Cybersecurity muss neu gedacht werden, sagt Okay Güler, früherer Ethical-Hacker und Gründer von Cloudyrion, im Interview. Eine Möglichkeit: Secure by Design. Dabei wird von der Konzeption bis zum Launch das Produkt kontinuierlich abgesichert und die Beteiligten nach und nach zu “Security Champions” ausgebildet.
Herr Güler, fortlaufend gibt es Berichterstattung über Datenleaks, Hacking-Angriffe und Co. Hat sich die Bedrohungslage im Cyberspace verschärft? Oder wird nur mehr darüber gesprochen?
Okay Güler: Für die steigende Berichterstattung gibt es viele Gründe. Etwa neue BSIG und DSGVO Regulierungen, die Unternehmen dazu verpflichten, über Cyber-Angriffe zu berichten. Auch der Umstand, dass globale Konflikte mittlerweile immer auch im Cyberspace geführt werden, sorgt für mehr Nachrichten.
Allgemein bringt die fortschreitende Digitalisierung im Vergleich zu früher deutlich mehr Angriffsfläche mit sich, z. B. das E-Auto und die Smartwatch, aber auch persönliche Cloud-Speicher, die vielerorts das Fotoalbum ersetzen. Die Awareness ist also gestiegen, da mittlerweile fast jeder Berührungen mit Hacking, Malware oder Datenleaks hatte und somit vermutlich auch ein größeres Interesse besteht, öfter darüber zu berichten.
Wie kann sich der Wirtschaftsstandort Deutschland dagegen wappnen? Wo sehen Sie die größten Chancen und ggf. die größten Risiken?
Okay Güler: Zunächst einmal ist es entscheidend zu verstehen, dass die digitale Sicherheit nicht nur ein technisches, sondern auch ein strategisches Thema für Deutschland ist. Weshalb es auch immer häufiger in den Debatten der Bundesregierung stattfindet.
Für mich ist Förderung fast das Thema Nummer eins. Es gibt in Deutschland im Bereich Cyber Security einige renommierte Universitäten im Bereich Cybersecurity, die Talente schmieden. Da sind wir nicht schlecht aufgestellt. Das reicht aber nicht aus, denn Cyber Sicherheit ist die Verantwortung von uns allen. Talente können auch deutlich früher für das Thema begeistert werden. In den Schulen fehlen Workshops/Trainings oder Unterrichtseinheiten, die sich mit dem Thema befassen. Insbesondere weibliche Expertinnen können früher für das Thema begeistert werden.
Hier hinken wir im Vergleich zu anderen – besonders den arabischen und asiatischen Ländern hinterher. Auch benötigt IT-Sicherheit nicht unbedingt ein Studium, um ein Experte zu werden. Hier könnten Bund und Länder mehr für Quereinsteiger tun und neue Ausbildungswege unterstützen. Zuletzt darf auch der “Hacker-Paragraph” nicht unerwähnt bleiben. Hier ist dringend eine Veränderung notwendig, damit Sicherheitsforscher nicht zu unrecht kriminalisiert werden können.
In Ihrer Firma setzen Sie für maximale Sicherheit auf “Secure by Design”. Was ist besonders daran ? Woher kommt Secure by Design?
Okay Güler: Das Konzept von “Secure by Design” ist nicht völlig neu und findet in anderen Bereichen wie dem Qualitätsmanagement ähnliche Anwendung. Es hat jedoch an Bedeutung gewonnen, da die Abhängigkeit von digitalen Systemen und Software in allen Lebens- und Wirtschaftsbereichen zugenommen hat und damit auch die potenziellen Auswirkungen von Sicherheitsverletzungen. Die Idee, Systeme von Grund auf sicher zu machen, basiert auch auf der Erkenntnis, dass viele Sicherheitsprobleme auf schlechte Entwurfsentscheidungen zurückzuführen sind und nicht nur auf fehlerhaften Code oder fehlenden Patches.
