Am Anfang war das Internet. Na gut, nicht ganz am Anfang. Zuerst kam das Licht (oder war es das Huhn?). Aber jedenfalls gab es das World Wide Web, bevor es die IT-Sicherheit gab. Noch immer fristet die IT-Security ein stiefmütterliches Dasein im Bewusstsein der meisten User, gewinnt jedoch in Zeiten, in denen Informationen fast ausschließlich in digitaler Form existieren, immer mehr an Bedeutung.
Für uns bei eguana hat die Sicherheit oberste Priorität. Deshalb arbeiten wir eng mit SBA Research zusammen und lassen das Zentrum für Informationssicherheit regelmäßig Hackerangriffe und Penetrationstests auf unser System durchführen, um mögliche Lücken rechtzeitig erkennen und schließen zu können.
Wir haben uns mit Thomas Konrad, Senior-Berater für Informationssicherheit bei SBA Research, über Vergangenheit, Gegenwart und Zukunft der IT-Security unterhalten.
*****
eguana: Beginnen wir am Anfang: IT-Security. Seit wann gibt es das Thema überhaupt? War das von Anfang an relevant, oder hat das Thema historisch an Bedeutung gewonnen?
Thomas Konrad: Das Thema IT-Security ist fast so alt wie die digitale Informationsverarbeitung selbst, hat sich aber doch im Laufe der Zeit stark verändert. Während am Anfang Computernetzwerke lediglich dem militärischen Bereich vorbehalten waren, sind Rechner und deren Vernetzung heutzutage allgegenwärtig. Früher war IT-Sicherheit gleichbedeutend mit Firewalls und Abschottung von Netzwerken, doch das ist heutzutage gelinde gesagt bei weitem nicht mehr ausreichend, um die sichere Verarbeitung von Informationen zu gewährleisten. Die Komplexität dieser Systeme ist überwältigend hoch und es gibt keine Aussicht auf eine Umkehrung dieses Trends – oder anders gesagt: Es gibt keinen einzelnen Menschen mehr, der ein IT-System in seiner Gesamtheit verstehen und damit dessen Sicherheit abschließend beurteilen kann.
Vergleichen wir das einmal mit der Baubranche: Hier gab es in den letzten Jahrzehnten eine vergleichsweise geringe Steigerung der Produktivität, was unter anderem daran liegt, dass umfangreiche Sicherheits- und Umweltauflagen die Produktionskosten nach oben treiben. Für die Bevölkerung hat sich das aber schon bewährt! Das Sicherheitsniveau von Bauwerken ist in unseren Breiten enorm hoch, Unfälle und Katastrophen in diesem Bereich äußerst selten.
In der IT-Welt ist das ganz anders: Der Verlust sensibler Daten ist dermaßen häufig, dass uns Nachrichten dazu gerade einmal ein kurzes, „Ach, jetzt ist es schon wieder passiert“ entlocken können. Jedenfalls: Das Thema gewinnt durch das stark steigende Ausmaß der digitalen Informationsverarbeitung an Bedeutung. Auch, weil jedes Unternehmen heutzutage ein IT-Unternehmen ist. Manchen ist das bewusst, anderen nicht.
Was sind die grundlegendsten Veränderungen, die sich beim Thema IT-Security in den letzten Jahren abgezeichnet haben?
Der Politik wird langsam bewusst, dass auch über die Gesetzgebung im öffentlichen Interesse gewisse Mindeststandards für die Sicherheit von Informationen eingefordert werden müssen. Die Datenschutzgrundverordnung (DSGVO) hat genau das zum Ziel. Nun kann man die Verordnung in Details kritisieren, und das zu Recht – aber im Großen und Ganzen stimmt die Schlagrichtung: Wenn Organisationen fahrlässig mit sensiblen Informationen umgehen, drohen empfindliche Strafen. Eine der positiven Folgen davon ist, dass das Thema Sicherheit immer öfter von Anfang an mitgedacht wird. Bisher hat man bei IT-Systemen erst darauf geschaut, wenn es schon fertig implementiert und in Betrieb war.
Stellen Sie sich das in der Baubranche vor: Man baut erst einmal einen Tunnel, so schnell und billig wie nur irgendwie möglich, lässt bereits Menschen durchfahren, und fängt dann damit an, die Statik zu beurteilen. Ich kann beim Schreiben förmlich spüren, wie es den Leserinnen und Lesern mulmig wird in der Magengrube!
Was genau macht ihr bei SBA Research?
Wir bei SBA Research betreiben einerseits Forschung im Bereich der Informationssicherheit, andererseits beraten wir Organisationen auf ihrem Weg zu einer höheren Informationssicherheit. Eine unserer klassischen Tätigkeiten sind sogenannte Penetrationstests, wo wir im Grunde einen Hacking-Angriff simulieren und versuchen, in IT-Systeme einzudringen. Gelingt uns das, machen wir konstruktive Vorschläge, wie man das System sicherer machen kann.
