00:00:07 Einführung in das Thema des Cyber-Risikos in Lieferketten während der Coronavirus-Epidemie.
00:00:36 Richard Wildings Hintergrund als Professor für Supply Chain Strategy und seine Arbeit im Bereich des Risikomanagements in Lieferketten.
00:03:24 Überblick über die Herausforderungen bei der Erkennung und Verhinderung von Cyber-Risiken in der Softwareentwicklung.
00:06:06 Die Schwierigkeit, festzustellen, wer für die Verhinderung von Cyber-Angriffen in Lieferketten verantwortlich ist.
00:07:44 Die Bedeutung der Benutzerschulung bei der Lösung von Sicherheitsproblemen und die Notwendigkeit eines spezifischen Sicherheitsansatzes bei der Gestaltung.
00:08:00 Diskussion über die Sicherheit, die auf menschlichem Verhalten beruht.
00:09:04 Gegensätzliche Haltung von Unternehmen wie Google zur Sicherheit.
00:09:57 Menschen, die sich ihrer Verantwortung in Bezug auf Sicherheit bewusst sind.
00:13:06 Menschen, die ihre eigenen Geräte mitbringen, wenn die Sicherheit zu streng ist.
00:15:04 DSGVO und die Bedeutung der Aufbewahrung nur notwendiger Daten.
00:16:00 Diskussion über die aktuelle Situation mit Menschen, die aufgrund des Coronavirus von zu Hause aus arbeiten, und die dadurch entstandenen Risiken.
00:17:01 Diskussion über die Sicherheit persönlicher Geräte und die Notwendigkeit, Mitarbeiter von Unternehmen im sicheren Arbeiten von zu Hause aus zu schulen.
00:18:58 Joannes’ Ratschlag zum Schutz eines Unternehmens vor schlechten Entscheidungen der Mitarbeiter.
00:19:31 Die Bedeutung der Verwendung von “White Hats” (legitime Hacker) zur Verbesserung der IT-Sicherheit.
23:44 Abschließende Gedanken zum andauernden Kampf der Cybersicherheit und der Notwendigkeit, dass die Guten vorausbleiben.
Zusammenfassung
Das Interview zwischen Kieran Chandler, Joannes Vermorel und Richard Wilding dreht sich um das Thema Cyber-Risiko in Lieferketten. Vermorel und Wilding betonen die wachsende Verwundbarkeit von Lieferketten aufgrund ihrer zunehmenden Vernetzung und betonen die Notwendigkeit eines umfassenderen Sicherheitsansatzes. Sie diskutieren die Abwägungen zwischen Bequemlichkeit und Sicherheit, die gegensätzliche Natur einiger Sicherheitsmaßnahmen und die Auswirkungen der Remote-Arbeit auf die Cybersicherheit. Das Gespräch betont die Bedeutung eines vielschichtigen Ansatzes zur Cybersicherheit, einschließlich Bewusstsein, White-Hat-Hacker und verbesserte Software- und Hardwarelösungen. Sowohl Vermorel als auch Wilding betonen die fortlaufende Natur des Kampfes gegen Cyberbedrohungen und die Notwendigkeit für Einzelpersonen und Unternehmen, wachsam und anpassungsfähig zu bleiben.
Erweiterte Zusammenfassung
Kieran Chandler, der Moderator des Interviews, stellt die beiden Gäste vor: Joannes Vermorel, den Gründer von Lokad, einem Unternehmen für die Optimierung von Lieferkettensoftware, und Richard Wilding, Lehrstuhlinhaber (Full Professor) für Supply Chain Strategy am Centre for Logistics and Supply Chain Management der Cranfield School of Management UK, Supply Chain Innovator. Das Diskussionsthema ist das Cyber-Risiko in Lieferketten.
Richard Wilding gibt einen Überblick über seinen Hintergrund, nachdem er versehentlich in die Wissenschaft gekommen ist, nachdem er seine Karriere in der Industrie begonnen hat. Mit Erfahrungen im Umgang mit Störungen in Lieferketten seit den frühen 1990er Jahren hat er sich zum Professor für Supply Chain Strategy entwickelt. Sein Ziel ist es, Wissen in Aktion umzusetzen und Supply Chain-Führungskräfte herauszufordern und zu inspirieren, wirtschaftlichen, sozialen oder Umweltwert zu schaffen. Der Schwerpunkt der Cranfield University liegt darauf, Supply Chain-Führungskräfte zu befähigen, in ihren Unternehmen Innovationen zu schaffen und Wert zu schaffen.
Joannes Vermorel geht auf das Thema Cyber-Risiko und dessen Auswirkungen auf Lieferketten ein. Er beschreibt es als gegenintuitiv und schwer fassbar, da herkömmliche Testmethoden und Entwicklungsmethoden Sicherheitsbedenken nicht ausreichend berücksichtigen. Er stellt auch fest, dass die Entwicklung von Unternehmenssoftware in den letzten Jahrzehnten die Angriffsfläche erhöht hat und Software anfälliger für Cyber-Angriffe gemacht hat. Die Nutzung von Cloud-Umgebungen kann die Sicherheit erhöhen, bietet aber auch mehr Angriffspunkte für potenzielle Angreifer.
