Was zeichnet einen Thought Leader im IT Security-Bereich? In welche Richtung entwickelt sich die IT Sicherheit? Über diese und weitere Punkte sprach it security-Herausgeber Ulrich Parthier mit Udo Riedel, CTO und Gründer der DriveLock SE.
Ulrich Parthier: Als CTO sind Sie bei DriveLock verantwortlich für Forschung und Entwicklung, Qualitätsmanagement und die Programmierung. Das bedeutet, Ihr Fokus liegt auf der technischen Entwicklung von DriveLock und der Implementierung neuer Technologien in die Software. Was verbindet Sie mit dem Thema Thought Leadership, einem ja eher strategischen Managementthema?
Udo Riedel: Als CTO ist die Produktstrategie genau mein Thema. Denn als Unternehmen ist es unser Ziel, ein Meinungsführer im IT Security Markt zu sein, während wir den Markt analysieren und zukunftsorientierte Lösungen entwickeln. Der CTO entwickelt die Strategie und bestimmt auch die Außendarstellung in dieser Hinsicht.
Ulrich Parthier: Wie würden Sie den Thought Leadership-Begriff definieren und welche Sichtweise eignet sich am besten?
Udo Riedel: Es geht ums Vordenken und Verstehen der Gegenseite. Beim Katz-und-Maus Spiel mit Hackern und Cyberkriminellen schadet es auch nicht – ich sage das jetzt mit einem zwinkernden Auge – selbst eine gesunde kriminelle Energie zu haben. Natürlich ohne diese einzusetzen! So kann man sich in die Gegenseite hineinversetzen und mögliche kriminelle Vorgehensweisen antizipieren. Wir bemühen uns, den Hackern stets einen Schritt voraus zu sein. Wenn wir aus der Vogelperspektive das Gesamtbild betrachten, können wir unser Wissen auch mit unseren Kunden und Partnern teilen.
Beim Katz-und Maus Spiel mit Hackern und Cyberkriminellen schadet es auch nicht selbst eine gesunde kriminelle Energie zu haben. Natürlich ohne diese einzusetzen!
Ulrich Parthier: Egal ob Cyberangriffe von außen oder versteckte Angriffe von innen, der Mensch ist immer das schwächste Glied in der Kette. Was empfehlen Sie an proaktiven Maßnahmen?
Udo Riedel: Letztendlich sind ungefähr 70 Prozent des Datenverlusts menschlichem Fehlversagen geschuldet – das kann der verlorene USB-Stick sein, oder ein Gerät, das mit dem ungesicherten Heimnetzwerk verbunden wurde. Ein Großteil der Sicherheitsindustrie konzentriert sich aber nur darauf, irgendwelche Angriffe abzuwehren. Deshalb ist „Security Awareness“ für uns so ein wichtiges Thema, denn die Beschäftigten müssen fundiert ausgebildet werden. Am besten geeignet sind kurze Schulungsmaßnahmen zum richtigen Zeitpunkt, bei denen die Gefahr visualisiert wird – beispielsweise, wenn ein unbekannter USB-Stick an das Notebook angeschlossen wird. Auf diese Weise findet eine Sensibilisierung für potenzielle Gefahren exakt im kritischen Moment statt und die Mitarbeiter prüfen Gefahrenquellen künftig mit geschulterem Auge.
Ulrich Parthier: Wie führt man am besten Veränderungsprozesse ein?
Udo Riedel: Das Thema „Human Performance“ wird in einigen Unternehmen nicht kritisch genug betrachtet, um zu einer effektiven Security-Strategie beizutragen. Deshalb ist eine externe Beratung aus anderer Perspektive auf jeden Fall ratsam. Ein Berater kann gegebenenfalls Fehlverhalten oder Lücken in der IT-Sicherheit aufzeigen und entsprechende Tools direkt anbieten. Ein guter Startpunkt ist immer das Coaching, später kommen dann die technischen Maßnahmen dazu.
Ulrich Parthier: Zum Change gehören Coaching, Sensibilisierung sowie Fehlerkultur und wie man mit diesen umgeht. Welche Maßnahmen haben sich hier bewährt?
Udo Riedel: Für mich ist Fehlerkultur einer der wichtigsten Begriffe, der oft falsch angegangen wird. Ich bekomme das aktuell bei meiner Tochter mit. Sie bekommt in der Schule beigebracht, wie wichtig es ist, immer einen Schuldigen herauszufinden. Dabei ist das überhaupt nicht wichtig. Fehler passieren – da können wir nichts dagegen tun. Bei uns im Unternehmen sagen wir: Jeder Mensch darf Fehler machen, aber jeden Fehler nur einmal. Schuldzuweisungen sind hier fehl am Platz. Stattdessen versuchen wir herauszufinden, warum der Fehler passiert ist und wie wir ihn beim nächsten Mal vermeiden können.
