Cyber-Angriffe: „Das eigentliche Ziel sind die Ressourcen“ | Experteninterview mit Nicolas Mayencourt

Über unseren Interviewpartner

Nicolas Mayencourt ist der Gründer und CEO von Dreamlab Technologies, einem schweizer Pionierunternehmen im Bereich Cybersecurity. Mit über 20 Jahren an Erfahrung hat Dreamlab Technologies die heutige Sicherheitslandschaft maßgeblich mitgestaltet.

Nicolas Mayencourt, Gründer und CEO von Dreamlab Technologies

Lieber Nicolas Mayencourt, Sie haben jetzt ja ca. 25 Jahre Erfahrung mit dem Thema Cybersecurity. Können Sie uns ein paar Highlights aus Ihrem Werdegang erzählen – gerne auch vielleicht eine Geschichte, die noch wenig bekannt ist?

Eigentlich habe ich sogar schon 35 Jahre Erfahrung – was viele nicht wissen, denn ich habe mit 9 Jahren schon angefangen mit der IT. Das war also um 1985, als das Internet noch gar nicht präsent war, oder zumindest unklar, ob es überhaupt einen praktischen Nutzen vom Internet gibt.

Ich habe schon damals schon geglaubt, dass das die Welt verändern wird, war jung, enthusiastisch und euphorisch. Ich dachte, wir werden Maschinen bauen, die die Arbeit für uns machen, und dass wir weniger Sorgen haben. Aber das Internet kam erst 10 Jahre später in die Breite.

Eine Anekdote dazu: Ich habe mein Abi gemacht und wollte dann Informationssicherheit studieren. Aber da gab es keine Studiengänge, weder in der Schweiz noch in anderen Ländern.

Also habe ich dann fast direkt meine eigene Company gegründet, die Dreamlab Technologies AG, mit dem Ziel, IT-Sicherheit weltweit anzubieten. Natürlich und für mich damals überraschend hat sich die Welt dann am nächsten Tag aber nicht direkt geändert – es gab nicht nur immer noch keine Studiengänge, sondern auch keinen Bedarf an IT-Sicherheit. Ich habe Pen Tests angeboten, konnte aber leider keine Gesprächspartner dafür finden.

Eigentlich ist erst durch das Platzen der Dot Com Blase unsere Industrie entstanden. Unsere Branche ist in gewisser Weise antizyklisch: Sicherheitsthemen werden oft prominenter, wenn es der Wirtschaft schlecht geht. Haben anfangs natürlich viel evangelisiert, aber auch ein Non-Profit-Institut mitgegründet und die erste offene Sicherheits-Prüfmethodik etabliert (die Open Source Security Testing Methodology Manual). Wir waren auch frühzeitig Mitglied im www-Konsortium und haben da die Standards mitgestaltet. Echte Sicherheit muss auf offenen Standards basieren, sonst gibt es keine Nachvollziehbarkeit und es wird ein Reverse Engineering Spiel.

Wenn Sie zurückschauen: Welche Mentoren oder Mentorinnen oder anderen Wegbegleitende haben Sie besonders unterstützt?

ch hatte das große Glück, zum richtigen Zeitpunkt geboren worden zu sein, und dass mich das Thema so fasziniert hat. Ich war immer bei den „First Movers“ in dieser Nische, die die Branche mit aufgebaut haben, und hatte deshalb in dieser Domäne kaum Mentoren – denn die gab es einfach nicht.

Es gibt aber viele Personen, die ich sehr respektiere, die mich inspiriert haben und zu denen ich aufschaue, zum Beispiel Science-Fiction-Autoren, Wissenschaftlern und Philosophen (z.B. William Gibson, Marvin Minsky, Aldous Huxley, Marshall McLuhan oder Paul Virilio).

Sie haben Dreamlab Technologies aufgebaut, Ihr seid sehr erfolgreich, unter anderem auch in der Arbeit mit Behörden vieler Länder. Wie sehen Sie den Markt für Cybersecurity: Wird sich das Feld weiter konsolidieren? Oder werden immer mehr Nischenplayer entstehen?

Aus meiner Sicht gibt es im Wesentlichen zwei Szenarien: Wenn wir nichts fundamental ändern und schwierige Fragen nicht beantworten, dann wird sich der Markt weiter konsolidieren. Natürlich werden auch immer wieder Nischenplayer für neue Themen entstehen, weil sich die Technik weiterentwickelt. Aber in diesem Szenario werden wir im Grunde genommen mehr vom selben haben („Rasender Stillstand“) – mehr Staatsspionage, mehr Kriminalität im Internet, natürlich auch bessere Reaktionszeiten und bessere Features von Sicherheitsprodukten. Das Katz- und Mausspiel wird fortgeführt werden. Die Schäden werden größer werden, Versicherungen werden weiterverbreitet sein, die Compliance-Schraube wird weiter angezogen werden und neue Gesetze erlassen werden. Aber die grundsätzliche Problematik wird sich nicht ändern.