Richard Wilding diskutiert die Schwierigkeit, Lieferketten abzusichern, aufgrund des Wunsches nach Offenheit und Konnektivität zwischen Lieferanten und Kunden. Diese Offenheit schafft mehrere Angriffspunkte für Cyber-Angriffe, die verheerende Auswirkungen auf Unternehmen haben können. Beispiele für potenzielle Störungen sind Denial-of-Service-Angriffe auf Websites, Unterbrechungen des Lagerverwaltungssystems und Eingriffe in autonome Fahrzeuge. Wilding betont, dass die Schwere von Cyber-Angriffen zunimmt, wenn sie sich gegen Lieferketten richten, im Gegensatz zu einzelnen Websites oder Anwendungen.
Das Interview verdeutlicht die wachsende Bedeutung des Cyber-Risikos in Lieferketten und die Herausforderungen, denen Unternehmen bei der Bewältigung von Sicherheitsbedenken gegenüberstehen. Beide Gäste betonen die Notwendigkeit von Innovationen in diesem Bereich sowie die Bedeutung einer Neubewertung traditioneller Methoden zur Sicherung von Lieferketten. Die Diskussion bleibt jedoch unvollständig, und das Gespräch wird voraussichtlich in Zukunft fortgesetzt.
Das Gespräch verdeutlicht die zunehmende Verwundbarkeit von Lieferketten aufgrund ihrer wachsenden Vernetzung, wobei der Schwerpunkt auf Cyber-Angriffen liegt.
Richard betont, dass Cyber-Angriffe auf Lieferketten in den letzten Jahren häufiger geworden sind und es die Verantwortung aller ist, für Sicherheit zu sorgen. Er argumentiert, dass es wichtig ist, alle beteiligten Parteien über potenzielle Risiken aufzuklären. Joannes hingegen ist der Meinung, dass sich allein auf die Schulung der Benutzer nicht ausreichend ist. Stattdessen setzt er sich für “Korrektheit durch Design” ein, bei dem Sicherheitsmaßnahmen in Systeme integriert werden, um die Möglichkeit menschlicher Fehler zu reduzieren.
Um seinen Standpunkt zu verdeutlichen, teilt Joannes das Beispiel des “USB-Sticks auf dem Parkplatz-Angriffs” mit, bei dem ein mit Malware infizierter USB-Stick an einem öffentlichen Ort zurückgelassen wird und menschliche Neugierde ausnutzt, um Systeme zu kompromittieren. Er stellt dies den Sicherheitsansätzen von Unternehmen wie Google gegenüber, die davon ausgehen, dass Menschen Fehler machen und ihre Systeme entsprechend gestalten.
Richard stimmt zu, dass Korrektheit durch Design entscheidend ist, betont jedoch auch, dass menschliche Fehler immer noch eine bedeutende Rolle bei vielen Cybersicherheitsverletzungen spielen. Er nennt Beispiele wie den Target-Datenverstoß, der durch einen Angriff auf einen Lieferanten durch Phishing-E-Mails verursacht wurde. Dieser Verstoß kostete das Unternehmen Millionen und verdeutlicht die Bedeutung von Bewusstsein und Systemdesign bei der Sicherung von Lieferketten.
Sowohl Joannes als auch Richard sind der Meinung, dass eine Kombination aus Benutzerschulung, Bewusstsein und Systemdesign erforderlich ist, um die Sicherheit von Lieferketten zu verbessern. Die Balance zwischen Offenheit für Innovation und Systemabsicherung ist eine Herausforderung, der Unternehmen begegnen müssen, um die Sicherheit ihrer Informationen und Vermögenswerte zu gewährleisten.
Das Gespräch behandelt das Gleichgewicht zwischen Zugänglichkeit und Sicherheit, die gegenintuitive Natur einiger Sicherheitsmaßnahmen und die Auswirkungen der Fernarbeit aufgrund der Coronavirus-Pandemie.
Die Diskussion verdeutlicht, dass Sicherheitsmaßnahmen manchmal nach hinten losgehen und zu unbeabsichtigten Folgen führen können. Wenn Unternehmen beispielsweise strenge Sicherheitsmaßnahmen für Laptops implementieren, können Mitarbeiter ihre eigenen Geräte mitbringen und versehentlich Sicherheitsrisiken schaffen. Ähnlich können häufige Passwortänderungen dazu führen, dass Mitarbeiter ihre Passwörter aufschreiben und dadurch anfälliger werden. Vermorel betont, dass es wichtig ist, menschliche Reaktionen auf Sicherheitsmaßnahmen zu berücksichtigen, um kontraproduktive Ergebnisse zu vermeiden.
