00:00:07 Einführung in das Thema des Cyberrisikos in supply chains während der Coronavirus-Epidemie.
00:00:36 Richard Wildings Hintergrund als Professor für supply chain Strategie und seine Arbeit im Bereich des supply chain Risikomanagements.
00:03:24 Überblick über die Herausforderungen bei der Erkennung und Verhinderung von Cyberrisiken in der Softwareentwicklung.
00:06:06 Die Schwierigkeit, zu bestimmen, wer dafür verantwortlich ist, Cyberangriffe in supply chains zu verhindern.
00:07:44 Die Bedeutung der Benutzerschulung zur Lösung von Sicherheitsproblemen und die Notwendigkeit eines spezifischen Sicherheitsansatzes im Design.
00:08:00 Diskussion darüber, dass Sicherheit von menschlichem Verhalten abhängig ist.
00:09:04 Die kontraintuitive Haltung, die Unternehmen wie Google in Bezug auf Sicherheit einnehmen.
00:09:57 Menschen, die sich ihrer Verantwortung in Sachen Sicherheit bewusst sind.
00:13:06 Menschen, die ihre eigenen Geräte mitbringen, wenn die Sicherheit zu streng ist.
00:15:04 DSGVO und die Bedeutung, nur die notwendigen Daten zu speichern.
00:16:00 Diskussion über die aktuelle Situation, in der Menschen aufgrund des Coronavirus von zu Hause aus arbeiten, und die damit verbundenen Risiken.
00:17:01 Diskussion über die Sicherheit persönlicher Geräte und die Notwendigkeit, dass Unternehmen ihre Mitarbeiter im sicheren Arbeiten von zu Hause aus schulen.
00:18:58 Joannes’ Rat, ein Unternehmen davor zu schützen, dass das Personal schlechte Entscheidungen trifft.
00:19:31 Die Bedeutung des Einsatzes von “white hats” (legitime Hacker) zur Verbesserung der IT-Sicherheit.
23:44 Letzte Gedanken zum andauernden Kampf der Cyber-Sicherheit und die Notwendigkeit, dass die Guten einen Schritt voraus bleiben.
Zusammenfassung
Das Interview zwischen Kieran Chandler, Joannes Vermorel und Richard Wilding dreht sich um das Thema Cyberrisiko in supply chains. Vermorel und Wilding heben die zunehmende Verwundbarkeit von supply chains aufgrund ihrer gestiegenen Konnektivität hervor und betonen den Bedarf an einem umfassenderen Sicherheitsansatz. Sie diskutieren die trade-offs zwischen Komfort und Sicherheit, die kontraintuitive Natur einiger Sicherheitsmaßnahmen und die Auswirkungen von Remote-Arbeit auf die Cybersicherheit. Das Gespräch unterstreicht die Bedeutung eines vielschichtigen Ansatzes in der Cybersicherheit, der Aufklärung, den Einsatz von white hats und verbesserte Software- und Hardwarelösungen einschließt. Sowohl Vermorel als auch Wilding betonen die andauernde Natur des Kampfes gegen Cyberbedrohungen und die Notwendigkeit, dass Individuen und Unternehmen wachsam und anpassungsfähig bleiben.
Erweiterte Zusammenfassung
Kieran Chandler, der Gastgeber des Interviews, stellt die beiden Gäste vor: Joannes Vermorel, den Gründer von Lokad, einem Unternehmen für supply chain Optimierungssoftware, und Richard Wilding, den Leiter (Ordentlicher Professor) der Supply Chain Strategy am Centre for Logistics and Supply Chain Management der Cranfield School of Management UK, Supply Chain Innovator. Das Diskussionsthema ist das Cyberrisiko in supply chains.
Richard Wilding gibt einen Überblick über seinen Werdegang, der ihn zufällig in die Akademia führte, nachdem er seine Karriere in der Industrie begonnen hatte. Mit Erfahrungen im Umgang mit disruptions in supply chains seit den frühen 1990er Jahren hat er sich zu einem Professor für supply chain strategy entwickelt. Sein Ziel ist es, Wissen in Handeln umzusetzen, supply chain Führungskräfte herauszufordern und zu inspirieren, um wirtschaftlichen, sozialen oder ökologischen Mehrwert zu schaffen. Der Fokus der Cranfield University liegt darauf, supply chain Führungskräfte zu befähigen, in ihren Unternehmen zu innovieren und Wert zu schaffen.
Joannes Vermorel spricht das Thema Cyberrisiko und dessen Auswirkungen auf supply chains an. Er beschreibt es als kontraintuitiv und schwer fassbar, da traditionelle Testmethoden und Entwicklungspraktiken Sicherheitsbedenken nicht ausreichend berücksichtigen. Er stellt außerdem fest, dass die Entwicklung von enterprise software in den letzten Jahrzehnten die Angriffsfläche vergrößert hat, wodurch Software anfälliger für Cyberangriffe wird. Der Umzug in Cloud-Umgebungen kann die Sicherheit erhöhen, bietet aber auch mehr Einstiegspunkte für potenzielle Angreifer.
