Interview mit Pascal Kocher, Auditron
21.11.2018, 06:03 Uhr
«CIO und CISO müssen an einem Strang ziehen»
Trotz immer neuer Attacken habe sich der IT-Grundschutz von Schweizer Firmen in letzter Zeit verbessert, meint Pascal Kocher, Gründer und CEO von Auditron. Aufatmen dürfen sie und deren CISOs aber nicht.
Schweizer Unternehmen, ob gross oder klein, werden zunehmend von Hackern und Cyberspionen ins Visier genommen. Wie sollen sie sich nur schützen? Im Computerworld-Interview erklärt Pascal Kocher, Gründer, CEO und «Chief Hacking Officer», der in Düdingen im Kanton Fribourg beheimateten IT-Security-Audit-Spezialistin Auditron GmbH, worauf es beim Schutz der «Kronjuwelen» einer Firma ankommt. Da Kocher auch immer wieder in die Rolle des CISO (Chief Information Security Officer) schlüpft, erläutert er die wichtige Funktion des IT-Security-Chefs in Unternehmen sowie dessen Verhältnis zu CEO, CFO und CIO.
Computerworld: Täglich hören wir von Cyber-Attacken. Trotzdem gaben von Computerworld befragte Schweizer CIOs mehrheitlich an, dass ihre IT sicher sei. Wiegen sich hiesige Firmen in trügerischer Sicherheit?
Pascal Kocher: Das glaube ich weniger. Trügerische Sicherheit gibt es in diesem Sinne nicht. Viele Unternehmen kennen noch nicht alle Angriffsformen, die es gibt. Das können sie auch nicht, denn die Szene wechselt sehr rasch. Ich muss nur eine Woche in die Ferien und wenn ich zurückkomme, gibt es neue Attacken. Hier den Überblick zu behalten ist schwierig. Firmen sollten eigentlich immer damit rechnen, dass sie gehackt und angegriffen werden.
Computerworld: Sie sind unter anderem auch als Penetration-Tester tätig. Wann werden Sie in der Regel gerufen? Wenn die Firmen schon angegriffen wurden oder davor?
Kocher: Grundsätzlich kommt beides vor. Wir haben viele Kunden, die uns konsultieren, bevor etwas passiert ist. Das geschieht beispielsweise dann, wenn sie eine neue Webapplikation implementieren wollen, und diese von uns in Sachen IT-Security getestet werden soll. Dann gibt es natürlich auch den anderen Fall: Wir werden aufgeboten, wenn ein Angriff stattgefunden hat. Das ist dann für uns oftmals stressiger und komplexer, gerade wenn jemand das erste Mal auf uns zukommt. Es gilt nämlich, sich erst einmal einen Überblick über die IT-Infrastruktur zu verschaffen. Das ist nicht so einfach, wenn eine Attacke gerade am Laufen ist. Daher ist eine gute Vorsorge auch so wichtig.
Computerworld: Und wie gehen Sie vor, um Firmen im Vorfeld abzusichern?
Kocher: Generell analysieren wir, welche Assets besonders schützenswert sind. Diese Core Assets oder Kronjuwelen zu identifizieren ist somit sehr wichtig. Dabei müssen wir den Informationsfluss in einem Unternehmen sehr gut kennenlernen, also über welche Schnittstellen und durch welche Programme die Daten laufen. Wir sind somit bestrebt, den sogenannten kritischen Pfad im Griff zu haben. Natürlich werden wir daneben auch konsultiert, um einzelne Applikationen zu testen. Wenn es aber darum geht, den Sicherheits-Level in der Firma zu heben, müssen wir eine Gesamtanalyse über alle Assets vornehmen. Schliesslich kann ich nur etwas schützen, wenn ich weiss, was es zu schützen gilt. Das zu erkennen, ist in der virtuellen Welt oft schwierig, weil die Einfallswege nicht gleich offenkundig werden. Bestes Beispiel sind WLAN-Installationen. Kein Unternehmen käme auf die Idee, seine LAN-Steckdosen an der Aussenwand des Firmengebäudes anzubringen. Bei Wifi ist das anders, dessen Signale sind auch draussen empfangbar.
Wie gut sind Schweizer Firmen geschützt?
Computerworld: Sind Firmen heute grundsätzlich besser geschützt als in der Vergangenheit?
