„Dann geht’s plötzlich ganz konkret um Leib und Leben.“
(Video/Text). Wieland Alge, seinerzeitiger Gründer der österreichischen Phion AG und nunmehr EMEA-Chef von Barracuda-Networks gilt auch international als einer der profiliertesten IT-Security-Experten. Economy sprach mit dem promovierten Physiker und Technik-Spezialisten über unterschiedliche Gefahren bei Hacking und Industrie 4.0, über das zukünftige Verhältnis von Firewalls und Patienten in Krankenhäusern und über neue Bedrohungsszenarien für den Mittelstand.
Economy: Welche Empfehlungen würden Sie Unternehmen bei der Einführung neuer Sicherheits-Technologien geben?
Wieland Alge: Ich muss Security von Anfang an mitdenken.Es gibt die zwei Prinzipien: Security by Design und Security by Architecture. Security by Design ist sehr wichtig wenn ich gerade frische Technologie entwickle und ausrolle.
Dann habe ich sehr viele Möglichkeiten Dinge per se sicherer zu machen. Die Softwareentwicklung ist ja nicht stehen geblieben. Man kann sehr wohl Software schaffen, die sehr viel widerstandsfähiger ist als bisherige.
Umgekehrt wissen wir natürlich auch, dass sehr viele Systeme die bereits fertig sind und ihr Primärziel, nämlich eine Maschine zu steuern sehr gut erfüllen, schon in Massen draussen sind und erst durch Verbindung und Verfügbarkeit mit dem Internet zu einer großen Gefahr werden.
Diese Systeme können aber dann nicht so leicht geändert werden. Da muss ich dann schauen, Architekturen zu schaffen, dass diese gefährdeten Systeme nicht mit Fremden sprechen. Wie Kinder, denen man beibringt keine Geschenke von Fremden anzunehmen.
Stichwort Industrie 4.0, Internet der Dinge und das ebenso im Kontext Sicherheit.
Hacken: beim Hacken geht’s drum Daten irgendwie zu stehlen oder zu manipulieren oder so was. Was für sehr viele Menschen eigentlich eine sehr abstrakte Bedrohung war. Meinen Eltern war das bisher eigentlich ziemlich wurscht.
Nur: mit dem Internet der Dinge und mit der Digitalisierung von sehr alltäglichen Dingen geht’s dann plötzlich ganz konkret um Leib und Leben.
In einem Spital gibt es sehr viele Dinge, sehr viele vernetzte Dinge und diese Dinge sollten tunlichst nicht manipuliert werden. In wenigen Jahren muss ein modernes Krankenhaus mehr Firewalls enthalten als Patienten damit es ein ordentliches Krankenhaus ist.
Um welchen Kostenrahmen geht es durchschnittlich bei Security-Projekten?
Typischerweise muss man damit rechnen, dass man pro Jahr und Mitarbeiter nicht unter 100 Euro ausgibt, wobei die Tendenz grad bei kleinen und mittleren Unternehmen mit 100 bis 200 Mitarbetern ganz massiv in Richtung Managed Services geht.
Kaum jemand kauft diese Security-Komponenten selber zusammen und betreibt sie noch selbst. Die meisten gehen her und lassen sich diesen Teil ganz gezielt von Experten permanent betreiben und zahlen eine monatliche oder jährliche Gebühr dafür und lassen sich das Ganze up to date halten.
Dankenswerter Weise passiert tatsächlich nicht alle zwei bis drei Wochen was dramatisches, sondern mehr so im Drei- bis Sechs-Monatstakt. So was kann ich nicht operationalisieren.
Manche gezielten und sehr schwerwiegenden Angriffe brauchen nach wie vor auch Ressourcen und diese Ressourcen werden dorthin fokussiert wo es einfacher was zu holen gibt. Wie der Bär oder der Löwe, der sich zunächst bei der ersten Gazelle sattfrisst und nicht das ganze Rudel umbringt.
Täuscht der Eindruck oder sind mittlerweile kleine und mittelständische Unternehmen öfter von Cyber-Kriminalität betroffen als Großbetriebe?
Da sind Mittelständler sehr viel lohnendere Ziele als Grossunternehmen. Grossunternehmen lassen sich ganz schwer erpressen weil die Existenzgefährdung nie da ist.
Sony hat der seinerzeitige Verlust von 30 Millionen Userdaten samt Kreditkarten enorm weh getan, es war aber nicht existenzgefährdend. Ein Mittelständler, den kann ich aber empfindlich treffen und zwar direkt ins Herz.
Mittelständler sind typischerweise sehr homogen aufgestellt und wenn ich ein Geschäftsfeld gefährde, dann ist das DAS Geschäftsfeld. Organisierte Kriminelle können so was viel besser begreifen. Obwohl es technisch das viel weniger attraktive und weniger herausfordernde Ziel ist.
Das macht’s für Kriminelle umso attraktiver. Erpressung als Geschäftsmodell scheint was sehr nachhaltiges zu sein so wie es jetzt in der digitalen Kriminalität auftaucht.
(Anm. der Redaktion: Der zweite Teil des economy-Gespräches mit Wieland Alge u.a. zu Sicherheitsaspekten und Bedrohungsszenarien bei autonomen Fahrzeugen und zu unterschiedlichen Länder-Strategien im Rahmen der neuen EU-Datenschutzverordnung erscheint Fr, den 24.03.17)