele Computing-Unternehmen da draußen, also wie wissen Sie, welchen Unternehmen Sie vertrauen sollten und welche Unternehmen Sie mit Ihrer Arbeit auslagern sollten und welche Unternehmen Sie wahrscheinlich meiden sollten?
Joannes Vermorel: Als Faustregel gilt, vertrauen Sie großen Unternehmen, die tonnenweise Computing-Ressourcen online zur Verfügung stellen. Ich spreche von den großen Cloud-Computing-Anbietern wie Amazon, Microsoft und Google. Diese Unternehmen sind Überlebende des Internets und werden jeden Tag von Hunderten von Hackern angegriffen. Wenn ihre Systeme nach einem Jahrzehnt Betrieb immer noch funktionieren, bedeutet das, dass sie alle Bestrafungen, die sie täglich erlitten haben, überstanden haben. Das bedeutet nicht, dass sie nie gehackt wurden; es bedeutet nur, dass sie fleißig alle Probleme behoben und gepatcht haben, auf die sie gestoßen sind. Je mehr Ihr Anbieter ausgesetzt war und je länger er existiert, desto mehr Vertrauen können Sie ihm entgegenbringen. Wenn er weiterhin Angriffen ausgesetzt war, hartnäckig angegriffen wurde und überlebt hat, ist er wahrscheinlich ziemlich gut in Sachen Sicherheit.
Kieran Chandler: Okay, also das Auslagern an andere Unternehmen ist eine Möglichkeit, um sicherzustellen, dass unsere Systeme sicher sind. Welche anderen Techniken können wir verwenden, um sicherzustellen, dass unsere Systeme sicher sind?
Joannes Vermorel: Das gleiche Prinzip der Minimierung der Angriffsfläche gilt auch für den inneren Teil Ihrer Software. Bei Lokad verwenden wir zum Beispiel keine relationalen Datenbanksysteme oder SQL-Datenbanken. Es liegt nicht daran, dass wir sie nicht mögen; sie sind leistungsstark und können viele Dinge tun. Allerdings schafft ihre Verwendung in Ihrer Speicherschicht ein massives Sicherheitsproblem. Es kann immer noch gesichert werden, erfordert aber viel Aufwand. Mit SQL können Sie Code schreiben, was bedeutet, dass Sie bösartigen Code schreiben können. Um uns davor zu schützen, verwenden wir bei Lokad eine sehr einfache, naive Datenspeicherschicht, wie z.B. Blob-Speicher auf Azure. Die Schlüsselidee besteht darin, eine Datenspeicherschicht zu verwenden, die um Größenordnungen einfacher ist als relationale Datenbanken und keine programmatische Ausdruckskraft hat. Das bedeutet, dass ganze Klassen von Angriffen auf der Ebene unserer Datenspeicherschicht nicht stattfinden können, weil sie zu einfach ist, um Angriffspunkte zu bieten. Wir wenden dieselbe Idee auf viele andere Komponenten an und entscheiden uns für einfachere und weniger ausdrucksstarke Optionen, um die Anzahl der möglichen Fehler zu minimieren.
Kieran Chandler: Also ist es tatsächlich sehr vorteilhaft, einfach und ein wenig dumm zu sein. Das betrifft die Sicherheit durch Design. Wie sieht es mit der Sicherheit in Bezug auf die Unternehmenskultur aus? Welche Art von kulturellen Werten sollten Unternehmen fördern, um ihre Datensicherheit zu erhöhen?
Joannes Vermorel: Offenheit ist wahrscheinlich der Schlüssel.
Kieran Chandler: Wie würden Sie den Festungsansatz beschreiben, den ich in Bezug auf Lieferketten und die Art und Weise, wie Dinge vor zehn Jahren gemacht wurden, erwähnt habe?