Die Alternative, für die wir stehen und für die wir kämpfen, sieht anders aus. Ich ziehe dazu die Analogie zum Auto vor 100 Jahren, das hatte auch noch keine nennenswerten Sicherheitsmerkmale. Aber inzwischen haben wir klare gesetzliche Anforderungen an das Produkt und den Fahrer. Und die müssen nachgewiesen werden, sonst werden Auto oder Fahrer nicht zugelassen. Dazu gibt es Regeln wie Geschwindigkeitsbegrenzungen, und die werden kontrolliert und bei Übertretung mit Strafen belegt.

Aber bei Softwareprodukten ist es heute noch akzeptiert, dass Sicherheitsmängel bestehen, und Hersteller übernehmen keine Verantwortung dafür. Warum lassen wir (als Gesellschaft) das zu?

Wenn sich junge Informatikstudierende jetzt entscheiden müssen: Zu welcher Spezialisierung würden Sie ihnen im Bereich Cybersecurity raten?

Das ist eine schwierige Frage, das ganze Segment ist interessant und relevant. Ich würde sagen, erstmal breit einarbeiten und dann entscheiden.

Megatrends mit garantierter Arbeitsplatzsicherheit sind aus heutiger Sicht beispielsweise KI in Security (AI fueled defense), das wird riesig. Genauso wie die Schnittstelle von IT, OT und IoT, da geht endlich und zu Recht die Post ab. Noch weiter in die Zukunft geschaut, ist die Kombination von Bio-Informatik, Quantum-Security (oder Post-Quantum-Security) interessant. Themen rund um Zero Trust und Blockchain sind auch zukunftsträchtig.

Manchmal erscheint mir, dass Grundlagenkenntnisse über z.B. hardwarenahe Codierung vernachlässigt werden (Stichworte hier Maschinensprache oder Multi-Core-Ansatz). Da darf uns das Wissen nicht verloren gehen.

Cybersecurity als Enabler für Digitalisierung: Bedeutet das im Umkehrschluss, dass viele Business Cases von Digitalisierungsprojekten schlechter werden – bis dahin, dass sich Projekte vielleicht gar nicht mehr lohnen?

Das kommt auf den Betrachtungszeitraum an. Das ist wie beim Hausbau: Da gibt es auch Mogelpackungen, bei denen man später Mängel findet. Ein Digitalisierungs-Business Case ohne Securitybetrachtung ist eine Mogelpackung, da fehlt ein fundamentaler Aspekt. Das darf nicht genehmigt werden.

Ein aktuelles Beispiel dafür sind Smart Meter Entwicklungen mit Uralt-Linux-Systemen, die erhebliche Schwachstellen aufweisen.

Welche technischen Entwicklungen im Bereich IoT-Security findest Du besonders interessant?

Ich begrüße sehr, dass es für kritische Anwendungen einen Secure Development Lifecycle gibt, und dass das Thema IoT-Security an Bedeutung gewinnt. Leider ist bei vielen Consumer-Geräten und Smart Home/Smart City oder ähnlichen Anwendungen noch viel aufzuholen hinsichtlich Security. Das allein entscheidende Merkmal bei Entwicklung und Kauf scheint manchmal der Preis zu sein.

Welche Security-Maßnahmen sind aus Ihrer Erfahrung sehr wirksam gegen Ransomware-Angriffe, und gleichzeitig bei vielen mittelständischen Unternehmen noch nicht umgesetzt?

Die kosteneffizienteste und gleichzeitig am wenigsten angewendete Maßnahme ist der gesunde Menschenverstand, sprich, die gezielte Ausbildung von Mitarbeitern und Lieferanten/Dienstleistern.

Eine starke technische Segmentierung von Geschäftsprozessen (konkret z.B.: Dass nur die HR-Abteilung betroffen ist, wenn ein HR-Mitarbeiter sich etwas einfängt), ist wichtig. Das geht auch über Virtualisierung bzw. Sandboxing. Was sich auch jeder leisten kann, ist eine wirkungsvolle Backup-Strategie inkl. Recovery mit einem Offline-Backup.

Ganz wichtig, shameless plug, also etwas Eigenwerbung: Vor allem bei KMU fehlt es oft sowohl an Know-How als auch an Budget. Deshalb haben wir speziell für kleinere Unternehmen ein Buch geschrieben, um sehr kostengünstig wirkungsvolle Maßnahmen zugänglich zu machen. Hilfe zur Selbsthilfe also.