Richard Wilding erörtert die Schwierigkeit, supply chains abzusichern, aufgrund des Strebens nach Offenheit und Konnektivität zwischen Lieferanten und Kunden. Diese Offenheit schafft mehrere Einstiegspunkte für Cyberangriffe, die verheerende Auswirkungen auf Unternehmen haben können. Beispiele für potenzielle Störungen sind Denial-of-Service-Attacken auf Websites, Unterbrechungen von warehouse-Verwaltungssystemen und Eingriffe in autonome Fahrzeuge. Wilding betont, dass die Schwere von Cyberangriffen zunimmt, wenn sie supply chains ins Visier nehmen, im Gegensatz zu einzelnen Websites oder Anwendungen.
Das Interview unterstreicht die wachsende Bedeutung von Cyberrisiko in supply chains und die Herausforderungen, denen Unternehmen bei der Bewältigung von Sicherheitsbedenken gegenüberstehen. Beide Gäste betonen den Bedarf an Innovation in diesem Bereich sowie die Wichtigkeit, traditionelle Methoden zur Absicherung von supply chains neu zu überdenken. Allerdings bleibt die Diskussion unvollständig, und es wird erwartet, dass das Gespräch in Zukunft fortgesetzt wird.
Das Gespräch hebt die zunehmende Verwundbarkeit von supply chains aufgrund ihrer wachsenden Konnektivität hervor, mit einem Schwerpunkt auf Cyberangriffen.
Richard betont, dass Cyberangriffe auf supply chains in den letzten Jahren häufiger geworden sind und dass es jedermanns Verantwortung ist, die Sicherheit zu gewährleisten. Er argumentiert, dass es unerlässlich sei, alle Beteiligten über potenzielle Risiken aufzuklären. Joannes hingegen ist der Ansicht, dass es nicht ausreicht, sich ausschließlich auf die Benutzerschulung zu verlassen. Stattdessen plädiert er für “correctness by design”, bei dem Sicherheitsmaßnahmen in Systeme integriert werden, um die Möglichkeit menschlicher Fehler zu reduzieren.
Um seinen Standpunkt zu verdeutlichen, teilt Joannes das Beispiel des “USB key on the parking lot attack,” bei dem ein mit Malware infizierter USB-Stick an einem öffentlichen Ort zurückgelassen wird, um die menschliche Neugier auszunutzen und Systeme zu kompromittieren. Er kontrastiert dies mit den Sicherheitsansätzen von Unternehmen wie Google, die davon ausgehen, dass Menschen Fehler machen, und ihre Systeme entsprechend entwerfen.
Richard stimmt zu, dass Korrektheit durch Design entscheidend ist, besteht jedoch auch darauf, dass menschliche Fehler nach wie vor ein wesentlicher Faktor bei vielen Cybersecurity-Verstößen sind. Er führt Beispiele wie den Target-Datenverstoß an, der durch einen Angriff auf einen Lieferanten mittels Phishing-E-Mails zustande kam. Dieser Vorfall kostete das Unternehmen Millionen und veranschaulicht die Bedeutung von sowohl Sensibilisierung als auch Systemdesign zur Sicherung der supply chain.
Sowohl Joannes als auch Richard sind sich einig, dass eine Kombination aus Benutzerschulung, Bewusstsein und Systemdesign erforderlich ist, um die Sicherheit der supply chain zu verbessern. Die Balance zwischen Offenheit für Innovation und Systemabsicherung ist eine Herausforderung, der sich Unternehmen stellen müssen, um die Sicherheit ihrer Informationen und Vermögenswerte zu gewährleisten.
Das Gespräch behandelt das Gleichgewicht zwischen Zugänglichkeit und Sicherheit, die kontraintuitive Natur einiger Sicherheitsmaßnahmen und die Auswirkungen von Remote-Arbeit aufgrund der Coronavirus-Pandemie.
Die Diskussion hebt hervor, dass Sicherheitsmaßnahmen manchmal nach hinten losgehen und zu unbeabsichtigten Konsequenzen führen können. Zum Beispiel, wenn Unternehmen strenge Sicherheitsmaßnahmen bei Laptops umsetzen, könnten Mitarbeiter ihre eigenen Geräte mitbringen und so unbeabsichtigt Sicherheitsrisiken schaffen. Ebenso kann häufiges Rotieren der Passwörter dazu führen, dass Mitarbeiter diese aufschreiben, was sie anfälliger macht. Vermorel weist darauf hin, dass es entscheidend ist, die menschlichen Reaktionen auf Sicherheitsmaßnahmen zu berücksichtigen, um kontraproduktive Ergebnisse zu vermeiden.