Wilding fügt hinzu, dass Unternehmen nur notwendige Daten speichern und Vorschriften wie die DSGVO einhalten sollten, um sich nicht unnötigen Risiken auszusetzen. Er betont die Bedeutung der Schulung von Mitarbeitern in Bezug auf Passwortsicherheit und schlägt vor, dass die Fernarbeit zwar in einigen Aspekten die Sicherheit erhöhen könnte, aber auch neue Risiken mit sich bringt, wie z.B. persönliche Router und Geräte.
Vermorel äußert Skepsis gegenüber der Bildung als primäre Lösung zur Verhinderung von Sicherheitsverletzungen und verweist auf aufkommende Bedrohungen wie gefälschte USB-Kabel, die Malware übertragen. Das Gespräch betont die Notwendigkeit eines umfassenderen Ansatzes zur Sicherheit der Lieferkette, der das menschliche Verhalten berücksichtigt und Zugänglichkeit mit Schutzmaßnahmen in Einklang bringt.
Das Gespräch hebt die Herausforderungen hervor, mit denen Unternehmen und Einzelpersonen bei der Bewältigung immer ausgefeilterer Cyberbedrohungen konfrontiert sind.
Vermorel teilt ein Beispiel dafür, wie ein scheinbar harmloses Kabel einen Mikrocomputer enthalten kann, der Systeme kompromittieren kann. Er äußert Skepsis über die Wirksamkeit des Trainings von Menschen zur Verhinderung von Cyberangriffen, da die Bedrohungen vielfältig und ständig im Wandel sind. Stattdessen schlägt er vor, White-Hat-Hacker einzusetzen, um Schwachstellen in den Systemen eines Unternehmens zu identifizieren, was ein effektiverer Ansatz zur Verbesserung der IT-Sicherheit sein kann.
Wilding stimmt der Bedeutung des Einsatzes von White-Hat-Hackern zu und erwähnt seine eigenen Erfahrungen bei der Einstellung von Hackern zur Überprüfung von Sicherheitsmaßnahmen in Unternehmensgremien. Er betont auch die Notwendigkeit regelmäßiger Bewertungen aufgrund der sich ständig ändernden Natur von Cyberbedrohungen. Wilding erkennt die Existenz anspruchsvollerer Software an, die verdächtige Aktivitäten erkennen und Benutzer warnen kann, weist jedoch darauf hin, dass Hardware-Schwachstellen wie kompromittierte USB-Sticks nach wie vor erhebliche Risiken darstellen.
Die Interviewpartner diskutieren die Kompromisse zwischen Bequemlichkeit und Sicherheit, wobei Wilding auf die Bedeutung der Festlegung von Richtlinien und Firewalls hinweist, um das Potenzial für groß angelegte Angriffe zu begrenzen. Er teilt auch seinen Optimismus für die Zukunft der Cybersicherheit mit und erkennt an, dass es sich um einen “laufenden Kampf” mit fortlaufenden Verbesserungen handelt. Wilding nennt den integrierten Virenschutz in modernen Windows-Laptops als Beispiel für solche Verbesserungen, betont jedoch auch die Notwendigkeit kontinuierlicher Aufmerksamkeit und Wachsamkeit.
Sowohl Vermorel als auch Wilding betonen die Bedeutung eines vielschichtigen Ansatzes zur Cybersicherheit, einschließlich Aufklärung, White-Hat-Hackern sowie verbesserten Software- und Hardwarelösungen. Sie erkennen die fortlaufende Natur des Kampfes gegen Cyberbedrohungen an und betonen die Notwendigkeit für Einzelpersonen und Unternehmen, wachsam und anpassungsfähig zu bleiben.
Vollständiges Transkript
Kieran Chandler: Heute bei LokadTV freuen wir uns, Professor Richard Wilding begrüßen zu dürfen, der mit uns über das Thema Cyberrisiken in Lieferketten sprechen wird. Richard, vielen Dank, dass Sie heute live aus dem Vereinigten Königreich dabei sind. Vielleicht könnten Sie uns zu Beginn ein wenig über sich selbst und Ihre Arbeit an der Cranfield University erzählen.