Bei Ihren Veröffentlichungen ist uns aufgefallen, dass Sie darüber sprechen, im Cyber-Raum unsichtbar zu werden. Können Sie unseren Lesenden mehr darüber erzählen?

Man kann nicht angreifen, was man nicht sieht. Und viele Unternehmen leiden unter einer zu hohen Sichtbarkeit. Wir helfen, diese Sichtbarkeit auf das Betriebsnotwendige zu reduzieren. Dazu haben wir eine Technologie entwickelt (Cyel). Selbst Firmenangehörige erhalten damit auf Basis eines strengen IAM nur Sichtbarkeit auf eingeschränkte (und zeitlich begrenzte) Netzwerkressourcen.

Cyel ist ein Überlagerungsnetzwerk, eine Weiterentwicklung des TOR-Gedankens. Damit bieten wir weltweit als Erste „moving target security“ an. Das bedeutet homomorphe Verschlüsselung, und zwar gleichzeitig end to end und hop to hop. Das Überlagerungsnetzwerk baut dynamische Verbindungen auf und weist randomisiert IP-Adressen für einzelne Verbindungen zu. Da kann sich dann auch Ransomware nicht einfach weiter verbreiten. Im Normalfall erfolgt das über ein zusätzliches Gerät, an der bestehenden Netzwerkarchitektur muss auf Kundenseite nichts geändert werden. Das funktioniert auch bei OT-Netzwerken – zumindest für alles, was auf dem IP-Stack läuft.

Und was ist Anonymiser?

Anonymiser besteht aus einem weltweiten Netzwerk von Servern, ähnlich wie ein TOR-Anbieter. Wir halten garantiert keine Log-Daten, verschleiern den Netzwerkverkehr und verhindern den Rückschluss auf Nutzer-Endgeräte und -Anwendungen. Entry und Exit-Punkte sind global frei wählbar. Anwendungen können virtuell im Browser geöffnet werden, und wenn man die Session schließt, sind alle Daten garantiert weg – das eignet sich z.B. wunderbar, um Malware zu testen. Dazu bieten wir extrem hohe Bandbreite.

Was ist aus Ihrer Sicht besonders für Geschäftsleitungen von mittelständischen Unternehmen wichtig beim Thema CyberSecurity?

Es gibt heute de facto fast keine Betriebe mehr, die nicht von der IT abhängig sind. Dieses Bewusstsein ist der erste Schritt.

Dann kommt die Frage: Was sind die kritischen Pfade für die Aufrechterhaltung des Betriebs?

Oft gibt es verborgene Abhängigkeiten von IT-Systemen, die nicht offenkundig sind. Das muss man sich ehrlich anschauen.

Es gibt zwei Mythen, von denen man sich verabschieden sollte: Erstens gibt es keinen Netzwerkperimeter mehr, das ist durch Smart Phones und Connectivity erodiert. Viele Konzepte wie Defense in Depth sind eigentlich nicht mehr anwendbar. Wir brauchen Security in Depth, jedes einzelne Asset muss eine Internet-Grade Security haben. Der zweite Mythos lautet „Mich greift niemand an, ich bin ja nicht wichtig“. Stimmt, aber Deine Internetadresse ist das Ziel. Das eigentliche Ziel sind Ressourcen. Angreifer suchen sich immer den Weg des geringsten Widerstands.

Cybersecurity ist die Grundlage einer Digitalisierung. Das ist kein Kostenfaktor, sondern ein Überlebensfaktor. Cybersecurity ist ein Wettbewerbsvorteil. Wenn das System eines Marktbegleiters nicht verfügbar ist, können die Kunden dort nicht kaufen oder die Mitarbeiter können ihre Arbeit nicht tun.

Und zu guter Letzt: Was habt Ihr Euch für die Zukunft vorgenommen, was sind Eure wichtigsten Projekte?

Wir wollen unsere erprobten (und auch im wahrsten Sinne kampferprobten) Lösungen natürlich weiterentwickeln. Insbesondere im Bereich Detection, Protection and Response. Dieses Jahr haben wir Niederlassungen in Spanien, Kolumbien und Australien gegründet, das werden wir weiter ausbauen.

Nicolas Mayencourt, vielen Dank für das Gespräch und alles Gute weiterhin!

In unserem Tagesgeschäft analysieren wir als unabhängiges Unternehmen die Anforderungen der Kundschaft an die Cybersicherheit und identifizieren geeignete Anbietende von Produkten und Dienstleistungen. Daher haben wir eine ganze Reihe interessanter Anbietenden- und Lösungsprofile gesammelt. Der Beitrag stellt keine Empfehlung für bestimmte Anbietende oder Lösungen dar. CyberCompare erhält keine Vergütung seitens der genannten Anbietenden für diesen Beitrag. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.