Joannes Vermorel: Wenn Sie eine Festungsmentalität haben, möchten Sie Ihre Daten in einem Tresor einschließen, der tief vergraben und sehr schwer zugänglich ist. Dadurch wird alles undurchsichtig und obskur, und der Zugriff auf die Daten ist schwierig. Aber macht das Sie wirklich sicher? Das Problem ist, dass dieses Verhalten und diese Unternehmenskultur in Bezug auf IT sehr sicherheitsfeindlich sind.
Kieran Chandler: Warum sind IT-Systeme nicht sicher?
Joannes Vermorel: IT-Systeme sind nicht vollständig sicher, nicht nur, weil sie sicher gestaltet wurden, sondern auch aufgrund von Designpraktiken. Wenn Sie in der Software keine Korrektheit durch Design haben, ist es sehr schwer, irgendetwas zu sichern. Sobald Sie das haben, zusammen mit einem hohen Maß an Überprüfung in Ihrer Software, was Sie benötigen, um die Sicherheit zu verbessern, ist Transparenz und Offenheit.
Transparenz bedeutet, dass die Menschen sehen können, was in Ihren IT-Systemen passiert, und Sicherheit ist keine emergente Eigenschaft der Tatsache, dass niemand weiß, was in Ihre IT-Systeme einfließt. Die Menschen sollten wissen, wie sie funktionieren, ihre Architektur kennen und sehen können, ob sie korrekt gestaltet und sicher sind. Offenheit bedeutet, Hackern ausgesetzt zu sein, und noch wichtiger, den “White Hats”, den Guten.
Kieran Chandler: Es scheint kontraintuitiv, Ihre Systeme zu offenbaren und jedem zu zeigen, was vor sich geht. Wie macht es Sie sicherer, wenn Menschen versuchen, in Ihre Systeme einzudringen? Was machen diese “White Hats” eigentlich?
Joannes Vermorel: “White Hats” sind die guten Hacker. Sie versuchen, in Systeme einzudringen, um ihren Lebensunterhalt zu verdienen. Bei Lokad haben wir das schon ein paar Mal erlebt. Menschen im Internet registrieren sich für ein kostenloses Konto bei Lokad und versuchen, Dinge auszuprobieren, um Sicherheitslücken zu finden. Einige von ihnen haben es geschafft, Probleme zu finden, aber nur innerhalb eines einzigen Kontos, so dass die Eindämmung eng war.
Wenn sie ein Problem finden, kommen sie zurück und melden es. Sie können nach einer Belohnung fragen, aber es liegt an Ihnen, den Preis festzulegen. Das motiviert sie, mehr Probleme in Ihren Systemen zu finden und sie noch sicherer zu machen. Sie möchten, dass Menschen versuchen, in Ihr System einzudringen, insbesondere “White Hats”, damit sie Ihnen ein Problem gewissenhaft melden, wenn sie eines finden. Sie müssen das Spiel mitspielen und sie fair für den Aufwand entschädigen, den sie in das Hacken Ihres Systems gesteckt haben. So wird es sicherer.
Wenn Ihre Systeme angeblich sicher sind, aber niemand jemals versucht hat, in sie einzudringen, ist das sehr riskant, da Sie es nicht wissen. In der IT gibt es nichts wie eine offensichtliche Festung. In einer echten Festung haben Sie Steinmauern, und es erfordert rohe Gewalt, um hindurchzukommen. Aber in Bezug auf Software kann die Sicherheit manchmal aufgrund des kleinsten Fehlers zusammenbrechen, wie einer winzigen Konfigurationsfrage in einem Ihrer sekundären Server. Daher müssen Sie Personen haben, die überall herumstochern und überall herumstochern, um Ihre Sicherheit zu gewährleisten.
Kieran Chandler: Sicherheit von Anfang bis Ende, das ist irgendwie ein seltsames Konzept, oder? Sie haben diese Leute, die Ihr System hacken, die tatsächlich die Guten sind? Wo ziehen Sie die Grenze zwischen einem Angriff von “White Hats” und etwas, das etwas bösartiger ist?