Richard Wilding: Also, mein Hintergrund begann tatsächlich in der Industrie, und vor einigen Jahren bin ich zufällig in die Wissenschaft geraten. Ich konnte nie entkommen. Aber im Grunde genommen beschäftige ich mich schon seit den frühen 90er Jahren mit Störungen in Lieferketten. Natürlich waren die Arten von Ereignissen, die wir damals erlebten, sehr unterschiedlich. In den 2000er Jahren hatten wir Ereignisse wie den 11. September, Aschewolken, Kraftstoffkrisen und Maul- und Klauenseuche, die alle das Risiko und die Widerstandsfähigkeit von Lieferketten beeinflussten. Ich wurde wahrscheinlich einer der ersten Professoren für Risikomanagement in Lieferketten weltweit, aber dieser Titel hat sich jetzt weiterentwickelt, und ich bin derzeit Professor für Lieferkettenstrategie an der Cranfield University. Mein Ziel ist es, Wissen in die Praxis umzusetzen. Ich liebe es, dieses Wissen zu nehmen und in der Industrie Maßnahmen zu ergreifen. Ich bin der unmittelbare ehemalige Vorsitzende des Chartered Institute of Logistics and Transport im Vereinigten Königreich, das alles von der Güter- und Personenbeförderung bis hin zu allen damit verbundenen Lieferketten abdeckt. Mein Fokus liegt darauf, Lieferkettenführer herauszufordern und zu inspirieren, Innovationen voranzutreiben. Ich hoffe, dass unsere Zuhörer heute einige Ideen mitnehmen und darüber nachdenken können, wie sie Innovationen schaffen können, um wirtschaftlichen, sozialen oder Umweltwert zu schaffen. Darum geht es bei Cranfield, Wissen zu Lieferkettenführern zu bringen und ihnen zu ermöglichen, in den Lieferketten und Unternehmen, in denen sie arbeiten, Wert zu schaffen und innovativ zu sein.
Kieran Chandler: Das ist eine brillante Einführung. Ich denke auf jeden Fall, dass wir hier bei LokadTV der Idee der Innovation zustimmen würden. Joannes, unser heutiges Thema dreht sich ganz um das Thema Cyber-Risiken und deren Auswirkungen auf unsere Lieferketten. Was ist dein erster Überblick?
Joannes Vermorel: Cyber-Risiken sind eine dieser Dinge, die in der Praxis super gegenintuitiv sind. Es ist zum Beispiel sehr schwierig, Sicherheitsprobleme bei Software zu erkennen. Die meisten üblichen Testmethoden funktionieren nicht und die meisten typischen Entwicklungspraktiken versagen darin, diese Bedenken anzugehen. Es ist ein schwer fassbares Thema. Was in den letzten Jahrzehnten zunehmend mein Interesse geweckt hat, ist, dass die meiste Zeit, die von Unternehmenssoftware beansprucht wird,
Kieran Chandler: In den letzten Jahrzehnten sehen wir tendenziell eine Zunahme dessen, was technisch als Angriffsfläche der Software bekannt ist. Sie haben Software, die stärker Angriffen ausgesetzt ist, insbesondere wenn Sie sich in Richtung einer Cloud-Umgebung bewegen. Cloud-Umgebungen sind sicherer, aber Sie haben viel mehr Einstiegspunkte für Ihre Software. Außerdem haben Sie bei einer Webanwendung ganze Klassen von Risiken, die sehr schwer abzumildern oder durch Design in Bezug auf potenzielle Sicherheitsprobleme zu verhindern sind.
Joannes Vermorel: Kieran, du hast von Testmethoden gesprochen, die nicht so gut funktionieren. Richard, wenn wir die Dinge aus der Perspektive einer Lieferkette betrachten, was macht es so schwierig, eine Lieferkette abzusichern?
Richard Wilding: Aus Sicht der Lieferkette möchten wir, dass die Dinge relativ offen sind. Wir möchten uns mit unseren Lieferanten und Kunden verbinden, aber das schafft tatsächlich mehrere Einstiegspunkte. Oftmals finden Angriffe in der Lieferkette statt. Wenn ich ein Unternehmen zum Stillstand bringen möchte, ist ein Denial-of-Service-Angriff auf eine Website verheerend, aber wenn Sie über die Verwüstung nachdenken, die durch die Störung eines Lagerverwaltungssystems oder autonomer Fahrzeuge verursacht werden könnte, könnte dies für ein Unternehmen in Bezug auf seine Fähigkeit, fortzufahren und sich in Zukunft wiederzubeleben, weitaus verheerender sein. Wir stellen fest, dass einige der tatsächlichen Angriffe beispielsweise über ein Lieferantenportal erfolgen. Personen erhalten Zugriff auf Daten oder können einem großen Kunden Informationen liefern, aber das schafft einen Einstiegspunkt. Wenn jemand etwas so Einfaches wie einen Phishing-Angriff durchführen könnte, kann dies Probleme verursachen.
Es gibt mehrere Angriffsflächen, und das ist etwas, worüber ich wahrscheinlich seit 18 Monaten spreche, weil wir einen starken Anstieg von Cyber-Angriffen auf Lieferketten festgestellt haben. Eine Sache, die wirklich interessant ist, ist, wer dafür verantwortlich ist, dass dies nicht passiert. Das Problem ist, wenn Sie zum Lieferketten-Team gehen, werden sie sagen, dass es die Aufgabe des IT-Teams ist. Wenn Sie zum IT-Team gehen, werden sie sagen, dass es die Aufgabe der Lieferkette ist. Es ist die Aufgabe aller, daher müssen wir sicherstellen, dass es bei allen ein Bewusstsein gibt, um diese Art von Dingen zu stoppen. Die Aufklärung des Unternehmens und die Sensibilisierung für diese Herausforderungen sind entscheidend.