Aber wie bereits vorhin erwähnt: An diesem Punkt ist es oft schon spät und tiefgreifende Änderungen im System sind schwierig und teuer. Das ist in etwa so, als würde ich bei einem bereits bestehenden Gebäude mit schlechter Statik versuchen, im Nachhinein das Mauerwerk auszutauschen. Das bewegt sich irgendwo zwischen aufwändig und unmöglich, mit Tendenz zu letzterem.
Genau deshalb unterstützen wir Unternehmen auch immer häufiger darin, die Organisation und das Umfeld so zu ändern, dass das Thema Sicherheit bereits früher in der Entwicklung von IT-Systemen eine tragende Rolle spielt. Das ist erst einmal aufwändig, aber langfristig können Organisationen dadurch in der Regel sogar Kosten sparen, weil Sicherheit so zum Treiber für Qualität im Allgemeinen werden kann.
Wir wurden einmal zu einem Notfall gerufen, wo eine Firma angegriffen wurde; allein für die Angriffsanalyse wurde zuvor schon ein sechsstelliger Eurobetrag ausgegeben. Am Ende kam heraus, dass jemand über eine Anwendung eingedrungen ist, die niemand mehr verwendet hat, und die auch deshalb nicht mehr aktualisiert wurde. Ein einfaches Abschalten der Internetseite hätte wohl weniger gekostet.
Ein persönlicher Tipp für alle unsere Leser?
Was Sie persönlich für die Sicherheit der eigenen Informationen tun können, fragen Sie? Die Grundregel ist ganz einfach: Informationen, die nicht da sind, können nicht gestohlen werden. Reduzieren Sie das auf das Notwendigste. Informieren Sie sich, welche Plattformen gut mit Ihren Informationen umgehen, indem Sie SpezialistInnen fragen oder selbst recherchieren. Aktivieren Sie Multi-Faktor-Authentifizierung überall dort, wo Sie registriert sind. Der Anbieter unterstützt das nicht? Wechseln Sie den Anbieter. Löschen Sie regelmäßig Konten und Online-Informationen, die sie nicht mehr brauchen. Verwenden Sie auf jeder Plattform ein eindeutiges Passwort, am besten eines, das von einem Passwortmanager generiert wurde. Verwenden Sie Kommunikationsmittel, die Nachrichten Ende-zu-Ende-verschlüsselt übermitteln. Informieren Sie sich, und fordern Sie aktiv ein, dass gut mit Ihren persönlichen Daten umgegangen wird.
Ein Blick in die Zukunft – wie sieht es in fünf Jahren aus?
Wie die Zukunft der IT-Sicherheit aussieht, ist in Anbetracht der Schnelllebigkeit sehr schwer zu sagen. Was ich genauer sagen kann, ist, wie ich mir wünsche, dass die Zukunft aussieht. Einerseits denke und hoffe ich, dass in der Gesellschaft generell und damit auch in der Politik ein größeres Bewusstsein dafür besteht, dass unsere persönlichen Informationen ein immer wichtigeres Gut werden, mit dem behutsam umgegangen werden muss. Und dass ein unachtsamer Umgang nicht geduldet werden darf. Ich denke auch, dass zwei wichtige Schlagworte „Einfachheit“ und „Hygiene“ sein werden. Einfachheit deshalb, weil je einfacher ein System ist, desto nachhaltiger kann es auch sicher betrieben werden. Hygiene in dem Sinne, dass IT-Systeme und darin verarbeitete Informationen auch regelmäßig entrümpelt werden müssen, genauso, wie wir das in anderen Lebensbereichen (hoffentlich) schon machen. Denn nach wie vor gilt die einfachste Grundregel der IT-Security: Was nicht da ist, kann nicht angegriffen werden.
*****
Wer sich jetzt fragt, wie es um die Sicherheit bei eguana bestellt ist: Wir gewährleisten IT-Security gemeinsam mit SBA Research und Vortriebssicherung mit unseren Kunden. Um den optimalen Schutz aller Daten garantieren zu können, haben wir SBA Research von Anfang an in die Entwicklung unserer Systeme eingebunden, stehen in regelmäßigem Austausch mit den Forschern und lassen unsere Server in kontrollierte Weise von ihnen attackieren. Multi-Faktor-Authentifizierung ist bei uns deshalb seit Jahren Standard. Aber auch das ausgeklügeltste Sicherheitssystem hilft nicht, wenn die Passwörter schlecht sind – der Passwortsicherheit haben wir deshalb vor einiger Zeit bereits einen eigenen Blogbeitrag gewidmet, der hier nachzulesen ist.
Über Gastautor Thomas Konrad:
Seit über 10 Jahren bei SBA tätig, ist Thomas Konrad mittlerweile eine Koryphäe auf dem Gebiet der IT-Security. Der gebürtige Gnaser beschäftigt sich seit seinem Master in Informationssicherheit an der Fachhochschule St. Pölten mit Penetrationstests sowie Architektur- und Designprüfungen, forscht unter anderem an sicheren Web- und Mobilanwendungen und ist nebenbei als Vortragender an der FH Campus Wien tätig. Häufig trifft man ihn auf der Bühne diverser Konferenzen an, wo der Gründer der sec4dev-Sicherheitskonferenz zum Thema Software-Sicherheit referiert.