Joannes Vermorel: Das ist völlig anders. “White Hats” sind wie Freiberufler, aber sie haben ihren Ruf. Sie sind gute Leute, sehr professionell in der Art und Weise, wie sie die Probleme offenlegen. In der Regel melden sie das Problem zuerst an Sie und sagen dann: “Nun, was Sie mir zahlen, liegt irgendwie bei Ihnen.” Einige Unternehmen haben sogar offizielle Belohnungsprogramme. Grundsätzlich sind sie wie Freiberufler, die Ihrem System helfen, in Bezug auf Sicherheit besser zu werden.
“Black Hats” hingegen sind das Gegenteil. Das werden sie nicht tun. Sobald sie ein Loch in Ihrem System finden, werden sie dieses Loch ausnutzen, bis in alle Ewigkeit oder bis Sie das Loch gepatcht haben. Dann werden sie versuchen, Ihre Daten weiterzuverkaufen oder Sie zu erpressen. Das ist sehr unterschiedlich. “White Hats” erpressen nicht. Sie sagen: “Wenn Sie mich nicht bezahlen, ist das in Ordnung. Ich werde nicht bezahlt, aber erwarten Sie nicht, dass ich danach weiter an Ihrem System arbeite.” Sie haben das erste kostenlos gemacht, damit Sie sehen können, dass es eine echte Sache ist und sie ernsthafte Arbeit leisten, nicht nur leere Behauptungen aufstellen. Aber dann liegt es an Ihnen, was Sie bezahlen. Je mehr Sie bezahlen, desto mehr wecken Sie ihr Interesse, weitere Probleme in Ihrem System zu finden. Und das macht Sinn, denn sie sind Freiberufler, die an der Verbesserung der Sicherheit Ihres Unternehmens oder anderer Unternehmen arbeiten könnten, daher müssen sie Prioritäten setzen.
Kieran Chandler: Und Sie haben vorhin erwähnt, dass es sehr einfach sein kann, eine kleine Lücke zu haben, die irgendwo existieren könnte, und das ist es, worin Hacker gut sind - diese Lücken zu finden. Aber können Sie jemals wirklich zuversichtlich in die Sicherheit Ihrer Daten sein? Ich meine, selbst Regierungen werden heutzutage gehackt, und sie scheinen unendlich mehr Ressourcen für solche Dinge zur Verfügung zu haben. Können Sie also jemals wirklich entspannen?
Joannes Vermorel: Die Antwort ist wirklich nein. Es ist interessant, denn ich denke, all diese Sicherheitsprobleme wurden dank Dingen wie Bitcoin sichtbarer. Warum? Weil plötzlich offensichtlich wird, wie unglaublich schwer es ist, irgendetwas zu sichern. Mit Bitcoin, wenn Ihre Maschine, die Ihre Bitcoins enthält, gehackt wird, werden die Bitcoins gestohlen. Die Leute begannen zu realisieren, als sie Bitcoins auf Online-Servern platzierten, dass nach einer Weile praktisch alles weg war. Also haben die Menschen erkannt, wie schwer es war, tatsächlich etwas zu sichern.
Wenn wir das Beispiel der Regierungen nehmen, haben Sie in Bezug auf die Reife in Bezug auf Sicherheit am einen Ende des Spektrums die äußerst guten Unternehmen wie Facebook und Google. Ja, Facebook kann ab und zu gehackt werden, aber Tausende von Menschen versuchen jeden Tag, in Facebook einzudringen. Sie sind also Überlebende und sehr gut, weil sie massiven Angriffen und endlosen Angriffen auf ihre Systeme ausgesetzt sind. Das gilt auch für Google, Amazon und Apple - all diese Unternehmen, die B2C-getrieben und superexponiert sind.
