«CIO und CISO müssen an einem Strang ziehen»
Wie gut sind Schweizer Firmen geschützt?
Computerworld: Sind Firmen heute grundsätzlich besser geschützt als in der Vergangenheit?
Kocher: Hier kann ich sehr wohl eine Verbesserung feststellen. Als ich vor gut 20 Jahren erstmals im IT-Security-Umfeld tätig war, musste man Unternehmen oftmals noch die Einrichtung einer Firewall aufschwatzen. Heute sind doch viele Schutzvorkehrungen wie Endpoint-Protection der Standard und werden nicht mehr in Frage gestellt. Allerdings reicht dieser Grundschutz oftmals nicht aus. Denn es findet bekanntlich ein wahres Wettrüsten zwischen Angreifer- und Verteidigerseite statt.
Daneben gibt es neue Einfallswege, die sich auftun, etwa über Smartphones. Hier besteht noch ein grosser Aufholbedarf, was die Security anbelangt. Denn es werden noch die gleichen Fehler gemacht, die bei PC vor zehn Jahren Gang und Gäbe waren. Noch schlimmer: Wenn ich an das Internet of Things denke – ich spreche in diesem Zusammenhang lieber vom Internet of Threats – sehe ich die IT-Security sogar um 20 Jahre zurückgeworfen. Hier stehen wir leider wieder ganz am Anfang der Entwicklung und alle Fehler, die wir von der Anfangszeit der PC her kennen, werden nochmals gemacht.
Grundsätzlich kann ich aber konstatieren, dass Firmen die IT-Security verbessert haben und ernster nehmen. Allerdings ist auch die zu schützende Infrastruktur komplexer geworden. Wie schon erwähnt, spielen dabei Smartphones und IoT-Geräte eine Rolle, aber auch die zunehmende Nutzung der Cloud. Die grösste Gefahr droht dabei in Bezug auf die Entstehung einer regelrechten Schatten-IT. Denn viele Anwender nutzen Cloud-Dienste unter Umgehung der IT-Abteilung, um den manchmal langwierigen Implementierungs- und Bewilligungsprozess in den Firmen zu umgehen.
Computerworld: Der «Faktor Mensch» ist somit aus Ihrer Sicht ein grosser Unsicherheitsfaktor?
Kocher: Das ist definitiv so. Aus meiner Sicht gibt es zwei grundsätzliche Security-Axiome, bei denen die grössten Probleme entstehen. Das erste ist die Software als solche, die ja nicht geschrieben werden kann, ohne dass alle Codezeilen fehlerfrei sind. Deshalb wird auch die Software-Qualität nach Fehler pro Anzahl Zeilen beurteilt. Guter Quelltext weist beispielsweise einen Fehler auf 2000 Zeilen auf. Nicht jeder Fehler kann dabei als Schwachstelle genutzt werden. Aber man kann davon ausgehen, dass grosse Programme wie ein Betriebssystem mit Millionen von Zeilen Code unweigerlich Verwundbarkeiten aufweisen. Ein Angriffsvektor ist damit die Software.
Axiom zwei ist aber, wie Sie erwähnt haben, der Mensch. Es gibt immer jemanden in einem Unternehmen, der beispielsweise beim Erhalt eines Phishing-Mail auf den Link klickt. Somit muss man an beidem arbeiten: sensibilisieren und updaten.