Kieran Chandler: Richard hat erwähnt, dass Lieferketten definitiv immer stärker vernetzt werden. Wenn man sich ein multinationales Unternehmen ansieht, verteilen sie ihre Systeme heutzutage auf der ganzen Welt. Würden Sie sagen, dass die zunehmende Vernetzung eine echte Schwachstelle ist?
Joannes Vermorel: Ja, das ist genau das, was ich meinte, als ich von einer erhöhten Angriffsfläche sprach. Je mehr Dinge Dritten ausgesetzt sind, desto verwundbarer sind sie. Im Internet verbinden Sie sich nicht mit einer Person, also haben Sie bei einem Webportal eine Software, die über Port 80 über HTTP interagiert. Es kann auf der anderen Seite sein; es ist immer eine Maschine. Die Maschine kann von einem Menschen bedient werden, und es kann von einem Menschen bedient werden, der zufällig der Mitarbeiter ist, von dem Sie glauben, dass er diese Person ist.
Kieran Chandler: Also, vielen Dank, aber wo würden Sie leicht abweichen und wo denken Sie, dass es in Bezug auf die Sicherheit zu einer Abweichung kommen könnte, vielleicht bei der Interpretation?
Joannes Vermorel: Ich glaube, dass die allgemeine Bildung der Benutzer nicht ausreicht, um diese Sicherheitsprobleme zu lösen. Deshalb ist es sehr stark konzentriert. Es muss eine Art Sicherheitsfalle sein, und dort brauchen Sie wirklich einen spezifischen Ansatz der Korrektheit durch Design. Sie können nicht erwarten, dass die Leute nicht auf Anhänge klicken oder ähnliches. Wenn Sie erwarten, dass die Leute sich an die Regeln halten, wenn sie nur einen Klick von einer Katastrophe entfernt sind, werden sie es tun. Zum Beispiel ist einer der einfachen Angriffe der sogenannte USB-Stick-Angriff auf dem Parkplatz. Sie lassen einfach einen USB-Stick mit Malware auf dem Parkplatz fallen und schreiben “Bitcoin-Stash” darauf. Sie können sicher sein, dass es jemanden geben wird, der tatsächlich versucht, den Stick anzuschließen. Wenn Sie darauf vertrauen, dass die Menschen gebildet sein sollen, meine ich, sie sind Menschen. Auch wenn sie ziemlich schlau sind, können sie Schlafmangel haben und manchmal ein Urteilsvermögen verlieren. Es passiert einfach. Wenn Sie also erwarten, dass die Menschen klug, aufmerksam und gebildet sind, funktioniert es irgendwie nicht. Und es ist sehr lustig, denn wenn Sie sehen, wie Sicherheit in Unternehmen wie Google gemacht wird, nehmen sie die entgegengesetzte Haltung ein. Eine Haltung, die in anderen Bereichen wie der Atomindustrie mehr angewendet wurde, wo Sie im Gegenteil davon ausgehen, dass die Menschen dumm sein werden. Wenn Sie denken, dass sie etwas super Dummes tun werden, denken Sie, können sie etwas tun, das noch schlimmer ist als das? Aber es gibt viele andere ähnliche Ideen, die ziemlich stark durch Design sind.
Kieran Chandler: Okay, Joannes hat dort diese Idee der Korrektheit durch Design erwähnt, Richard. Welche Methoden können wir einführen, um sicherzustellen, dass unsere Systeme sehr sicher sind?
Richard Wilding: Ich denke, das ist eine interessante Sache, und ich denke, wir müssen die Korrektheit durch Design haben. Daran besteht kein Zweifel. Aber wenn man sich die alte 80-20-Regel für die Ursachen vieler Probleme ansieht, sind es leider die Menschen. Und es ist interessant zu bemerken, dass Google Australien von einigen Hacktivisten gehackt wurde, nur um zu zeigen, dass sie es konnten. Und der Weg, wie sie darauf zugegriffen haben, war tatsächlich über das Gebäudesteuerungssystem für Googles schönes neues Gebäude in Australien. Es wurde gehackt. Wenn man sich einige der wirklich großen Störungen für Unternehmen ansieht, wie Target in den Vereinigten Staaten, das immer noch mit allen möglichen Sammelklagen und allem anderen zu kämpfen hat, war das ziemlich interessant. Vierzig Millionen Zahlungskartendaten und siebzig Millionen Kundendatensätze wurden einfach gesammelt, und der Weg, wie das geschah, war über das Heizungs- und Lüftungssystem. Ein Lieferant wurde mit Phishing-E-Mails angegriffen. Sie konnten dann in diesen Teil des Unternehmens eindringen und gingen einfach herum und sammelten Sachen, fanden das Point-of-Sale-Netzwerk heraus und saßen dann da und nahmen die Informationen.
