Christoph Peylo
Wir begrüßen Christoph Peylo, SVP Digital Trust bei der Robert Bosch GmbH, als neues Beiratsmitglied bei CyberCompare! Im folgenden Interview nimmt Christoph uns auf eine Zeitreise zurück in den Physikunterricht, als er beim Anblick eines Apple Computers entschieden hatte, IT verstehen zu wollen. Nachdem er seinen ersten Kulturschock in Form eines Cyberangriffes erlebt hatte, nahm er Updates und Patches nicht mehr auf die leichte Schulter. Seitdem hat sich der Cyberspace kontinuierlich weiterentwickelt: Cybersecurity-Schutzmaßnahmen, Künstliche Intelligenz (KI) und Internet of Things (IoT) nehmen eine zunehmend wichtigere Rolle im Cybersicherheitsmarkt ein. Plus – ein Cyberangriff kann sich auch gegen ein nicht vernetztes Ziel richten.
Lieber Christoph, Du blickst bereits auf eine langjährige Karriere in verschiedenen Bereichen zurück. Was war Dein erster Computer und gibt es eine Episode aus dieser Zeit, an die Du Dich noch gerne erinnerst?
Meine erste Begegnung mit einem Computer war für mich tatsächlich ein Blick in eine neue Welt. Unsere Schule hatte gerade zwei nagelneue Apple Computer (IIe) angeschafft und unser Physiklehrer hatte uns (als Zeichen ganz besonderer Gunst!) gestattet, einen Blick darauf zu werfen. Da stand er. Im Physikvorbereitungsraum. Ein nagelneuer Apple IIe. Mit grün blinkendem Monochromdisplay und freundlichen Buchstaben, die den Benutzer aufforderten, eine Startdiskette einzuschieben. „Donnerwetter“, dachte ich mir, „woher weiß er das, wie funktioniert denn das?!“. Mitte der 80er Jahre war eben die Zeit, in der die Mensch-Maschine-Interaktion aus Knöpfen, Schalter, Taster, oder Schieberegler – ganz ausgefeilt – bestand. Damals habe ich zwei wichtige Entscheidungen getroffen: Das will ich auch haben! Das will ich verstehen!
Security ist ja nur eines von vielen Themen. Was beschäftigt Dich und Dein Team aktuell?
Dazu muss ich vielleicht kurz erwähnen, wie ich zur Security gekommen bin: Ein System, für das ich zuständig war, wurde von einem Hacker angegriffen. Das war so ein kleiner Kulturschock für mich. Es ist glücklicherweise nicht viel passiert. Ich war zu dem Zeitpunkt selbst online und konnte den Eindringling mit seinen Aktionen quasi beobachten. Als er dann anfangen wollte, einen Compiler hochzuladen, um irgendwelche schwindelige Sachen zu kompilieren, habe ich ihn dann rausgeschmissen. Anschließend haben wir das ganze System neu aufgesetzt. Tja, und wie kam er rein: durch eine Vulnerability, die wir nicht gleich „gepatcht“ hatten. Seitdem nehme ich Updates und Patches sehr, sehr ernst.
Das, was mich damals beschäftigt hat, beschäftigt uns alle auch heute noch: Wir versuchen die Sicherheit, Robustheit und Zuverlässigkeit unserer Produkte und Services – auch der internen – sicherzustellen. Mit möglichst wenig Einschränkung und Unbequemlichkeit für unsere Kunden, Partner und Kollegen.
Welche Aspekte bei Bosch sind aus Deiner Sicht eine besondere Herausforderung im Hinblick auf Security?
Die klassische IT-Security war ja eigentlich schon schwierig genug. Wenn wir heute von Sicherheit im Cyberspace sprechen, dann hat das noch ganz andere Dimensionen angenommen. Heute kann man die Trennung von vernetzten und nicht vernetzten Systemen gar nicht mehr so recht vollziehen: Ein Cyberangriff kann sich auch gegen ein nicht vernetztes Ziel richten. So ließe sich beispielsweise über die Kamera einer gehackten Smart TV die Kombination eines traditionellen Safes ausspionieren. Immer mehr Objekte haben eine Identität im Cyberbereich, aber auch in der natürlichen Welt. Cyberangriffe können hohe Auswirkungen auch in den nicht digitalen Lebensbereichen haben.