Wilding fügt hinzu, dass Unternehmen nur die notwendigen Daten aufbewahren und Vorschriften wie die GDPR einhalten sollten, um sich nicht unnötigen Risiken auszusetzen. Er hebt die Bedeutung der Aufklärung der Mitarbeiter über Passwortsicherheit hervor und schlägt vor, dass, obwohl Remote-Arbeit in einigen Aspekten die Sicherheit erhöhen könnte, sie auch neue Risiken einführt, wie etwa persönliche Router und Geräte.
Vermorel äußert Skepsis gegenüber der Bildung als primäre Lösung zur Verhinderung von Sicherheitsverstößen und führt aufkommende Bedrohungen wie gefälschte USB-Kabel an, die Malware übertragen. Das Gespräch betont die Notwendigkeit eines umfassenderen Ansatzes zur Sicherung der supply chain, der das menschliche Verhalten berücksichtigt und Zugänglichkeit mit Schutz abwägt.
Das Gespräch hebt die Herausforderungen hervor, denen sich Unternehmen und Einzelpersonen im Umgang mit zunehmend ausgeklügelten Cyberbedrohungen stellen müssen.
Vermorel teilt ein Beispiel, wie ein scheinbar harmloses Kabel einen Mikrocomputer enthalten kann, der das Potenzial hat, Systeme zu kompromittieren. Er äußert Zweifel an der Wirksamkeit, Menschen im Hinblick auf die Prävention von Cyberangriffen zu schulen, da die Bedrohungen vielfältig und ständig im Wandel sind. Stattdessen schlägt er vor, dass der Einsatz von white-hat hackers zur Identifizierung von Schwachstellen in den Systemen eines Unternehmens ein effektiverer Ansatz zur Verbesserung von IT security sein kann.
Wilding stimmt der Bedeutung des Einsatzes von white-hat hackers zu und erwähnt seine eigene Erfahrung, Hacker anzuheuern, um Sicherheitsmaßnahmen in Unternehmensvorständen zu testen. Er betont auch die Notwendigkeit regelmäßiger Bewertungen aufgrund der sich ständig ändernden Natur von Cyberbedrohungen. Wilding räumt ein, dass es fortschrittlichere Software gibt, die verdächtige Aktivitäten erkennen und Benutzer alarmieren kann, stellt jedoch fest, dass Hardware-Schwachstellen, wie kompromittierte USB-Sticks, nach wie vor erhebliche Risiken darstellen.
Die Interviewten diskutieren die Abwägungen zwischen Komfort und Sicherheit, wobei Wilding die Bedeutung der Etablierung von Richtlinien und Firewalls zur Begrenzung des Potenzials groß angelegter Angriffe hervorhebt. Er teilt auch seinen Optimismus für die Zukunft der Cybersecurity mit und räumt ein, dass es sich um einen “running battle” mit fortlaufenden Verbesserungen handelt. Wilding nennt den integrierten Virenschutz in modernen Windows-Laptops als Beispiel für solche Verbesserungen, weist jedoch auch auf die Notwendigkeit kontinuierlicher Wachsamkeit und Aufmerksamkeit hin.
Sowohl Vermorel als auch Wilding betonen die Bedeutung eines vielschichtigen Ansatzes in der Cybersecurity, der Bewusstsein, white-hat hackers und verbesserte Software- sowie Hardwarelösungen umfasst. Sie erkennen die andauernde Natur des Kampfes gegen Cyberbedrohungen an und heben hervor, dass Einzelpersonen und Unternehmen wachsam und anpassungsfähig bleiben müssen.