Kieran Chandler: Das ist wirklich wichtig, weil Kraftstoff bisher, glauben Sie es oder nicht, 162 Millionen gekostet hat. Das ist eine bestimmte Störung, die aufgetreten ist. Aber ich denke, das Wichtigste hier ist, die Menschen tatsächlich über diese Dinge, über ihre Verantwortung, aufzuklären. Aber dann haben Sie auch die Designseite der Dinge. Das Problem ist, dass Sie ein gewisses Maß an Offenheit benötigen.
Richard Wilding: Richtig, wenn ich nur an meinen Laptop denke, kann die Universität ihn so sperren, dass ich nichts damit machen kann, und das macht keinen Spaß. Vor ein paar Jahren hatten wir das, wo es hieß: “Das ist geschäftlich. Niemand darf auf LinkedIn gehen, niemand darf auf YouTube gehen, niemand darf dies oder das tun.” Aber das Problem ist, wenn wir über Innovation sprechen, Innovation bedeutet, Ideen, die für Sie neu sind, aufzugreifen und Wert zu schaffen. Wenn Sie plötzlich Ihre Systeme sperren, weil diese potenziell ermöglichen könnten, dass Menschen auf Dinge zugreifen, auf die sie nicht zugreifen sollten, oder dass es unsere Infrastruktur schwächt und alles andere, kann das tatsächlich eine andere Wirkung haben. Mit dem großen “Lassen Sie uns eine Social-Media-Blockade in unserem Unternehmen haben”, hat das tatsächlich auch zu einer Innovationsblockade geführt, könnte man sagen. Denn jetzt werden viele Innovationen und gute Ideen effektiv über diese Kanäle geteilt. Sie müssen also besonders vorsichtig sein, und ich denke, es geht darum, ein Gleichgewicht zwischen Zugänglichkeit und Sicherheit zu finden, aber sicherzustellen, dass Sie es durch Design schnell erkennen, wenn etwas schief geht.
Kieran Chandler: Okay, wolltest du da etwas sagen, Joannes?
Joannes Vermorel: Ja, ich meine, um Ihnen ein Beispiel zu geben, wenn ich sage, dass es gegen die Intuition geht, ist das eine perfekte Illustration dafür. Wenn Sie eine sehr strenge Sicherheit für Laptops haben, bei der das Unternehmen nur die genehmigte Software installieren kann und Sie nur die genehmigten Websites besuchen können, was passiert in der Praxis? Die Leute bringen ihre eigenen Geräte mit, sie kaufen ihre eigenen Laptops. Also, während Sie theoretisch dachten, dass Sie Sicherheit schaffen, tun Sie das nicht, einfach weil die Leute reagieren und etwas anderes machen werden. Und dasselbe gilt für Passwörter, zum Beispiel. Es gab Studien, sogar veröffentlicht von der NSA in den USA, die gezeigt haben, dass Passwortwechsel schädlich sind. Wenn Sie Passwörter häufig ändern, tun die Leute Folgendes: Sie kleben Zettel mit dem Passwort der Woche auf ihren Schreibtisch. Am Ende haben Sie ganze Büros, in denen das Passwort von jedem auf jedem Schreibtisch auf einem Zettel steht.
Deshalb sage ich, dass es sehr gegen die Intuition geht, und es ist nicht nur ein Gleichgewicht. Tatsächlich können Sie die Menschen häufig dazu bringen, Dinge zu tun, die noch unsicherer sind. Und auch hier denke ich, dass die Atomindustrie viele gute Beispiele dafür hat. Wenn Sie die Menschen mit zu viel Schutzausrüstung belasten, ist es irgendwann im Sommer einfach zu heiß, also werfen sie alles weg, nur weil sie die Hitze von all dem Zeug, das sie tragen müssen, nicht ertragen können, und am Ende haben sie überhaupt keine Schutzausrüstung mehr, was sehr dumm ist. Deshalb ist Sicherheit so kompliziert. Weil Sie darüber nachdenken müssen, wie Menschen reagieren werden, und es ist wie eine völlig rekursive Rückkopplungsschleife.
Kieran Chandler: Wenn Sie darüber nachdenken, gibt es einige Daten, die Sie überhaupt nicht für eine bestimmte Zeit sammeln sollten, vielleicht eine Woche, und dann sollten Sie sie loswerden.
Richard Wilding: Ich denke, das Interessante an Target war natürlich, dass sie die Daten nicht gespeichert haben. Sie gingen nur durch ihre Systeme. Wenn Sie eine Kreditkartentransaktion durchführen, muss sie über das Internet zur Bank gehen. Wenn Sie diesen Datenstrom abfangen können, was effektiv passiert ist, dann können Sie solche Dinge tun. Aber ich denke, es ist wirklich wichtig, wenn Sie über die DSGVO und den Datenschutz nachdenken, nur das zu behalten, was wirklich benötigt wird. Was bringt es, all diese Daten zu haben? Einige Unternehmen glauben jetzt, mit künstlicher Intelligenz, dass sie all diese Daten behalten sollten, weil sie möglicherweise in Zukunft etwas Nützliches damit anfangen können. Nun, das ist ein bisschen so, als würde ich jede einzelne E-Mail, die ich jemals in meinem Leben geschrieben habe, aufbewahren. Werde ich jemals etwas Nützliches damit anfangen? Das müssen wir durchdenken.