Kocher: Hier kann ich sehr wohl eine Verbesserung feststellen. Als ich vor gut 20 Jahren erstmals im IT-Security-Umfeld tätig war, musste man Unternehmen oftmals noch die Einrichtung einer Firewall aufschwatzen. Heute sind doch viele Schutzvorkehrungen wie Endpoint-Protection der Standard und werden nicht mehr in Frage gestellt. Allerdings reicht dieser Grundschutz oftmals nicht aus. Denn es findet bekanntlich ein wahres Wettrüsten zwischen Angreifer- und Verteidigerseite statt.
Daneben gibt es neue Einfallswege, die sich auftun, etwa über Smartphones. Hier besteht noch ein grosser Aufholbedarf, was die Security anbelangt. Denn es werden noch die gleichen Fehler gemacht, die bei PC vor zehn Jahren Gang und Gäbe waren. Noch schlimmer: Wenn ich an das Internet of Things denke – ich spreche in diesem Zusammenhang lieber vom Internet of Threats – sehe ich die IT-Security sogar um 20 Jahre zurückgeworfen. Hier stehen wir leider wieder ganz am Anfang der Entwicklung und alle Fehler, die wir von der Anfangszeit der PC her kennen, werden nochmals gemacht.
Grundsätzlich kann ich aber konstatieren, dass Firmen die IT-Security verbessert haben und ernster nehmen. Allerdings ist auch die zu schützende Infrastruktur komplexer geworden. Wie schon erwähnt, spielen dabei Smartphones und IoT-Geräte eine Rolle, aber auch die zunehmende Nutzung der Cloud. Die grösste Gefahr droht dabei in Bezug auf die Entstehung einer regelrechten Schatten-IT. Denn viele Anwender nutzen Cloud-Dienste unter Umgehung der IT-Abteilung, um den manchmal langwierigen Implementierungs- und Bewilligungsprozess in den Firmen zu umgehen.
Computerworld: Der «Faktor Mensch» ist somit aus Ihrer Sicht ein grosser Unsicherheitsfaktor?
Kocher: Das ist definitiv so. Aus meiner Sicht gibt es zwei grundsätzliche Security-Axiome, bei denen die grössten Probleme entstehen. Das erste ist die Software als solche, die ja nicht geschrieben werden kann, ohne dass alle Codezeilen fehlerfrei sind. Deshalb wird auch die Software-Qualität nach Fehler pro Anzahl Zeilen beurteilt. Guter Quelltext weist beispielsweise einen Fehler auf 2000 Zeilen auf. Nicht jeder Fehler kann dabei als Schwachstelle genutzt werden. Aber man kann davon ausgehen, dass grosse Programme wie ein Betriebssystem mit Millionen von Zeilen Code unweigerlich Verwundbarkeiten aufweisen. Ein Angriffsvektor ist damit die Software.
Axiom zwei ist aber, wie Sie erwähnt haben, der Mensch. Es gibt immer jemanden in einem Unternehmen, der beispielsweise beim Erhalt eines Phishing-Mail auf den Link klickt. Somit muss man an beidem arbeiten: sensibilisieren und updaten.
Awareness, die wirkt
Computerworld: Wie sensibilisieren Sie am besten? Können Sie uns von Awareness-Kampagnen berichten, die tatsächlich etwas gebracht haben?
Kocher: Sicher. Am besten wirken Videos und Computer-based Trainings, die sich die Mitarbeiter individuell und bei genügend Zeit anschauen oder durchführen können. Was dagegen nichts bringt, ist, wenn man die Mitarbeiter einmal im Jahr zusammentrommelt und in einem grossen Saal einen Vortrag über die richtigen Verhaltensweisen hält. Sie können sicher sein, dass die meisten den Inhalt einer solchen Präsentation bereits vergessen haben, wenn sie den Saal verlassen haben.
Computerworld: Apropos Awareness: Wie hoch ist das IT-Sicherheits-Bewusstsein in den Führungsetagen von Schweizer Firmen?
Kocher: Das kommt sehr stark darauf an, ob ein Unternehmen schon einmal einen Sicherheitsvorfall hatte. Ist dies der Fall, ist auch die Awareness durchaus vorhanden – zumindest mittelfristig (lacht). Denn das Sicherheitsbewusstsein nimmt mit der Zeit auch wieder ab.
Ist dagegen noch nie etwas passiert, ist die Awareness gering ausgeprägt. Dies, obwohl in der Schweiz der Verwaltungsrat zumindest für die Organisation des Riskmanagements zuständig ist.
Computerworld: Wo liegt das Problem?
Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienzsteigerung dient, sich also auf den Umsatz auswirkt.