Vollständiges Transkript
Kieran Chandler: Heute bei LokadTV freuen wir uns, Professor Richard Wilding begrüßen zu dürfen, der mit uns über das Thema Cyberrisiken in supply chain diskutieren wird. Also, Richard, vielen Dank, dass du heute live aus dem Vereinigten Königreich zu uns gestoßen bist. Vielleicht möchtest du zu Beginn ein wenig über dich und deine Arbeit bei Cranfield erzählen. Richard Wilding: Also, mein Hintergrund begann tatsächlich in der Industrie, und vor einigen Jahren bin ich zufällig in die Akademie gefallen – ich habe es nie geschafft, dem zu entkommen. Aber im Grunde genommen habe ich eine Karriere gemacht, in der ich mich wirklich mit Störungen in supply chain beschäftigt habe, und das bereits seit den frühen 90ern. Natürlich waren die Ereignisse, die wir damals erlebten, ganz anders. In den 2000er-Jahren hatten wir Ereignisse wie 9/11, Aschewolken, Treibstoffkrisen und Maul- und Klauenseuche, die alle das Risiko und die Resilienz von supply chain beeinflussten. Ich wurde tatsächlich wahrscheinlich einer der ersten Professoren für supply chain risk management weltweit, doch dieser Titel hat sich inzwischen weiterentwickelt, und derzeit bin ich Professor für Supply Chain Strategy bei Cranfield. Mein Ziel ist es, Wissen in Handlungen umzusetzen, weshalb ich es liebe, dieses Wissen in der Industrie anzuwenden. Ich war der unmittelbar vorherige Vorsitzende des Chartered Institute of Logistics and Transport im Vereinigten Königreich, das alles abdeckt – von der Bewegung von Gütern und Menschen bis hin zu all ihren dazugehörigen supply chain. Mein Fokus liegt darauf, supply chain leaders herauszufordern und zu inspirieren, innovativ zu sein. Ich hoffe, dass unsere Zuhörer heute einige Ideen mitnehmen und darüber nachdenken, wie sie innovieren können, um wirtschaftlichen, sozialen oder ökologischen Mehrwert zu schaffen. Genau darum geht es bei Cranfield: Wissen an supply chain leaders zu vermitteln, damit sie innovieren und in den supply chain und Unternehmen, in denen sie tätig sind, Werte schaffen. Kieran Chandler: Das ist eine brillante Einführung. Ich bin fest davon überzeugt, dass die Idee der Innovation etwas ist, dem wir hier bei LokadTV zustimmen würden. Joannes, unser heutiges Thema dreht sich vollständig um Cyberrisiken und deren Auswirkungen auf supply chain. Was ist dein erster Eindruck? Joannes Vermorel: Cyberrisiken sind eines dieser Dinge, die in der Praxis äußerst kontraintuitiv sind. Es ist beispielsweise sehr schwierig, Sicherheitsprobleme bei Software zu erkennen. Die meisten üblichen Testmethoden funktionieren nicht, und die typischen Entwicklungspraktiken scheitern daran, diese Bedenken zu adressieren. Es ist ein schwer fassbares Thema. Was in den letzten zehn Jahren zunehmend mein Interesse geweckt hat, ist, dass der Großteil der für Unternehmenssoftware allgemein benötigten Zeit … Kieran Chandler: In den letzten Jahrzehnten beobachten wir eine Zunahme dessen, was technisch als die Surface Attack Area der Software bekannt ist. Man hat Software, die verstärkt Angriffen ausgesetzt ist, insbesondere wenn man zu einer Cloud-Umgebung übergeht. Cloud-Umgebungen sind zwar sicherer, bieten jedoch deutlich mehr Einstiegspunkte für die Software. Außerdem gibt es bei jeder Webanwendung ganze Klassen von Risiken, die hinsichtlich potenzieller Sicherheitsprobleme nur schwer durch Design gemildert oder verhindert werden können. Joannes Vermorel: Kieran, du hast Testmethoden erwähnt, die nicht so gut funktionieren. Richard, wenn wir die Dinge aus der Perspektive einer supply chain betrachten, was macht eine supply chain so schwierig zu sichern?
Richard Wilding: Aus einer supply chain Perspektive wollen wir, dass die Dinge relativ offen sind. Wir möchten mit unseren Lieferanten und Kunden in Verbindung treten, aber das schafft tatsächlich mehrere Einstiegspunkte. Oft finden Angriffe auf der supply chain statt. Wenn ich ein Unternehmen lahmlegen möchte, ist ein Denial-of-Service-Angriff auf eine Website verheerend, aber wenn man darüber nachdenkt, welche Verwüstung angerichtet werden könnte, wenn ein Lagerverwaltungssystem oder autonome Fahrzeuge gestört werden, könnte das für ein Unternehmen in Bezug auf seine Fähigkeit, weiterzufahren und sich wieder aufzurichten, weitaus verheerender sein. Wir stellen fest, dass einige der tatsächlichen Angriffe beispielsweise über ein Lieferantenportal erfolgen. Menschen erlangen Zugriff auf Daten oder können einem großen Kunden Informationen bereitstellen, aber das schafft einen Einstiegspunkt. Wenn jemand etwas so Einfaches wie einen Phishing-Angriff ausführt, kann das Probleme verursachen.
Es gibt mehrere Angriffsflächen, und das ist etwas, worüber ich nun seit etwa 18 Monaten spreche, weil wir einen starken Anstieg der Cyberangriffe auf supply chains gesehen haben. Eine Sache, die wirklich interessant ist, ist, wessen Aufgabe es ist, dies zu verhindern. Das Problem ist, dass, wenn man zum supply chain Team geht, sie sagen, es sei die Aufgabe des IT-Teams. Wenn man zu den IT-Teams geht, sagen sie, es sei die Aufgabe der supply chain. Es ist jedermanns Aufgabe, also müssen wir dafür sorgen, dass alle sich dieser Tatsachen bewusst sind, um solche Vorfälle zu stoppen. Das Schulen des Unternehmens und es auf diese Herausforderungen aufmerksam zu machen, ist entscheidend.