Ich liebe dieses kleine Zitat, wenn ich mit Leuten über Passwörter spreche: “Passwörter sind wie Unterwäsche. Du möchtest nicht, dass Leute sie sehen, ändere sie oft und teile sie nicht mit Fremden.” Aber gleichzeitig müssen Sie sicherstellen, dass Sie sich diese Dinge auch merken können, weshalb Sie andere Ansätze benötigen.
Kieran Chandler: Richard, lassen Sie uns ein wenig über die aktuelle Situation sprechen, in der immer mehr Menschen aufgrund des Coronavirus von zu Hause aus arbeiten. Vermutlich birgt dies viele Risiken. Was kann ein Unternehmen, vielleicht jemand, der dies sieht, tun, um sich zu schützen?
Richard Wilding: Nun, ich würde empfehlen, dass wenn Sie von zu Hause aus arbeiten, dies in gewisser Weise sicherer sein könnte, da weniger Menschen durchgehen, wenn Passwörter überall auf meinem Schreibtisch liegen würden, was nicht der Fall ist. Es gibt also einige Elemente, die argumentieren könnten, dass die Remote-Arbeit etwas sicherer ist. Aber gleichzeitig verwenden wir jetzt die eigenen Geräte aller Mitarbeiter, was bereits erwähnt wurde, und wir müssen auch damit umgehen können. Es ist auch wichtig zu erkennen, dass wir unsere eigenen persönlichen Router, Internetverbindungen, WLAN-Netzwerke und alles andere verwenden. Wie sicher ist das? Ich denke, Unternehmen müssen ihre Mitarbeiter über das Arbeiten von zu Hause aus informieren und Ressourcen wie Cyber Essentials nutzen, um sie bei dem, was sie tun, zu unterstützen.
Kieran Chandler: Joannes, was ist Ihr Rat für jemanden, der dies sieht? Aus Ihrer Erfahrung heraus, wie schützen Sie ein Unternehmen vor Mitarbeitern, wie mir, die möglicherweise schlechte Entscheidungen treffen?
Joannes Vermorel: Ich glaube wirklich nicht an den Bildungsweg, oder vielleicht auf eine sehr spezifische Weise. Um Ihnen eine Vorstellung von den aufkommenden Bedrohungen zu geben, die wir heutzutage sehen, gibt es tonnenweise Fälschungen auf Amazon, und selbst für Dinge…
Kieran Chandler: Also, Richard, fangen wir mit Ihnen an. Wir hören viel über den Trend zur Remote-Arbeit, insbesondere im Zusammenhang mit der Pandemie. Was sind einige der größten Bedenken, die Sie in Bezug auf die IT-Sicherheit in der Remote-Arbeitsumgebung haben?
Richard Wilding: Nun, ich denke, es gibt eine ganze Reihe von Bedenken in Bezug auf die IT-Sicherheit bei der Remote-Arbeit. Etwas, worüber die Leute vielleicht nicht unbedingt nachdenken, ist, wie grundlegend einige dieser Bedenken sein können. Zum Beispiel können USB-Kabel, die wir alle täglich verwenden, tatsächlich Malware an Ihren Computer übertragen. Mit dem Fortschritt der Computertechnologie ist es jetzt möglich, einen Mikrocomputer in einem Kabel zu haben. Und das ist nur ein Beispiel für das, was mit Adaptern und ähnlichen Geräten passieren kann. Die Quintessenz ist, dass Sie etwas so Leistungsstarkes wie einen Computer von vor 20 Jahren in einem Kabel haben können, das genauso aussieht wie ein normales Kabel. Und es kann sogar eine Marke haben, der Sie vertrauen, aber das, was Sie kaufen, könnte tatsächlich eine Fälschung sein. Und Amazon hatte damit einige Probleme.
Joannes Vermorel: Wenn ich das ergänzen darf, Kieran, bin ich sehr skeptisch, dass alleiniges Training einen Unterschied in Bezug auf die IT-Sicherheit bewirken wird. Die Probleme sind so weit verbreitet und vielfältig, dass ich nicht glaube, dass man sich immer darauf verlassen kann, dass die Menschen sich auf eine bestimmte Weise verhalten. Aber ich denke, dass die Remote-Arbeit einen positiven Vorteil hat, den die Leute vielleicht nicht bedenken, nämlich dass sie die Remote-Arbeit akzeptabler macht. Und meiner Erfahrung nach ist der positivste Weg, die IT-Sicherheit zu verbessern, tatsächlich die Verwendung von White Hats - das sind Hacker, die ihre Dienste remote anbieten, um Schwachstellen in der Sicherheit Ihres Unternehmens zu finden. Es ist seltsam, aber Sicherheit ist ein so merkwürdiger Bereich, dass selbst wenn man erwartet, dass die Menschen sich auf eine bestimmte Weise verhalten, es sehr gut möglich ist, dass sie es nicht tun. Zum Beispiel könnte sich jemand als technischer Support ausgeben und Sie anrufen, um Zugriff auf Ihren Computer zu erhalten.
