«Die emotionale Diskussion bei Cloud-Lösungen muss ernst genommen werden»

Als Chief Security Advisor bei Microsoft berät Roger Halbheer als führender Experte das Management vieler Unternehmen und Institutionen in Sachen IT-Sicherheit. Aus seiner Sicht gibt es heute zum Thema Cloud sowohl eine technische, als auch eine emotionale Diskussion. Beide müssten ernst genommen werden. Das gilt auch in Sachen USA und Herausgabe von Daten, so Halbheer im Rahmen einer Veranstaltung von digital-liechtenstein.li.

Veröffentlicht am 05.03.2020 von digital-liechtenstein.li

digital-liechtenstein.li: «Die Erfahrung zeigt, dass jede noch so gut geschützte Festung eine Schwachstelle aufweist und zu knacken ist», haben Sie im Rahmen Ihres Vortrages am Event von digital-liechtenstein.li bei Microsoft Schweiz in Wallisellen gesagt. Wie meinen Sie dies genau?
Roger Halbheer: Cyber Security und physische Sicherheit unterscheiden sich in diesem Bereich nur marginal. Am Ende geht es um den Umgang mit Risiken. Wenn ich ein Haus baue und darin leben will, muss ich eine Balance zwischen Sicherheit und Benutzbarkeit finden. Ich werde sicher ein Schloss an die Türe bauen und eventuell einbruchsichere Scheiben einsetzen, werde aber auf hohe Mauern und Starkstrom verzichten - zumindest in unserer Gegend. Bei der Cyber Security ist es sehr ähnlich. Wir versuchen Benutzerfreundlichkeit und Sicherheit in ein vernünftiges Verhältnis zu bringen und akzeptieren gewisse Risiken und auch Schwachstellen, die ein Angreifer ausnutzen kann.

Ist dies nicht sehr beunruhigend für Unternehmen?
Eine Geschäftsführung ist es durchaus gewohnt, mit Geschäftsrisiken umzugehen und Cyber Security ist «einfach» ein Teil davon. Daher sollte dies eigentlich nicht beunruhigend sein. Diese Risiken sind aber oft schwierig zu verstehen, da die Fachleute nicht unbedingt adressatengerecht kommunizieren.
Aus meiner Sicht ist es zentral, dass diese Risiken auch wirklich gemanaged und nicht ignoriert werden. Auch laufen wir im Moment Gefahr, dass man «über-optimistisch» ist, wenn es um solche Risiken geht. Man hört oft die Aussage «ich bin ja eh nicht interessant» (wir schliessen das Haus ja trotzdem ab) oder «wir haben eine Firewall, wir sind sicher». Je nach Geschäftsfeld ist es unumgänglich das Risikomanagement für solche Risiken in der notwendigen Tiefe durchzuführen.

In einem modernen Arbeitsumfeld ist die frühere Vorstellung, dass Daten möglichst schwierig zugänglich gemacht werden sollten, aus Ihrer Sicht also nicht mehr aufrecht zu erhalten?
Absolut. Die Aufgabe der Security ist es, die Mitarbeitenden in ihrer Arbeit zu unterstützen (und die Risiken auf einem akzeptablen Niveau zu halten) und nicht den Job möglichst schwierig zu machen. Heute will man jederzeit, überall und auf jedem Gerät arbeiten können – und die Security hat dies zu unterstützen. Weiter soll der Benutzer auch in der Lage sein, die Technologie ohne Doktorgrad zu bedienen.

Sie empfehlen, dass Cloudlösungen, Microsoft gehört hier ja auch weltweit zu den führenden Anbietern, einen starken Schutz bieten, da natürlich die grossen Player hier sehr viel investieren. Ist es aus Ihrer Sicht aber nicht auch eine Gefahr, wenn sich die Daten in wenigen Jahren auf wenige Cloudanbieter fokussieren, ein Hacking einer solchen Cloud eine schwere Krise verursachen könnte?
Dies ist aus meiner Sicht stark von der Grösse und den Möglichkeiten eines Kunden abhängig. Bei kleineren und mittleren Unternehmen sind die Risiken definitiv kleiner in der Cloud, da der Cloud-Anbieter Möglichkeiten hat, von denen ein KMU nur träumen kann. Bei grösseren Unternehmen sind wir wieder bei der Frage des Risiko-Managements. Welche Risiken sollen wie abgesichert werden und wie werden Lösungen integriert? Aus meiner Sicht sollte die Integration immer höher gewichtet werden als einzelne Funktionalitäten. Sollten Restrisiken nicht akzeptabel sein, so sollten diese Dritt-Lösungen abgedeckt werden – aber trotzdem in eine umfassende Monitoring- und Management-Lösung integriert werden.