Kieran Chandler: Richard erwähnte, dass supply chains definitiv vernetzter werden. Wenn man sich irgendein multinationales Unternehmen ansieht, verteilen sie heutzutage ihre Systeme auf der ganzen Welt. Würdest du sagen, dass erhöhte Konnektivität eine echte Schwachstelle darstellt?
Joannes Vermorel: Ja, das ist genau das, was ich meinte, als ich von einer vergrößerten Angriffsfläche sprach. Je mehr Dinge Dritten ausgesetzt sind, desto anfälliger werden sie. Im Internet verbindet man sich nicht direkt mit einer Person, also wenn man ein Webportal hat, besitzt man ein Stück Software, das über Port 80 mittels HTTP interagiert. Es kann sich auf der anderen Seite befinden; es ist immer eine Maschine. Die Maschine kann von einem Menschen bedient werden, und sie kann von einem Menschen bedient werden, der zufällig der Mitarbeiter ist, von dem man annimmt, dass es diese Person ist.
Kieran Chandler: Also, danke, aber wo würdest du leicht abschweifen und wo denkst du, könnte es in puncto Sicherheit zu einer Divergenz kommen, vielleicht in der Interpretation?
Joannes Vermorel: Ich glaube, dass die allgemeine Schulung der Nutzer nicht ausreicht, um diese Sicherheitsprobleme zu lösen. Deshalb ist das Thema so stark fokussiert. Es muss gewissermaßen eine Sicherheitsfalle darstellen, und hier braucht man wirklich einen spezifischen Ansatz des Correctness by Design. Man kann nicht erwarten, dass Menschen keine Anhänge anklicken oder Ähnliches. Wenn man erwartet, dass Menschen sich an Regeln halten, bei denen sie nur einen Klick vom Desaster entfernt sind, werden sie es tun. Zum Beispiel ist einer der einfachen Angriffe der sogenannte USB-Stick-auf-dem-Parkplatz-Angriff. Man lässt einfach einen USB-Stick mit Malware auf dem Parkplatz liegen und schreibt “Bitcoin stash” darauf. Man kann sicher sein, dass es jemanden geben wird, der den Stick tatsächlich ausprobiert, indem er ihn an den Computer anschließt. Wenn man darauf vertraut, dass die Leute geschult sind – ich meine, sie sind schließlich Menschen –, selbst wenn sie ziemlich klug sind, können sie müde werden oder einen Denkfehler machen. Es passiert einfach. Wenn man also darauf setzt, dass die Leute smart, aufmerksam und gebildet sind, funktioniert das in gewisser Weise nicht. Und es ist recht kurios, denn wenn man sieht, wie Sicherheit in Unternehmen gehandhabt wird, wie bei Google, nehmen sie den entgegengesetzten Ansatz. Ein Ansatz, der in anderen Bereichen wie der Kernindustrie öfter angewendet wird, wo man im Gegenteil davon ausgeht, dass die Menschen Fehler machen. Wenn man denkt, dass sie etwas unglaublich Dummes tun werden, fragt man sich: Können sie nicht sogar noch etwas tun, das noch schlimmer ist? Aber es gibt viele andere ähnliche Ideen, die quasi by design umgesetzt sind.
Kieran Chandler: Okay, Joannes hat da die Idee des Correctness by Design erwähnt, Richard. Welche Methoden können wir einführen, um sicherzustellen, dass unsere Systeme wirklich sicher sind?
Richard Wilding: Ich denke, das ist eine interessante Sache, und wir müssen wirklich Correctness by Design umsetzen. Daran gibt es keinen Zweifel. Aber wenn man sich die alte 80-20-Regel als Ursache vieler Probleme ansieht, sind es leider die Menschen. Und es ist interessant zu bemerken, dass Google Australia von einigen Hacktivisten gehackt wurde, nur um zu zeigen, dass sie es können. Der Zugang erfolgte tatsächlich über das Gebäudeleitsystem für Googles schönes neues Gebäude in Australien. Es wurde gehackt. Wenn man sich einige der wirklich massiven Störungen für Unternehmen anschaut, wie Target in den USA, das immer noch mit allerlei Sammelklagen und allem drum und dran zu kämpfen hat, war das ziemlich bezeichnend. Vierzig Millionen Zahlungskarten-Zugangsdaten und siebzig Millionen Kundendatensätze wurden einfach abgegriffen, und dies geschah über das Heizungs- und Lüftungssteuerungssystem. Ein Lieferant wurde mit Phishing-E-Mails ins Visier genommen. Sie konnten dann in diesen Geschäftsbereich eindringen, Daten sammeln, das Point-of-Sale-Netzwerk ermitteln und sich dann einfach an den Informationen bedienen.