Welche technischen Entwicklungen im Bereich IT- oder IoT-Security findest Du interessant?
Ich finde künstliche Intelligenz wahnsinnig spannend. Deshalb hatte ich es damals auch studiert. Der Einzug von Künstlicher Intelligenz in Alltagsprodukte ist in vielerlei Hinsicht absolut positiv und wünschenswert, macht aber die Sicherstellung von Robustheit, Sicherheit und Vertrauenswürdigkeit nicht gerade einfacher. Glücklicherweise lässt sich KI aber auch zum Schutz von Produkten und zur Reduzierung von Komplexität einsetzen – was auch schon sehr hilft.
Gibt es Aktien von Security-Anbietern, die Du kaufen oder shorten würdest?
Dazu sage ich mal besser nichts. Meine Anlagestrategien empfehlen sich nur sehr bedingt zur Nachahmung.
Ist aus Deiner Sicht eine Konsolidierung im Security-Anbietermarkt wahrscheinlich? Werden in Zukunft Microsoft, Google und andere große Player unschlagbar sein, vielleicht auch, weil sie die meisten Daten zur Optimierung der Security-Algorithmen, wie z. B. für die Anomalie-Erkennung, heranziehen können?
In den genannten Organisationen gibt es in der Tat sehr viel Security-Know-how und Expertise. Es ist eher die Frage, ob das Portfolio eines Unternehmens wirklich alle Bedarfe eines Unternehmens abdeckt. Wenn ich wirklich alle Services, die ich benötige, aus den Cloud-basierten Produkten eines Anbieters nehmen kann, dann kann ich nicht nur meine IT, sondern auch meine Security „outsourcen.“ Ich kenne nicht viele Unternehmen, für die das ein gangbarer Weg wäre.
Insgesamt wird immer mehr für Security ausgegeben, gleichzeitig steigen aber Anzahl und Schwere der Angriffe. Hast Du eine Perspektive darauf? Wäre ein Verbot von Lösegeldzahlungen oder des Handels mit Kryptowährungen ein möglicher Ansatz?
Bei den professionellen Angreifern haben wir es quasi mit der dunklen Seite der Digitalisierung zu tun. Skalierende Plattform und Servicemodelle, die ein Wachsen bei sehr niedrigen Grenzkosten ermöglichen, gelten leider auch für Angreifer. Ich glaube nicht, dass Verbote, die international auch nur schwer durchsetzbar sind, erfolgversprechend sind. Schutzmaßnahmen, die die Skalierbarkeit von Angriffen beeinträchtigen, sind besonders erfolgreich. Wenn die Kosten pro Angriff höher werden, werden wir es auch mit weniger Angreifern zu tun haben.
Welchen Falschaussagen oder Halbwahrheiten begegnest Du immer wieder, oder noch immer, hinsichtlich Cybersecurity?
Dass Cybersecurity eigentlich nur ein moderneres Wort für IT-Security sei. Wer das behauptet, hat den Kontext, in dem wir uns mittlerweile bewegen, noch nicht verstanden.
Wenn Du eine E-Mail an alle CIOs und CISOs dieser Welt schicken könntest, was wäre die Kernbotschaft?
Cybersicherheit beginnt mit der Softwareentwicklung und umfasst auch die Nutzer von Systemen. Eine ganz wesentliche Herausforderung liegt an der Komplexität und der Abstraktheit digitaler Produkte und Services. Der Mensch ist besser für die Gefahren der haptischen Welt gerüstet: Tiger, Wölfe, Abgründe… Hier sträuben sich uns die Nackenhaare, Adrenalin wird ausgeschüttet und der Mensch weiß, dass man jetzt aufpassen muss.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.