Kocher: Das Hauptproblem liegt darin, dass IT-Security zunächst nur etwas kostet, aber dem Unternehmen erst einmal keinen direkt erkennbaren Mehrwert bringt. Dies auch im Gegensatz zur IT, die anerkannterweise der Effizienzsteigerung dient, sich also auf den Umsatz auswirkt.
Security macht dagegen nicht mehr Umsatz, sondern weniger Verlust. Das ist schwieriger zu vermitteln, und zwar obwohl es mittlerweile auch in der Schweiz genügend Beispiele dafür gibt, wie geschäftsschädigend ein Hackerangriff sein kann. Hier lassen sich die Umsatzverluste relativ gut berechnen. Hinzu kommt der Imageschaden und der Reputationsverlust, der immens sein und ein Unternehmen ruinieren kann.
Zur Person
Pascal Kocher
ist Gründer und CEO der Auditron GmbH. Auf der Webseite des Düdinger Unternehmens, das sich auf IT-Security-Audits und Penetration-Tests sowie IT-Forensik spezialisiert hat, firmiert er auch als «Chief Hacking Officer». Daneben schlüpft er immer weider im Firmenauftrag in die Rolle des Chief Information Security Officer (CISO). Seit über 20 Jahren engagiert sich Kocher im Bereich der IT-Security. Studiert hat er an der Universität Fribourg und an der Fachhochschule Bern. Basierend auf der dortigen Diplomarbeit – eine integrierte Firewalllösung auf CD – gründete er seine erste Firma.
Die Rolle des CISO
Computerworld: Wenn Sie sich hier in die Rolle des CISO begeben. Wie würde Ihre «Elevator Pitch» lauten, um den CEO oder den CFO davon zu überzeugen, für die IT-Security mehr Geld zu sprechen?
Kocher: Die Diskussionsbasis dreht sich hier um ein klassisches Riskmanagement. Die Frage, die ich mit dem CEO und CFO erörtern muss, lautet: Wie viel kann ich verlieren in Bezug auf den Umsatz, damit mein Unternehmen als Ganzes oder auf einzelne Abteilungen bezogen noch operabel bleibt und der Image-Schaden sich in Grenzen hält?
Danach muss ich mit Szenarien operieren, da es sich bei der IT-Security um ein technisch sehr komplexes Thema handelt. Diese müssen zudem ganzheitlich sein. Denn es nützt nichts, wenn man Teile der Unternehmens-IT optimal absichert – beispielsweise, weil man sich ein neues IT-Security-Produkt zulegt –, dabei aber vergisst, die anderen Teile zu schützen.
Computerworld: Gehört der CISO da nicht in die oberste Geschäftsleitung?
Kocher: Auch wenn die CISO schon ein «C» in der Bezeichnung haben, sind sie vielerorts noch nicht auf der CxO-Ebene angesiedelt. Das müsste sich meiner Meinung nach ändern. Jemand, der sich grundsätzlich mit dem Riskmanagement auseinandersetzt, das kann auch ein CSO oder CRO sein, sollte deshalb meines Erachtens in der Geschäftsleitung Einsitz nehmen. Denn die weiteren Mitglieder der Führungsetage haben tendenziell andere Interessen. Nehmen wir als Beispiel den CFO. Dieser sieht in der IT meist einen reinen Kostenfaktor und in der IT-Security erst recht. Wenn dann die unterschiedlichen Interessen nicht auf Augenhöhe austariert werden können, weil der CISO beispielsweise auf einer tieferen Hierarchieebene angesiedelt wird, kann sich dies negativ auf die Risikobeurteilung auswirken.
Computerworld: Wie sieht das Verhältnis zwischen CIO und CISO aus? Ziehen die am gleichen Strang?
Kocher: Grundsätzlich sollten CIO und CISO zusammenarbeiten und wie Sie sagen am gleichen Strang ziehen. Allerdings gibt es auch Interessenkonflikte zwischen den beiden. Um ein etwas plakatives Bild zu verwenden, ist der CIO für den IT-Betrieb zuständig. Das heisst, er ist daran interessiert, dass die Lämpchen auf dem IT-Management-Monitor alle grün leuchten und falls sie doch einmal rot werden sollten, schnell wieder auf grün wechseln. Der CISO dagegen ist in der Verantwortung, dass die Lämpchen lange grün bleiben und nicht lange rot werden. Konflikte sind hier somit möglich.