Kieran Chandler: Das ist wirklich wichtig, denn fuel hat sie bisher, ob man es glaubt oder nicht, 162 Millionen gekostet. Das ist eine bestimmte Störung, die aufgetreten ist. Aber ich denke, der entscheidende Punkt hier ist, die Leute tatsächlich auf diese Dinge aufmerksam zu machen, auf ihre Verantwortlichkeiten hinzuweisen. Und dann kommt auch der Design-Aspekt ins Spiel. Das Problem ist, dass man ein gewisses Maß an Offenheit benötigt.
Richard Wilding: Richtig, wenn ich nur an meinen Laptop denke, dann kann die Universität ihn sperren, sodass ich nichts mehr damit machen kann, und das ist nicht besonders spaßig. Vor ein paar Jahren hatten wir das, wo es hieß: “Das ist Unternehmenspolitik. Niemand darf auf LinkedIn, niemand auf YouTube, niemand auf dies oder das zugreifen.” Aber das Problem ist: Zurück zur Innovation – Innovation bedeutet, Ideen, die neu für dich sind, aufzunehmen und daraus Wert zu schöpfen. Wenn du plötzlich deine Systeme einschränkst, weil sie möglicherweise den Zugang zu Dingen ermöglichen, den man nicht haben sollte, oder weil sie unsere Infrastruktur schwächen, kann das tatsächlich eine andere Wirkung haben. So hat beispielsweise der große “Social Media Blackout” im Unternehmen, könnte man behaupten, auch zu einem Innovations-Blackout geführt. Denn nun werden viele der innovativen und guten Ideen effektiv über diese Kanäle geteilt. Man muss also besonders vorsichtig sein, und ich denke, es geht darum, ein Gleichgewicht zwischen Zugänglichkeit und Sicherheit zu finden und dabei sicherzustellen, dass, wenn etwas schiefgeht, es by design schnell erkannt wird.
Kieran Chandler: Okay, wolltest du da etwas einwerfen, Joannes?
Joannes Vermorel: Ja, ich meine, um dir ein Beispiel zu geben – als ich sagte, dass es kontraintuitiv ist – denke ich, dass die ganze Idee des Lockdowns ein perfektes Beispiel dafür ist. Wenn du eine überaus strenge Sicherheit für Laptops hast, bei der das Unternehmen nur die genehmigte Software installieren kann und du nur die genehmigten Websites besuchen darfst, was passiert dann in der Praxis? Die Leute bringen ihre eigenen Geräte mit, sie kaufen sich ihre eigenen Laptops. In der Theorie denkt man, dass man Sicherheit schafft, aber in der Praxis nicht, weil die Leute reagieren und nebenbei etwas anderes tun. Und dasselbe gilt beispielsweise für Passwörter. Es gab Studien, sogar veröffentlicht von der NSA in den USA, die gezeigt haben, dass Passwortrotationen schädlich sind. Wenn du Passwörter häufig änderst, kleben die Leute oft Haftnotizen auf ihren Schreibtischen mit dem Passwort der Woche. So landet man mit ganzen Büros, in denen das Passwort von jedem auf jedem Schreibtisch als Haftnotiz zu finden ist.
Deshalb sage ich, dass es sehr kontraintuitiv ist – und es geht nicht nur um ein Gleichgewicht. Tatsächlich kann man die Leute oft dazu bringen, Dinge zu tun, die noch weniger sicher sind. Und ich denke, die Kernindustrie hat viele gute Beispiele dafür. Wenn man die Menschen mit zu viel Schutzausrüstung belastet, wird es im Sommer irgendwann einfach zu heiß, sodass sie alles ablegen, nur weil sie die Hitze der ganzen Ausrüstung nicht ertragen können, und so landen sie letztlich ohne jegliche Schutzausrüstung – was sehr dumm ist. Deshalb ist Sicherheit so kompliziert. Es liegt daran, dass man bedenken muss, wie Menschen reagieren, und es gleicht einer völlig rekursiven Rückkopplungsschleife.
Kieran Chandler: Man denke darüber nach; es gibt einige Daten, die man gar nicht über längere Zeit sammeln sollte, vielleicht nur eine Woche und dann wieder löschen.
Richard Wilding: Ich denke, das Interessante an Target war natürlich, dass sie die Daten gar nicht gespeichert haben. Sie flossen lediglich durch ihre Systeme hindurch. Wenn du eine Kreditkartentransaktion durchführst, muss diese über das Internet zur Bank geleitet werden. Wenn du diesen Datenstrom anzapfen kannst – was im Grunde genommen genau das war, was passierte – dann kannst du derartige Dinge tun. Aber ich denke, es ist wirklich wichtig, wenn man an die DSGVO und den Datenschutz denkt, nur das zu speichern, was wirklich benötigt wird. Was bringt es, all diesen Datenvorrat zu haben? Einige Unternehmen glauben inzwischen mit artificial intelligence, dass sie all diese Daten behalten sollten, weil sie in Zukunft vielleicht etwas Nützliches damit anstellen können. Nun, das ist ein bisschen so, als würde ich jede einzelne E-Mail behalten, die ich jemals in meinem Leben geschrieben habe. Werde ich jemals etwas Nützliches damit machen? Darüber müssen wir nachdenken.