Richard Wilding: Ja, Joannes, ich stimme Ihnen vollkommen zu. Tatsächlich haben wir in meiner Funktion in Vorständen solche Personen beschäftigt - normalerweise ehemalige Hacker, die im Gefängnis waren und nun mit Organisationen zusammenarbeiten, um Schwachstellen in ihrer Sicherheit zu finden. Es ist wichtig, dies regelmäßig zu tun, da sich die Angriffsmethoden ständig ändern. Und es ist auch wichtig, dass die Menschen wissen, was sie tun sollen, wenn ein Angriff stattfindet. Es gibt mittlerweile fortschrittlichere Software, die Änderungen an Dateien oder umgeschriebenen Code erkennen kann, aber wir müssen auch den Hardware-Ansatz bedenken. Zum Beispiel sind USB-Sticks in einigen Umgebungen, wie dem Militärcampus in Cranfield, an dem ich arbeite, nicht erlaubt.
Kieran Chandler: Das ist wirklich interessant. Richard, können Sie uns etwas mehr über die Software-Ansätze erzählen, die jetzt zur Erkennung von Cyberangriffen verwendet werden?
Richard Wilding: Ja, es gibt mittlerweile fortschrittlichere Software-Ansätze, die erkennen können, wenn Dateien geändert oder Code umgeschrieben wird. Sie können auf diese Änderungen Alarm schlagen und helfen, Angriffe zu verhindern, bevor sie stattfinden. Aber wie ich schon sagte, müssen wir auch den Hardware-Ansatz bedenken. Wir müssen Richtlinien für grundlegende Dinge wie USB-Sticks und Kabel haben und regelmäßig White Hats einsetzen, um Schwachstellen in unserer Sicherheit zu finden.
Kieran Chandler: Also, Joannes, Richard, wir haben viel über die Schwachstellen und Risiken im Zusammenhang mit Cybersicherheit gesprochen, aber wie können wir uns schützen?
Joannes Vermorel: Nun, ich denke, das erste, was uns bewusst sein muss, ist, dass Cybersicherheit kein absolutes Konzept ist. Es ist ein Kompromiss zwischen Sicherheit und Bequemlichkeit. Wenn Sie zum Beispiel ein sehr sicheres System haben, kann es sehr umständlich zu bedienen sein, und wenn es sehr bequem ist, ist es möglicherweise nicht sehr sicher. Wir müssen also einen Ausgleich zwischen diesen beiden Dingen finden.
Richard Wilding: Ja, und ich denke, ein weiterer wichtiger Punkt ist, dass wir eine Art Firewall haben müssen, um zu begrenzen, was in unseren Systemen passiert. Wir wollen keinen Mega-Angriff, also müssen wir in der Lage sein, Malware zu erkennen und zu stoppen, bevor sie eingesetzt wird.
Kieran Chandler: Das ist ein guter Punkt. Lassen Sie uns also einen Moment lang die positiven Aspekte betrachten. Die Cybersicherheit hat in den letzten Jahrzehnten große Fortschritte gemacht. Glauben Sie, dass sie sich weiter verbessern wird und wir eines Tages sicherer sein werden als je zuvor?
Richard Wilding: Ich denke, es ist ein fortlaufender Kampf, um ehrlich zu sein. Cybersicherheit ist ein ständiges Spiel, das sich immer weiterentwickelt. Allerdings denke ich, dass sich die Dinge verbessern. Wenn Sie zum Beispiel heute einen Windows-Laptop kaufen, wird er mit Windows 10 geliefert, das einen halbwegs anständigen Virenschutz hat, der einen Teil der Arbeit kostenlos erledigt. Wir sehen also langsam, dass Cybersicherheit Teil des Pakets wird.
Joannes Vermorel: Ja, aber wir müssen auch bei allen ein Bewusstsein schaffen. Die Menschen müssen wissen, dass selbst ein USB-Stick oder ein Kabel Chaos anrichten kann. Das ist die Natur dessen, was passiert. Aber wenn die Menschen sich dessen bewusst sind, werden sie vielleicht zweimal überlegen, bevor sie solche Dinge tun.
Kieran Chandler: Also, es ist eine Kombination aus Bewusstseinsbildung und der Implementierung von Systemen, die Malware erkennen und stoppen können. Nun, wir müssen hier abschließen, aber vielen Dank euch beiden für eure Zeit. Das war alles für diese Woche. Vielen Dank fürs Zuschauen und wir sehen uns in der nächsten Folge wieder. Danke fürs Einschalten.