Wenn ich dies auf die Anwenderebene herunterbreche ist es sogar so, dass die IT eher der «Enabler» ist, während die IT-Security eher hinderlich sein kann. Denken Sie nur an die Absicherung der Systeme durch Passwörter und weitere Faktoren. Will man hier als CISO einen optimalen Schutz implementieren, wird das für den Anwender unweigerlich komplex und «verhindert» damit das Arbeiten. Auf der anderen Seite hängt der Arbeitsplatz an der IT-Security. Denn wenn ein Unternehmen wegen eines grösseren Vorfalls grosse Umsatzeinbussen erleidet, ist dieser gefährdet. Ziel der IT-Security muss es daher sein, diskret zu schützen, ohne den Anwender zu sehr in Mitleidenschaft zu ziehen.
Computerworld: Welche Unternehmen beschäftigen heute bereits einen CISO?
Kocher: Das sind schon in der Regel die grösseren Firmen, die sich durchschnittlich den Risiken einer mangelnden IT-Security bewusst sind. In klassischen KMU fehlt diese Position noch. Typischerweise ist da der IT-Leiter auch für die Security zuständig. Tendenziell wird die IT dort auch noch als reines Arbeitswerkzeug wahrgenommen, über dessen Schutz man sich noch wenig Gedanken macht. Allerdings steigt auch hier das Bewusstsein für die IT-Security.
Kocher: Das sind schon in der Regel die grösseren Firmen, die sich durchschnittlich den Risiken einer mangelnden IT-Security bewusst sind. In klassischen KMU fehlt diese Position noch. Typischerweise ist da der IT-Leiter auch für die Security zuständig. Tendenziell wird die IT dort auch noch als reines Arbeitswerkzeug wahrgenommen, über dessen Schutz man sich noch wenig Gedanken macht. Allerdings steigt auch hier das Bewusstsein für die IT-Security.
Der «Rucksack» des CISO
Computerworld: Was muss ein CISO an Fertigkeiten und Kenntnissen mitbringen?
Kocher: Der CISO benötigt im Grunde genommen das Skill-Set eines Projektleiters. Er ist der Kommunikator und sollte über Managementfähigkeiten verfügen. Denn in der Regel hat er ein Team aus technisch versierten IT-Security-Fachleuten, mit dem er die verschiedenen Projekte dann umsetzt.
Der CISO braucht also beides, ein bestimmtes technisches Know-how auf der einen Seite. Andererseits muss er mit seinem Team und mit der Geschäftsleitung sowie dem Verwaltungsrat stufengerecht kommunizieren können. Dem CISO kommt somit eine klassische Mittlerrolle zu: Er muss unten die Technik verstehen und die Gefahrenlage nach oben verständlich erklären sowie Management-technisch richtig verpacken können.
Computerworld: Kommen dann heutige Schweizer CISO eher von der technischen Seite her?
Kocher: Nicht unbedingt. Ich würde schätzen die Hälfte kommt von der Technik her und die andere Hälfte von der Managementseite. Letzteres trifft meist bei grösseren Unternehmen dann zu, wenn die Position des CISO aus Compliance-Gründen besetzt wird. Dann kommt er eher aus dem Management. Aber auch dann muss er eine Lücke füllen und sich viel technisches Wissen aneignen, was auch nicht immer einfach ist.
Computerworld: Beim derzeitigen Fachkräftemangel dürfte auch die Stelle eines CISO schwierig zu besetzen sein. Sind da Konzepte wie «Rent a CISO» die Lösung?
Kocher: Durchaus. Denn viele mittelgrosse Unternehmen benötigen nicht ständig einen CISO. Deshalb gibt es in der Schweiz bereits Firmen, die sich mit anderen einen CISO teilen. Wir stellen beispielsweise solche Leute zur Verfügung, natürlich unter strengsten NDAs. Schliesslich darf man hier das Vertrauen in keinster Weise gefährden.
Computerworld: Ab welcher Grösse raten Sie einer Firma, einen CISO zu engagieren, sei es fest oder leihweise?
Kocher: Eigentlich braucht jede Firma, egal wie gross sie ist, ab und zu die Sichtweise des CISO auf die eigene IT-Infrastruktur. Das kann bei kleinen Unternehmen bedeuten, dass sich ein CISO einmal im Jahr die Prozesse und die Sicherheitsmassnahmen anschaut oder dass er bei der Einführung von neuen IT-Produkten und -Abläufen beigezogen wird, um sich diese einmal mit der IT-Security-Brille anzuschauen und zu überprüfen. Schliesslich hat jede Firma, wenn sie gehackt wird, Geld zu verlieren.