Sie haben erwähnt, dass sich das Argument IT-Sicherheit in Sachen Cloud gewandelt hat und heute nicht mehr ein Contra- sondern ein zentrales Pro-Argument geworden ist. Dennoch ist zu spüren, dass zahlreiche Anbieter, auch in Liechtenstein, eigene Rechencenter errichten, da oftmals der Wunsch der Kunden ist, dass ihre Daten beispielsweise in diesem Fall innerhalb von Liechtenstein bleiben. Ein Widerspruch?
Nicht zwingend ein Widerspruch, ich denke, wir müssen die Komplexität des Themas verstehen. Aus meiner Sicht müssen drei Themenbereiche angeschaut werden, damit eine Firma entscheiden kann, ob die Restrisiken für die Migration in die Cloud akzeptabel sind:

  • Technische Fragestellungen: Wie werden die Daten und die Zugänge geschützt?
  • Regulatorische Fragestellungen: Welche Anforderungen müssen erfüllt werden, wenn der Kunde in die Cloud migriert?
  • Emotionale Fragestellungen: Was bedeutet die Migration für den Kunden? Hier ist sehr oft die Angst nach Kontrollverlust im Raum.

Können Sie das noch ausführen?
Ich komme immer wieder auf das Verständnis der Risiken zurück. Diese Risiken müssen gegeneinander abgewogen werden. Dies muss aber ehrlich und transparent geschehen. Dann bin ich überzeugt, dass die Cloud besser abschneidet.

Spielt aus Ihrer Sicht nicht auch das Argument mit, dass die grossen Player in diesem Bereich aus den USA stammen und Befürchtungen bestehen, dass sich die unberechenbare Politik einmischt und die Datenherausgabe verlangen könnte. Ein Akt mit unabsehbaren Folgen, gerade für international vernetzte Unternehmen?
Hier müssen die drei Punkte oben auch wieder klar und transparent angeschaut werden.

  • Welches sind die echten rechtlichen und regulatorischen Risiken und was ist wirklich «nur» Angst.
  • Welche technischen Möglichkeiten existieren, um die Daten vor einem Zugriff zu schützen? Je nach Businessmodell eines Cloud-Anbieters hat er absolut kein Interesse auf die Daten des Kunden zugreifen zu können – im Gegenteil.
  • Um klar zu sein: Auch emotionale Fragen müssen ernst genommen werden sollten aber von den anderen beiden getrennt werden.

Und was bedeutet dies jetzt für ein Beispiel aus den USA?
Wenn es um die rechtlichen Rahmenbedingungen in den USA geht, so ist es zentral, dass die entsprechenden rechtlichen Prozesse verstanden werden. Ich erlebe es oft, dass Halbwissen dazu führt, dass die Risiken massiv falsch eingeschätzt werden.

Welche Art von Halbwissen meinen Sie?
Die rechtlichen Rahmenbedingungen werden oft mit Ängsten vermischt und auch mit der Kommunikationspolitik der amerikanischen Regierung. Es ist sehr wichtig, dass verstanden wird, was benötigt wird, damit die Strafverfolgungs-Behörden in den USA (und übrigens auch in anderen Staaten inklusive Liechtenstein und der Schweiz) Zugriff auf Daten beantragen können und wie die Cloud-Anbieter im Normalfall darauf reagieren. Staaten wie die USA sind Rechtsstaaten und die Behörden haben klare Prozesse zu befolgen und eine solide Beweislage zu liefern. Wir prüfen diese Anträge und haben ja auch schon mehrfach bewiesen, dass wir bereit sind, diese Anfragen vor Gericht anzufechten.
Zu guter Letzt muss auch klar sein, dass Anfragen, die Geschäftskunden betreffen ausserordentlich selten sind – weitaus häufiger sind Anfragen für Meta-Daten für Mail-Accounts von Endkonsumenten zum Beispiel bei erhärtetem Verdacht auf Kinderpornografie, Menschenhandel, Drogenhandel etc.