Ich liebe dieses kleine Zitat, wenn ich mit Leuten über Passwörter spreche: “Passwörter sind wie Unterwäsche. Man möchte nicht, dass sie von anderen gesehen werden, man sollte sie oft wechseln und sie nicht mit Fremden teilen.” Aber gleichzeitig muss man sicherstellen, dass man sich diese Dinge auch merken kann – weshalb man auf andere Ansätze angewiesen ist.
Kieran Chandler: Richard, lass uns ein wenig über die aktuelle Situation sprechen, in der aufgrund des Coronavirus immer mehr Menschen von zu Hause aus arbeiten. Vermutlich hat das wesentlich mehr Risiken mit sich gebracht. Was kann ein Unternehmen – vielleicht jemand, der das hier sieht – tun, um sich zu schützen?
Richard Wilding: Nun, ich würde empfehlen, dass, wenn man von zu Hause arbeitet, es in gewisser Weise sicherer sein könnte, weil, falls doch Passwörter überall auf meinem Schreibtisch herumliegen – was sie nicht tun –, weniger Personen in Umlauf sind. Es gibt also einige Aspekte, die dafür sprechen, dass Remote-Arbeit etwas sicherer ist. Gleichzeitig nutzen jedoch inzwischen alle ihre eigenen Geräte, was schon zuvor erwähnt wurde, und dem müssen wir uns ebenfalls stellen. Es ist außerdem wichtig anzuerkennen, dass wir unsere eigenen Router, Internetverbindungen, Wi-Fi-Netzwerke und alles Weitere verwenden. Wie sicher ist das also? Ich denke, Unternehmen müssen damit beginnen, ihre Mitarbeiter über das Arbeiten von zu Hause aufzuklären und Ressourcen wie Cyber Essentials zu nutzen, um sie in ihrem Handeln zu unterstützen.
Kieran Chandler: Joannes, was ist dein Rat für jemanden, der das hier sieht? Aus deiner Erfahrung: Wie schützt du ein Unternehmen davor, dass Mitarbeiter – so wie ich vielleicht – schlechte Entscheidungen treffen?
Joannes Vermorel: Ich glaube wirklich nicht an den Weg der bloßen Aufklärung – oder, falls doch, nur in sehr spezifischer Weise. Um dir eine Vorstellung von den aufkommenden Bedrohungen zu geben, die wir heutzutage sehen, gibt es massenhaft Fälschungen auf Amazon, und selbst bei Dingen…
Kieran Chandler: Also, Richard, fangen wir mit dir an. Wir hören viel über den Trend zum Remote-Arbeiten, besonders im Kontext der Pandemie. Was sind einige der größten Bedenken, die du in Bezug auf IT-Sicherheit in der Remote-Arbeitsumgebung hast?
Richard Wilding: Nun, ich denke, es gibt eine ganze Reihe von Bedenken hinsichtlich der IT-Sicherheit, wenn es ums Remote-Arbeiten geht. Eine Sache, an die die Leute vielleicht nicht unbedingt denken, ist, wie grundlegend einige dieser Bedenken sein können. Zum Beispiel können einfache Dinge wie USB-Kabel, die wir täglich benutzen, tatsächlich Malware auf deinen Computer übertragen. Mit dem Fortschritt der Computertechnik ist es jetzt möglich, einen Mikrocomputer in einem Kabel unterzubringen. Und das ist nur ein Beispiel dafür, was mit Adaptern und ähnlichen Geräten geschehen kann. Der eigentliche Punkt ist also, dass man einen Rechner von vor 20 Jahren in einem Kabel haben kann, das genauso aussieht wie ein normales Kabel. Und es könnte sogar eine Marke tragen, der du vertraust – aber das, was du kaufst, könnte tatsächlich eine Fälschung sein. Amazon hatte damit einige Probleme.
Joannes Vermorel: Wenn ich dazu etwas hinzufügen darf, Kieran, bin ich sehr skeptisch, dass reine Schulungen einen Unterschied in der IT-Sicherheit machen werden. Die Probleme sind so weit verbreitet und vielfältig, dass ich nicht glaube, dass man sich darauf verlassen kann, dass sich die Menschen immer auf eine bestimmte Weise verhalten. Aber ich denke, dass Remote-Arbeit einen positiven Vorteil hat, an den die Leute vielleicht nicht denken, nämlich dass sie Homeoffice akzeptabler macht. Und meiner Erfahrung nach ist der positivste Weg, die IT-Sicherheit zu verbessern, tatsächlich die Beschäftigung von White Hats – also Hackern, die ihre Dienste remote anbieten, um Sicherheitslücken in der Unternehmenssicherheit zu finden. Es ist seltsam, aber Sicherheit ist ein so merkwürdiges Feld, dass es sehr gut möglich ist, dass sich die Menschen nicht wie erwartet verhalten. Zum Beispiel könnte sich jemand als technischer Support ausgeben und dich anrufen, um Zugang zu deinem Computer zu erhalten.