Dann gibt es eine Stufe tiefer in Bezug auf die Praxis alle B2B-Softwareunternehmen wie Lokad. Bei Lokad versuchen wir, im Internet sehr präsent zu sein, in dem Sinne, dass unsere Systeme nicht sicher sind, weil sie undurchsichtig sind. Alles ist online dokumentiert, und Sie können sich sogar frei registrieren und online auf ein Konto zugreifen. Also geben wir uns absichtlich einen hohen Grad an Exposition, genau wie Facebook. Aber seien wir ehrlich, wenn Sie
Kieran Chandler: Joannes, können Sie über die Unterschiede in der Sicherheit zwischen kleinen und großen Organisationen und sogar Regierungen sprechen?
Joannes Vermorel: Ja, sicher. Die Anzahl der Hacker, mit denen kleine Organisationen konfrontiert sind, ist in der Regel geringer, und daher ist ihre Sicherheit tendenziell auch schwächer. Dann haben Sie einen großen Schritt nach unten alles, was wie Mega-Konzerne und Regierungen ist. Ich würde sagen, dass Mega-Konzerne, die nicht technologiegetrieben sind, wie die Googles dieser Welt, tendenziell eine sehr schwache Sicherheit haben. Warum? Weil sie immer noch sehr stark in dieser Festungsmindset, Sicherheit durch Obskurität sind, was bedeutet, dass Dinge nicht gesichert sind, weil sie transparent und exponiert sind, sondern weil sie versuchen, sie wegzusperren. Aber raten Sie mal? Wenn Sie eine sehr große Organisation sind, funktioniert das einfach nicht. Sie können Dinge nicht wegsperren und Zehntausende von jungen Mitarbeitern in der Organisation haben. Das ist einfach nicht kompatibel. Also, im Grunde genommen, ist die Sicherheit tendenziell ziemlich schlecht. Und am äußersten Ende des Spektrums haben Sie das Militär, das wahrscheinlich das Schlechteste in Bezug auf IT-Sicherheit und Praxis ist. Ich weiß, dass die Leute denken würden, dass es genau das Gegenteil ist und sagen würden, dass das Militär absolut sicher sein sollte, extra. Aber im Gegenteil, sie haben jahrzehntelange Erfahrung mit eigenen privaten Netzwerken, eigenen privaten Systemen, allem. Und als Folge davon fehlt ihnen dramatisch die Exposition, die sie haben sollten. Und wenn Sie einige Nachrichten verfolgen, würden Sie sehen, dass einige verschiedene Armeen auf der Welt häufig Töne von relativ rückständigen IT-Problemen haben, die eine direkte Folge von mangelnder Exposition sind.
Kieran Chandler: Was ist es an diesen privaten Netzwerken, das sie anfälliger macht? Denn wenn Sie ein Militärsystem haben, das seit Jahrzehnten privat ist, sollten sie in der Lage sein, ihre Sicherheit in den Griff zu bekommen und es sollte etwas sein, das sicher ist?
Joannes Vermorel: Das Problem ist, wenn Sie sagen, mein Netzwerk ist sicher, weil es vom Internet getrennt ist, na ja, raten Sie mal? Wenn Sie das Militär sind, sind Sie eine große Organisation, die sich über viele Standorte mit Zehntausenden von Menschen erstreckt. Wenn Sie tatsächlich ein aktives Militär sind, das im Ausland kämpft, werden sich Ihre Systeme über mehrere Länder erstrecken. Und wie können Sie dieses Netzwerk absolut von allem anderen trennen? Sie können Ihren Mitarbeitern oder den Menschen, die Mitglieder unserer Organisation sind, in diesem Maßstab nicht vertrauen, nicht wenn Sie Tausende von Menschen haben. Die Menge an Akquisitionen, die Sie haben, ist sinnlos, weil wir viele Betrügereien entdeckt haben. Bernie Madoff hatte bis zu seiner Verurteilung nichts in seiner Erfolgsbilanz. Er hatte eine makellose Erfolgsbilanz, bis wir entdeckten, dass er der größte Betrüger