Was technische Maßnahmen angeht, orientieren wir uns am Swiss Cheese Modell. Jedes System hat irgendwo ein Loch, durch welches ein Angreifer schlüpfen könnte. Je mehr Scheiben Sie übereinanderlegen, desto unwahrscheinlicher ist es, dass diese Löcher sich überlappen.
Ulrich Parthier: Sie sind ein passionierter Hobby-Pilot. Was haben die Fliegerei und Ihre Erfahrungen zum Thema „Vermeiden von menschlichen Fehlern“ gemeinsam?
Udo Riedel: In der Luftfahrt ist Fehlermanagement seit jeher ein äußerst wichtiges Thema und einige der Stichworte aus dem Bereich Human Performance, die ich vorhin bereits genannt hatte, kommen ursprünglich aus der Berufsfliegerei. Zum Beispiel Fehlerkultur: Autoritätsgefälle sind aus menschlicher Sicht verständlich und typisch, aber auch erfahrene Piloten machen Fehler. Deshalb wurde das Cockpit-Team im Flugzeug auch umbenannt und man spricht nicht mehr von einem Piloten und einem Co-Piloten, sondern von Pilot Flying und Pilot Monitoring. Per Definition sind beide auf eine Ebene gestellt und der Pilot Monitoring kann Fehler ansprechen, die der Pilot Flying macht. Dieses Schema wird mittlerweile auch in anderen Bereichen umgesetzt. Ein besonders prominentes Beispiel ist die Medizin: Ich erinnere mich, eine Statistik gesehen zu haben, laut der 50 Prozent aller Komplikationen nach chirurgischen Eingriffen aufgrund menschlichen Versagens des Arztes herrühren. Die Assistenten trauen es sich möglicherweise gar nicht zu sagen, wenn der Doktor ein Tuch mit einnäht oder einen offensichtlichen Fehler macht. Er sollte es besser wissen, denn er ist ja immerhin Arzt. Nur mit viel Schulung können wir eine gute Fehlerkultur schaffen, in der es nicht verpönt ist, Fragen zu stellen und Fehler anzusprechen.
Technologie – insbesondere das Vertrauen in diese – spielt auch in beiden Bereichen eine wichtige Rolle. In der Fliegerei nennen wir das „Trust your instruments“, zum Beispiel wenn eine Wolke gerade das gesamte Blickfeld beeinträchtigt. Auch in der Cybersecurity verlassen wir uns auf unsere Technologien, die uns vor dem Unbekannten zu schützen.
Ulrich Parthier: Zurück zum Thema Leadership. Was verbindet Leadership und Innovationen?
Udo Riedel: Für mich gehören die beiden Begriffe untrennbar zusammen. Wenn ich ein Leader sein möchte, dann muss ich innovativ und immer auf dem neuesten Stand sein. Ansonsten steht der „Leader“ am Ende irgendwo weit hinten in der Schlange und führt gar nichts an.
Ulrich Parthier: Wenn wir einen Blick auf den Bereich IT-Security werfen. Was zeichnet einen Thought Leader hier aus?
Udo Riedel: Nach vorne blicken und sich fragen: Was wird in Zukunft passieren? Wir beobachten aktuell eine zunehmende Industrialisierung der Gegenseite und das dürfen wir als Anbieter von IT Security nicht ignorieren. Wir reden bei der Malware-Industrie mittlerweile von einem Milliardenmarkt, in den Unmengen an Ressourcen investiert werden. Da reichen die Antivirus Software und die Firewall, die 20 Jahre lang gewiss gute Dienste erwiesen haben, einfach irgendwann nicht mehr aus.
Ulrich Parthier: Wie würden Sie Drivelock hier sehen?
Udo Riedel: Wir sehen das Thema Security ein bisschen anders als die meisten Hersteller, denn uns geht es nicht nur darum, Angriffe abzuwehren. Wir wollen den gesamten Life Cycle von Daten schützen – von der Entstehung bis zur Vernichtung. Unsere Produktvielfalt gestattet es uns, individuell angepasste Module anzubieten, bei denen sich die „Käsescheiben“ überlappen, sodass keine Löcher übrigbleiben.
Außerdem steht das Thema Human Performance bei uns im Fokus, wie bereits erwähnt.
Ulrich Parthier: Letzte Frage – in welche Richtung entwickelt sich die IT-Sicherheit?
Udo Riedel: Eine große Rolle wird die Sensibilisierung der Menschen spielen. Je besser die Menschen Schadsoftware erkennen, desto weniger effektiv ist diese. Aus technologischer Sicht nähern wir uns immer mehr dem Schweizer Käse Modell an. Die Professionalisierung der Malware-Industrie bedeutet, dass Unternehmen ihre Cybersecurity-Strategie überdenken müssen und andere beziehungsweise mehr Produkte einsetzen werden als bisher.
Ulrich Parthier: Herr Riedel, wir danken Ihnen für das Gespräch!