Neue Statistiken zeigen, dass 3 von 4 KMUs bereits von Hackerangriffen betroffen sind. Wenn Sie jetzt drei Punkte nennen, die aus ihrer Sicht unerlässlich sind, um als KMU hier heute bestehen zu können, welche wären dies?
Nun, es sind leider seit Jahren immer dieselben. Der erste Punkt betrifft das Patchmanagement: Die Systeme sollen immer auf dem neuesten Stand gehalten werden. Zweitens ist es wichtig, immer aktuelle Software Versionen auf den Systemen zu haben. Das heisst es sollten nicht sollten Sicherheits-Updates immer eingespielt werden, sondern auch die Software Versionen nachgezogen. Windows XP wurde mehr als 20 Jahre vor dem iPhone entworfen – dieses Betriebssystem kann die heutigen sicherheitstechnischen Anforderungen nicht mehr abdecken. Und der letzte Punkt betrifft die Passwörter, mit welchen immer noch sehr lax umgegangen wird.

Praxis-Fehler, sowohl organisatorisch, als auch technisch, die Roger Halbheer häufig begegnen:

  • Patchmanagement wird nicht konsequent durchgeführt
  • Man wähnt sich in falscher Sicherheit, da man «hinter einer Firewall sitzt». Die meisten Angriffe heute beginnen beim Benutzer.
  • Organisatorisch muss man sich überlegen, wohin der CISO reporten soll. Wir sehen sie/ihn oft beim CIO, was einen inhärenten Zielkonflikt provoziert.
  • Den meisten Firmen fällt es sehr schwer professionelle Sicherheits-Mitarbeitende zu finden. Daher sollen Aufgaben, welche nicht in die Kernkompetenzen der Firma fallen professionellen Dritten weitergegeben werden. Hier eröffnet die Cloud neue Wege.
  • Ganz zum Schluss noch konzeptionelles Thema: Formen sollen sich darauf einstellen, dass ihre Netze kompromittiert werden und daher die Sicherheit konsequent auf Resilienz auslegen.

Praktische Tipps zum Handling von Passwörtern:

«Die Zeit der Passwörter ist eigentlich langsam vorbei», so Roger Halbheer. Sich nur auf Benutzername und Passwort zu verlassen sei heute nicht mehr vertrauenswürdig. Daher seien einige Dinge sofort anzugehen (in dieser Reihenfolge):

  1. Administratoren haben zwingen Mehrfaktoren-Authentisierung zu nutzen. Dies bedeutet, dass zusätzlich zu Benutzername und Passwort noch ein weiterer Faktor zu verwenden ist. Sehr oft wird eine Authenticator-App verwendet, es gibt aber verschiedene Möglichkeiten
  2. Mehrfaktoren-Austenitisierung für die Benutzer. Wenn Microsoft bei Sicherheitsvorfällen involviert wird, dann wird in mehr als 80% Benutzername/Passwort gestohlen. Daher sollten auch da zweite Faktoren für «normal» Benutzer eingeführt werden. Hier gibt es heutzutage auch Technologien, die zusätzlich zur Sicherheit auch Benutzerfreundlichkeit geliefert – Windows Hello for Business ist ein typisches Beispiel.
  3. Ausschalten von veralteten Protokollen: Noch sehr oft werden veraltete Protokolle verwendet. Protokolle wie NTLM, LM Hash etc. gelten heute als ausserordentlich unsicher, daher muss davon wegmigriert werden.
  4. Weg von Passwörtern: Es sollte eine klare Roadmap entwickelt werden, wie man ganz weg von Passwörtern kommt (siehe Windows Hello for Business)

Roger Halbheer ist Chief Security Advisor bei Microsoft

Er berät in seiner Funktion Unternehmen und Institutionen in der Schweiz, Deutschland und Österreich in IT-Sicherheits-Themen und verfügt über ein exzellentes Netzwerk mit Marktführern, im Cyber Security-Bereich tätige Communities und Behörden. Er referiert an diversen Veranstaltungen und publiziert laufend Dokumentationen zum Thema. Vor Microsoft war er als Managing Director tätigt bei Accenture Security und davor Chief Security Officer bei der Swisscom und damit verantwortlich für die firmeninterne Sicherheitsstrategie.