„Cyber-Security muss endlich cool werden"
Im August gab es bei einer großen Kreditkartenfirma ein großes Datenleck. 90.000 Kunden waren betroffen. Wie ist es möglich, dass selbst so große Unternehmen nicht die notwendigen Vorsichtsmaßnahmen treffen, beziehungsweise treffen können?
Sven Weizenegger: Große Unternehmen haben in der Regel eine eigene Abteilung für IT-Sicherheit, die Sicherheitslücken findet und schließt. Darum sind die Daten dort vergleichsweise besser geschützt als bei kleinen Unternehmen. Andererseits sind die Kundendaten einer Kreditkartenfirma für Hacker sehr attraktiv, sie lassen sich gut monetarisieren. Seitdem Daten in den vergangenen Jahren Öl auf der Skala der wertvollen Rohstoff überholt haben, ist Datendiebstahl ein lukratives Geschäftsmodell.
Es überrascht nicht, dass die Angriffe immer komplexer und professioneller werden. Hacker sind heute auch keine Einzelkämpfer mehr, sondern arbeiten in professionellen Teams zusammen, die komplexe Angriffe starten. Darauf muss die Branche reagieren. Wir setzen deshalb auf Innovation durch Kollaboration. Wenn an einer Stelle ein Angriff erkannt wird, muss das ganze System das wissen.
„Der aktuelle Gartner Report geht davon, dass 2020 ETWA 90% aller Cyber-attacken mit einer E-Mail beginnen“
Du warst ja der erste Hacker der Deutschen Telekom. Wann war das eigentlich? Und was hat sich seitdem in der Vorgehensweise der Hacker geändert?
Sven Weizenegger: Ich habe 2002 bei der Telekom als Hacker bzw. „Penetrationtester“ begonnen. Damals kamen die Angriffe üblicherweise über das Perimeter. Die Perimeter-Sicherheit betrifft die Sicherheit am Übergang zwischen einem Privat- oder Unternehmensnetz und einem öffentlichen Netz wie dem Internet. Das hat sich grundlegend geändert. Der aktuelle Gartner Report geht davon, dass 2020 etwa 90% aller Cyber-Attacken mit einer E-Mail beginnen. Darauf müssen sich Unternehmen einstellen.
Mit der Professionalisierung des Hackens haben sich auch die Angreifer verändert. Während wir es damals meist mit einzelnen Idealisten zu tun hatten, stehen wir heute Netzwerken von Professionellen Angreifern gegenüber.
Und wie genau? Wie geht ihr diese Problematik bei SUZA an?
Sven Weizenegger: Unsere Kunden sollen sich auf ihr Kerngeschäft fokussieren können. Punkt. Statt wie üblich auf 10 bis 20 Programmen parallel zu arbeiten, hat man mit SUZA alle relevanten Informationen im Blick und ist in der Lage sicherheitsrelevante Entscheidungen schnell und effizient zu treffen. Teilweise muss der Kunde noch nicht einmal eine Handlung anstossen, SUZA erledigt das für ihn.
Als Team war uns wichtig, dass die Plattform super funktioniert und Spaß macht. Wir finden Cyber-Security muss endlich cool werden und dieses „nerdige“ Image ablegen. Experience ist dabei einer der wichtigsten Faktoren.
Auf unsere Cyber-Security-Experience sind wir wirklich stolz, aber SUZA ist mehr als nur ein hochintuitives Interface. Die KI-unterstützte Plattform ermöglicht den Datenaustausch und vor allem die Orchestrierung zwischen den im Unternehmen bestehenden Silo-Lösungen und das steigert deren Effizienz und damit die Sicherheit des Unternehmens deutlich. Übrigens haben wir keinen Zweifel daran, dass der Wert einer Cyber-Security Lösung in Zukunft danach bemessen wird, wie schnell und wie gut sie mit anderen zusammenarbeitet.
„Vor dem Hintergrund immer komplexerer Cyberangriffe, ist Zusammenarbeit die einzig logische und effektive Strategie“
Da müsste sich die Branche aber grundlegend ändern?
Sven Weizenegger: Das wird sie, vor allem auch weil es der Kunde und der Markt verlangen wird. Vor dem Hintergrund immer komplexerer Cyber-Angriffe, ist Zusammenarbeit die einzig logische und effektive Strategie. Natürlich ist ein so ein Umdenken - weg vom Wettbewerb hin zu Kooperation - ein großer Schritt. Unsere Testkunden sind begeistert von der Plattform – das wird die Branche mittelfristig zum Umdenken bewegen.
Immer mehr Geschäfte werden ja online abgewickelt werden, je schneller und unkomplizierter, desto besser. Welche Kosten birgt der Wunsch nach dieser immer besseren Servicekultur - vor allem auch in Hinblick auf Datensicherheit.