Unterstützt wurde die Entwicklung außerdem von verschiedenen Standards, Richtlinien und Best Practices in der IT- und Softwareentwicklungsbranche (z.B. OWASP Top 10), um die zunehmenden Bedrohungen und die wachsende Komplexität moderner Systeme anzugehen.
Was würde es etwa für einen Mittelständler bedeuten, sich für Secure by Design zu entscheiden? Müssen die Produktentwickler dann immer erst zu ihnen kommen?
Okay Güler: Es ist nicht unbedingt notwendig, dass Produktentwickler vor jeder einzelnen Entscheidung zu uns kommen. Allerdings wäre es klug, eine enge Zusammenarbeit und Konsultation in den Schlüsselphasen des Entwicklungsprozesses sicherzustellen. In einigen Fällen kann es auch sinnvoll sein, Sicherheitsexperten direkt ins Entwicklungsteam zu integrieren oder regelmäßige Überprüfungen und Audits durch externe Experten durchführen zu lassen.
Die Idee ist sicherzustellen, dass Sicherheitsprinzipien und Best Practices von Anfang an befolgt und dass potenzielle Risiken und Schwachstellen frühzeitig identifiziert und angegangen werden, bevor es zu ernsthaften Problemen kommt.
Für Mittelständler kann Secure by Design zu schnelleren und sicheren Software-Releases führen, in dem z. B. die aktuellen Automatisierungen im Hinblick auf Security fine-tuned werden. Diese sogenannten Guardrailes können ohne große IT-Sicherheitsexpertise Angriffsvektoren erheblich verkleinern. Auch können Unternehmen so klare Regeln im Hinblick auf Softwaresicherheit für externe Anbieter oder Zulieferer definieren und „Supply-Chain“ Risiken gering halten.
Fast am wichtigsten ist der People-Aspekt. Secure by Design involviert unterschiedliche Stakeholder von Einkauf über Entwickler bis hin zum Management und führt bei langfristigen Projekten dazu, dass sie durch Schulungen und Coachings nach und nach zu Security-Champions werden.
Muss man Voraussetzungen erfüllen, um mit Secure by Design zu arbeiten? Reicht es nicht, PenTests durchzuführen?
Okay Güler: Security by Design kann grundsätzlich für alle Unternehmen relevant sein – unabhängig von ihrer Größe, Branche oder den spezifischen Produkten und Dienstleistungen, die sie anbieten. Das Konzept betont die Wichtigkeit, Sicherheit von Anfang an in den Entwicklungs- und Implementierungsprozess zu integrieren, anstatt sie als nachträglichen Zusatz hinzuzufügen.
Es ist also ein proaktiver Ansatz zur Sicherstellung der Robustheit eines Systems, während Penetrationstests (PenTests) eher reaktiv sind und darauf abzielen, vorhandene Schwachstellen in einem bereits entwickelten System aufzudecken. Damit sind PenTests ein wichtiges Instrument zur Sicherheitsüberprüfung, können aber nicht den umfassenden Scope von Secure by Design abdecken. Idealerweise kombiniert man beides.
Auf Secure by Design gibt es kein Copyright, warum findet es nicht mehr Verwendung?
Okay Güler: Das ist eine gute Frage, da es sich ja um ein Konzept und keine spezifische Technologie oder Methodik handelt. Es ist nicht einmal urheberrechtlich geschützt. Wie auch bei der Anfangsfrage, gibt es mehrere Gründe, warum sich trotz der offensichtlichen Vorteile gegen Secure by Design entschieden wird. Der einfachste ist, dass viele Unternehmen noch nicht davon gehört haben. Dann ist es wie alles andere auch immer ein Ressourcenthema.
Die Produktsicherheit von Beginn an mitzudenken ist komplex, die Umsetzung meist sogar noch komplexer. Das erfordert Fachkräfte und kostet Geld. Unternehmen sind daher oft versucht, besonders in der eigentlich entscheidenden Anfangsphase Kosten zu sparen und die Sicherheit stiefmütterlich zu behandeln, statt in sie zu investieren. Auch wenn sich das langfristig natürlich nicht rechnet.