"Es ist unmöglich, alles zu blockieren"
Hugh Thompson, Chief Security Strategist bei Blue Coat, spricht im Interview von einem Paradigmenwechsel. Der Anspruch, den eigenen Mitarbeitern alle potenziell gefährlichen Applikationen zu verbieten, funktioniere nicht mehr.
Herr Thompson, Sie sind Chief Securiy Strategist bei Blue Coat. Worin besteht Ihre Tätigkeit genau?
Ich bin oft unterwegs und verbringe viel Zeit damit, den Markt zu beobachten und herauszufinden, wie sich die IT-Security entwickelt. Denn das ist eine konstante Frage in unserem Business. Und es ist auch das, was es als Disziplin so attraktiv macht. Denn in zwei Jahren werden die Bedingungen nicht mehr die gleichen sein wie heute. Das fordert uns heraus. Es gibt verschiedene Faktoren, die involviert sind, menschliche, geopolitische und technische Faktoren. Sie alle beeinflussen die zukünftige Entwicklung der IT-Security. Ich finde es sehr interessant, mich in diesem zukunftsgerichteten Umfeld zu bewegen.
Wie können Sie konkret Entwicklungen ableiten, aus dem, was Sie in anderen Ländern antreffen?
Beispielsweise, indem ich Märkte beobachte, die noch nicht so gesättigt sind wie diejenigen in Europa oder in Nordamerika. Manche Unternehmen in Asien oder in Lateinamerika beispielsweise fangen mit Cloud Computing auf einer grünen Wiese an. Es ist sehr interessant, zu sehen, wie sie da vorgehen. Davon können wir einiges lernen. Einen weiteren Hinweis erhält man, wenn man beobachtet, welche Technologien Menschen heutzutage einsetzen, nicht nur in Bezug auf BYOD, auch auf Social-Media-Plattformen. Mitarbeiter nutzen beispielsweise Twitter, um miteinander zu kollaborieren, auch wenn uns Security-Leuten das nicht gefällt. Aber es passiert nun einmal.
Was sind Ihre neuesten Erkenntnisse?
Bei IT-Security geht es nicht mehr länger darum, zu verhindern, dass gewisse Dinge geschehen. Denn die Leute werden Dienste wie Dropbox oder Facebook ohnehin nutzen, ob wir das wollen oder nicht. Statt also alles blockieren zu wollen, sollten wir uns vielmehr fragen, ob wir die Entwicklung beschleunigen können, so dass unsere Mitarbeiter diese Dienste auf eine sichere Art nutzen. Folglich sollten wir uns neuen Entwicklungen ansehen, uns überlegen, was dies für das eigene Business bedeutet und wie man diese neue Entwicklung sicher in das Unternehmen einbringen kann. Das ist auch grundsätzlich ein interessanter Richtungswechsel für Security-Spezialisten. Lange Zeit galten sie als etwas verschroben und nicht sonderlich interessant. Zumindest waren sie nicht diejenigen, mit denen man an einer Dinnerparty abhängen wollte (lacht).
Was wird sich in Zukunft verändern?
Denken wir nur einmal an die Art und Weise, wie wir Passwörter resetten oder eine Person aus der Distanz zu identifizieren versuchen. Wir stellen beispielsweise Fragen wie "Was arbeitete Ihr Grossvater?" oder "Was war Ihr Lieblingstier, als Sie ein Kind waren?" Vor zwanzig Jahren war das eine gute Idee, denn niemand ausser nahestehenden Personen konnte diese Dinge überhaupt wissen. Heutzutage kann aber selbst ein Fremder viel über uns herausfinden. Wenn Sie jetzt beispielsweise etwas über mich rausfinden möchten und genügend Zeit investieren würden - Sie würden alles herausfinden können was Sie je über mich wissen möchten. Wo ich zur Schule gegangen bin, wer meine Freunde sind, welche Hobbies ich habe. Das ist alles im Netz zu finden. Manche Dinge habe ich selbst öffentlich gemacht, andere wurden einfach aufgrund der Digitalisierung von öffentlichen Daten verfügbar.
Was beschäftigt Sie persönlich am meisten?
Die Personalisierung von IT-Attacken. Denn letztlich geht es bei IT-Security darum, welche Wahl Menschen treffen. Wenn ich also jemanden mit den richtigen Daten und Fakten konfrontiere, kann ich praktisch jeden davon überzeugen, etwas zu tun, was mir hilft, einen Angriff zu starten.
Wie schützen Sie sich persönlich vor Cyber-Attacken?
Selbst der bestinformierte IT-Security-Spezialist kann nicht immer die richtige Wahl treffen. Denn er wird nie alles wissen können. Ich meine, dass es die Kombination ist, die die grösstmögliche Sicherheit bietet. Man muss einen gewissen Grundstock an Wissen mitbringen, aber man braucht auch technische Hilfsmittel, die einem im Hintergrund unterstützen. Und wenn dann wirklich etwas passiert, muss ich wissen, wie ich diese Hilfsmittel einsetzen und meine Infrastruktur wieder zum Laufen bringen kann. Wir müssen akzeptieren lernen, dass ein Angriff jederzeit erfolgen kann, sofern sich jemand genügend Zeit nimmt und über die richtigen Informationen und Ressourcen verfügt. Es ist unmöglich, alles zu blockieren. Wenn man sich dessen bewusst ist, bereitet man sich anders auf einen Angriff vor und versucht auch, möglichst viele Sicherheitsnetze einzubauen. Das ist wie bei kleinenen Kindern. Sobald sie laufen und rennen können, muss man auch akzeptieren, dass sie ab und zu umfallen und sich möglicherweise auch verletzen werden. Wir können unsere Kinder nicht vor allem schützen. Aber wir können sie beispielsweise davon abhalten, auf einen Abgrund zuzurennen.
Was ist die beeindruckendste Cyber-Attacke, die Sie je mitbekommen haben?
Ich habe unter anderem Social-Engineering-Kampagne erlebt, bei denen Cyberkriminelle das Privatleben einer Person regelrecht durchforstet haben. Andererseits gibt es auch sogenannte prozessorientierte Angriffe, die darauf abzielen, Systeme anzugreifen, die Teil einer Lieferkette sind. Solche Attacken können sehr tief im System stattfinden und sind nur schlecht vorhersehbar.
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
HPE und Bosch bringen Lösungen zusammen für Digital Twins
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
SAP würdigt seine Schweizer Lieblingskunden
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Red Hat stellt neue Lösungen für Entwickler vor