Sven Weizenegger: Ich begrüße diese Servicekultur. Wenn die Achillesferse im Digitalen liegt, muss auch entsprechend in Sicherheit investiert werden. Im Moment werden durchschnittlich nur unter rund 5% des IT-Budgets für Sicherheit ausgegeben. Ich bin überzeugt, dass diese Zahl wird sich ändern und Sicherheit als Alleinstellungsmerkmal immer wichtiger werden wird.
2019 scheint das Jahr der Datenlecks zu sein: vom Angriff auf die deutschen Politiker Anfang des Jahres über das Leck im Kapserky-Virenschutz bis hin zu den Passwörtern und E-Mail-Adressen der Collection 1, die in einem Hackerforum auftauchten. Siehst du hier auch eine Inflation an Lecks oder sind wir alle nur sensibler dafür geworden?
Sven Weizenegger: Ich wünschte es wären alle sensibler! Awareness - also das Bewusstsein für Cyber-Risiken und den Wert von Daten - ist mir ein großes Anliegen. Als wir SUZA starteten, war von Anfang an klar, dass wir Awareness-Trainings für alle anbieten werden. Das Thema ist uns einfach zu wichtig, um Profit daraus zu schlagen - und ist für uns ein Teilbeitrag zur Nachhaltigkeit. Denn leider sind wir - meiner Meinung nach - noch lange nicht sensibel genug, um souverän mit unseren Daten umzugehen.
„Eine große Schwachstelle ist der unbedarfte Mitarbeiter”
Wo genau liegen die Schwachstellen?
Sven Weizenegger: Eine große Schwachstelle ist mit Sicherheit der unbedarfte Mitarbeiter, der nichtsahnend eine E-Mail öffnet. Aber wir sehen auch immer mehr Angriffe in anderen Bereichen. Apple galt als sicher. Das wandelt sich gerade. Anwendungen die Machine Learning nutzen, werden als Angriffsziel immer beliebter, wir stehen erst am Anfang. Es ist dabei relativ einfach, jedoch mit massiven Auswirkungen. Letztendlich ist alles was direkt oder indirekt am Internet dran hängt, angreifbar.
Aber auch die Entscheider, die unsicher sind, wie sie das vorhandene Budget sinnvoll einsetzen, sind ein Unsicherheitsfaktor. Es ist unglaublich, aber es gibt tatsächlich Unternehmer die meinen, an der Sicherheit könne man sparen und glauben, das sie kein attraktives Ziel sind.
Wo siehst du die größten Probleme in Bezug auf Datensicherheit in Corporate Unternehmen?
Sven Weizenegger: Das Problem ist oft die Anzahl an einzelnen Lösungen, die ein Unternehmen einsetzt, um der komplexen Bedrohungslage zu begegnen. Dazu kommen noch einmal eine Vielzahl von anderen IT-Anwendungen dazu. Meistens arbeiten diese hochspezialisierten Nischen-Lösungen nicht zusammen. Die Zulieferer des Unternehmens arbeiten wieder mit anderen Lösungen… kurz, eine schwer zu durchschauende Situation.
Wenn du in die Zukunft schaust, wo siehst du da deine größten Aufgaben und Herausforderungen? Und was sind die nächsten Schritte für dein Unternehmen?
Sven Weizenegger: Wir entwickeln mit SUZA ein Produkt, das unsere Kunden und den Markt sicherer und zufriedener macht. Wir werden zeigen, dass Cyber-Security Spaß macht und IT-Security-Anbietern, wie alle Beteiligten, von Kooperation profitieren. Es ist uns wichtig, dass auf europäischer Ebene die nötigen Rahmenbedingungen geschaffen werden und wir sehen es durchaus auch als unsere gesellschaftliche Verantwortung uns hier konstruktiv einzubringen.
Wir haben also noch einiges vor uns. Gerade bauen wir das Team auf, mit dem wir die Cyber-Security Branche nachhaltig aufrütteln werden. Wer Lust hat und motiviert ist, ist dazu herzlich eingeladen.Sven Weizenegger ist Mitbegründer und CEO der SUZA, einem Cybersicherheitsunternehmen mit Sitz in Berlin. Er ist derzeit auch Beiratsmitglied des CISPA Fusion - Helmholtz-Zentrum für Informationssicherheit und Mitglied des Lenkungsausschusses des Bundesministeriums für Wirtschaft für “IT-Sicherheit in der Wirtschaft” und Mitglied der Transatlantischen Cybersicherheit der Stiftung Neue Verantwortung. Sven war der erste offizielle Hacker der Deutschen Telekom.