Richard Wilding: Ja, Joannes, da bin ich völlig bei dir. Tatsächlich haben wir in meiner Funktion in Vorständen solche Personen beschäftigt – meist ehemalige Hacker, die ihre Zeit im Gefängnis verbracht haben und jetzt mit Organisationen zusammenarbeiten, um Schwachstellen in deren Sicherheit zu finden. Es ist wichtig, das regelmäßig zu tun, weil sich die Angriffsmethoden ständig ändern. Es ist auch wichtig, dass die Leute wissen, was zu tun ist, wenn ein Angriff erfolgt. Es gibt inzwischen ausgefeiltere Software, die Änderungen an Dateien oder am Code erkennen kann, der umgeschrieben wird, aber wir müssen auch an den Hardware-Ansatz denken. Zum Beispiel sind USB-Sticks in manchen Umgebungen, etwa auf dem Militärcampus in Cranfield, wo ich arbeite, nicht erlaubt.
Kieran Chandler: Das ist wirklich interessant. Also, Richard, kannst du uns ein wenig mehr über die Software-Ansätze erzählen, die jetzt verwendet werden, um Cyberangriffe zu erkennen?
Richard Wilding: Ja, es gibt nun fortschrittlichere Softwareansätze, die erkennen können, wann Dateien geändert oder Codefragmente umgeschrieben werden. Sie können bei diesen Änderungen Warnmeldungen erzeugen und helfen, Angriffe zu verhindern, bevor sie eintreten. Aber, wie bereits erwähnt, müssen wir auch an den Hardwareansatz denken. Wir müssen Richtlinien für grundlegende Dinge wie USB-Sticks und Kabel haben und regelmäßig White Hats einsetzen, um Schwachstellen in unserer Sicherheit aufzudecken.
Kieran Chandler: Also, Joannes, Richard, wir haben viel über die Schwachstellen und Risiken im Zusammenhang mit Cybersicherheit gesprochen, aber welche Möglichkeiten gibt es, uns zu schützen?
Joannes Vermorel: Nun, ich denke, das Erste, was man verstehen muss, ist, dass Cybersicherheit kein absolutes Gut ist. Es ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit. Zum Beispiel, wenn man ein sehr sicheres System hat, kann es sehr unpraktisch in der Anwendung sein, und wenn es sehr benutzerfreundlich ist, mag es nicht sehr sicher sein. Deshalb müssen wir ein Gleichgewicht zwischen diesen beiden Aspekten finden.
Richard Wilding: Ja, und ich denke, ein weiterer wichtiger Punkt ist, dass wir irgendeine Art von Firewall benötigen, um das, was in unseren Systemen vor sich geht, einzuschränken. Wir wollen keinen Mega-Angriff, daher müssen wir in der Lage sein, Malware zu erkennen und deren Einsatz zu verhindern.
Kieran Chandler: Das ist ein guter Punkt. Schauen wir uns also kurz die positiven Aspekte an. Die Cybersicherheit hat in den letzten Jahrzehnten enorme Fortschritte gemacht. Glaubt ihr, dass sie sich weiterhin verbessern wird und dass wir eines Tages sicherer sein werden als je zuvor?
Richard Wilding: Ich denke, es ist ein andauernder Kampf, um ehrlich zu sein. Cybersicherheit ist ein fortlaufendes Spiel, das sich ständig weiterentwickelt. Dennoch glaube ich, dass sich die Dinge verbessern. Zum Beispiel, wenn man heute einen Windows-Laptop kauft, wird er mit Windows 10 ausgeliefert, das einen halbwegs anständigen Virenschutz bietet, der einen Teil der Arbeit kostenlos übernimmt. So erkennen wir, dass Cybersicherheit zunehmend zum Gesamtpaket gehört.
Joannes Vermorel: Ja, aber wir müssen auch das Bewusstsein bei allen stärken. Die Menschen müssen wissen, dass schon ein USB-Stick oder ein Kabel erheblichen Schaden anrichten kann. Das ist die Natur der Sache. Aber wenn die Menschen sich dessen bewusst sind, werden sie es sich zweimal überlegen, bevor sie derartige Dinge tun.
Kieran Chandler: Es ist also eine Kombination aus der Schaffung von Bewusstsein und dem Vorhalten von Systemen, die in der Lage sind, Malware zu erkennen und zu stoppen. Gut, wir müssen hier Schluss machen, aber danke euch beiden für eure Zeit. Das war alles für diese Woche. Vielen Dank fürs Einschalten, und wir sehen uns in der nächsten Episode wieder. Danke fürs Zuschauen.