in der Geschichte war. Das ist also das, was normalerweise passiert. Wir vertrauen Menschen, bis sie entdeckt werden. Sie haben eine makellose Erfolgsbilanz, und das gilt für Investmentfonds, aber es ist dasselbe für das Militär und so weiter. Das sind einfach menschliche Dinge. Also, um es auf den Punkt zu bringen, wenn Ihr Netzwerk…vollständig getrennt ist, wie kommen Sie dann mit all diesen Hackern in Kontakt, die versuchen, zum Beispiel die Schwachstellen in der Intel-Hardware zu finden und zu untersuchen? Die CPUs-Prozessoren haben zwei Klassen von Schwachstellen, die vor etwa einem Jahr aufgedeckt wurden: Spectre und Meltdown. Das bedeutet, dass die Hardware selbst anfällig ist und dass es Klassen von Softwareanwendungen gibt, die anfällig werden, weil die Hardware, auf der sie ausgeführt werden, kompromittiert ist. Ich glaube nicht eine Sekunde lang, dass irgendein Militär heutzutage keine Intel-Hardware in seinen Systemen hat. Ich meine, Intel hat etwa über fünfzig Prozent Marktanteil bei CPUs für Desktops. Also, ich bin mir ziemlich sicher, dass jede Armee der Welt buchstäblich Hunderte, wenn nicht Tausende, von Workstations hat, die mit Intel-Hardware arbeiten, die kritische Schwachstellen aufweist. Wie gehen Sie damit um, wenn Sie keine Leute haben, die versuchen, das Problem zu beheben? Nun, die Chancen stehen gut, dass Sie einfach anfällig bleiben, bis jemand es schafft, sich mit Ihrem angeblich privaten und geschützten Netzwerk zu verbinden, und dann wird alles in Gefahr sein, weil alles irgendwie schwach ist und nicht genug Aufmerksamkeit erhalten hat.
Kieran Chandler: Es wird langsam etwas beunruhigend. Ich kann heute Nacht vielleicht nicht schlafen. Lassen Sie uns also versuchen, mit einer positiveren Note abzuschließen. Die Googles und Facebooks dieser Welt investieren eine enorme Menge in Forschung und Entwicklung im Bereich der Datensicherheit. Können wir uns also einen Tag vorstellen, an dem Hacking der Vergangenheit angehört und nie wirklich existiert?
Joannes Vermorel: Ich glaube schon. Es gibt keine physikalische Gesetzmäßigkeit, die besagt, dass jedes Computersystem unsicher ist. Es gibt kein solches Grundgesetz, das besagt, dass die Menge an Hacking im Laufe der Zeit nur zunehmen wird. Das ist also keine Entropie. Aber die Quintessenz ist, es wird Zeit brauchen. Und was die Lieferketten betrifft, kann diese Entwicklung viel schneller erfolgen, wenn Sie eine Kultur der Offenheit und Transparenz für Ihre Lieferkette und Ihre Lieferkettensysteme annehmen. Das bedeutet, dass Ihre Systeme transparenter und offener sind, aber dennoch gesichert. Ich sage nicht, dass Sie in dem Sinne offen sein wollen, dass jeder von überall auf alles zugreifen kann, das meine ich nicht mit Offenheit. Mit Offenheit meine ich, dass es nicht sicher ist, nur weil nur eine Person in der IT-Abteilung darauf zugreifen können soll. Es handelt sich nicht um diese Art von Sicherheit. Aber im Grunde genommen werden Unternehmen, die Lieferketten mit Systemen haben, die mehr online sind, mehr Sicherheit bieten und eine Verteidigung-in-der-Tiefe-Philosophie haben, viel schneller etwas haben, das viel sicherer ist.
Kieran Chandler: Wir müssen die Dinge dabei belassen. Hoffentlich wird uns niemand hacken, nachdem das hier veröffentlicht wurde, oder vielleicht möchten Sie, dass sie uns hacken. Nur White Hats, bitte. Das ist alles für diese Woche. Vielen Dank fürs Zuschauen, und wir sehen uns nächstes Mal. Bis bald.
