Informations- und Cybersicherheit: Herausforderungen, Entwicklungen & Empfehlungen

Michael Reiter

Michael Reiter ist CISO und Vizepräsident für Sicherheit und IT-Infrastruktur bei Rolls-Royce Power Systems AG. Rolls-Royce Power Systems AG ist ein weltweit führender Hersteller von Antriebs- und Energieerzeugungssystemen. Michael Reiter hat mittlerweile über 25 Jahre Erfahrung in der Informations- und Cybersicherheit. Als zertifizierter ISO 27001 Lead Auditor hat er Unternehmens-ISMS geprüft und war als Gründungsmitglied und Leiter des Branchenarbeitskreises UP KRITIS an der Entwicklung des Sicherheitsstandards (B3S) beteiligt. Im folgenden Interview blickt er auf seine langjährige und äußerst erfolgreiche Karriere in der Informations- und Cybersicherheit zurück. Er spricht über besondere Herausforderungen, die aktuelle Security-Landschaft, Potenziale im OT- und IoT-Umfeld sowie über den Zusammenhang zwischen der Verbreitung von Kryptowährungen und der Zunahme von Ransomware-Angriffen. Seine Kernbotschaft an CEOs lautet „Security als Erfolgsfaktor der digitalen Zukunft“.

Das Interview wurde Ende 2021 geführt.

Lieber Michael, Du blickst bereits auf eine langjährige und äußerst erfolgreiche Karriere in der Informations- und Cybersicherheit zurück. Welche besonderen Herausforderungen haben Dich hier begleitet?

Eine der größten Herausforderungen der letzten Jahre war und ist sicherlich, das Thema aus der IT-Nerd-Ecke heraus zu bekommen und als ernstzunehmendes Thema – sowohl im Businesskontext, als auch gesellschaftlich – zu etablieren. Da ist in den letzten Jahren einiges passiert.

Heute sind Cyberbedrohungen und ihre möglichen Auswirkungen viel präsenter. Zuletzt schaffte es die Log4j Schwachstelle sogar zur Primetime in die Tagesschau. Und im Allianz Riskbarometer 2022 ist Cyber, nach einer kurzen Unterbrechung durch die Pandemie, wieder DAS weltweite Top-Risiko für Unternehmen.

Weitere große Herausforderungen sehe ich tatsächlich in der Geschwindigkeit der technologischen Entwicklungen bei gleichzeitigem Mangel an Fachexperten und der Professionalisierung bzw. Institutionalisierung von Cyberangriffen.

Im Rückblick auf Deinen persönlichen Werdegang, welche besonderen Herausforderungen haben Dich hier begleitet? Gibt es eine Anekdote aus Deinem Berufsleben, über die Du heute noch schmunzelst, wenn Du Dich daran erinnerst?

Da muss ich kurz überlegen – In meinen knapp 25 Jahren in der Informations- und Cybersicherheit habe ich tatsächlich schon einiges erlebt.

Grundsätzlich muss man jedoch sagen, dass das Umfeld kontinuierlich neue Herausforderungen bietet, auf die man sich flexibel und dynamisch einstellen muss. Diese eine, große Herausforderung gibt es meiner Meinung nach nicht. Es ist ein ständiges Beobachten, Hinterfragen, Bewerten, Lernen, (Re-)agieren und Weiterentwickeln.

Schmunzeln muss ich tatsächlich, wenn ich daran denke, auf welche Skepsis und teilweise Unverständnis ich u.a. bei IT-Kollegen in früheren Zeiten gestoßen bin, als ich in Sicherheitskonzepten und -Anforderungen immer die vollumfängliche Härtung von Systemen nach Minimalprinzip, so wie die Verschlüsselung und Einschränkung von Kommunikationsbeziehungen auch in internen IT-Infrastrukturen gefordert, und gleichermaßen mit internen und externen Bedrohungen argumentiert habe. Heute ist das praktisch der Standard und wird unter dem Begriff „Zero-Trust“ ja geradezu gehyped.

Was beschäftigt Dich und Dein Team bei Rolls-Royce Power Systems aktuell besonders?

Als global agierendes Unternehmen, vertreten in über 175 Ländern und mit Kunden in 12 unterschiedlichen Branchen, gibt es viele Themen, die uns und unsere Kunden im Kontext Informations- und Datensicherheit bzw. Cyberresilienz beschäftigen. Das sind all diese, die vermeintlich alle Unternehmen aktuell beschäftigen.

Einerseits die enorme Zunahme und Bedrohung durch weltweit erfolgreiche Cyberangriffe und die enorme Professionalisierung der Hacker-Gruppierungen (Stichworte: Solarwinds, Cybercrime as a Service, etc.) und andererseits die enorm wachsenden regulatorischen Anforderungen, sowohl in den diversen Branchen, als auch in den unterschiedlichen Ländern.

Welche Entwicklungen im Bereich Security findest Du technisch besonders interessant?

Hier bin ich tatsächlich etwas zwiegespalten. Auf der einen Seite begrüße ich die Entwicklungen und Integration von KI, z.B. in Extended Detection and Response (XDR) Lösungen, und insbesondere, dass Hersteller damit beginnen, dies ganzheitlich für unterschiedliche Betriebssysteme anzubieten, bzw. zunehmend offene Schnittstellen für herstellerübergreifende Auswertungen integrieren.

Auf der anderen Seite vermisse ich wirklich große Innovationen bzw. Revolutionen, z.B. zur Ablösung von ungeschützten, historisch gewachsenen Technologien wie z.B. E-Mail. Auch die Ablösung von Passwörtern wird in meiner Wahrnehmung nicht wirklich konsequent und übergreifend vorangetrieben.

Rolls-Royce betreibt eigene Fabriken und stellt Anlagen her, die z.B. zu Wartungszwecken vernetzt sind. Ist langfristig eine Standardisierung auch in OT/IoT vorstellbar, werden wir irgendwann nur noch Microsoft für Maschinensteuerungen einsetzen?

Interessante Frage. Im Bereich OT/IoT sprechen wir ja nicht nur von Maschinensteuerungen. Die Herausforderung bzgl. der Cybersicherheit und -Resilienz liegen meiner Einschätzung nach eher im Bereich der Embedded Systeme, der OT/IoT spezifischen Protokolle und Schnittstellen, der Integration und Widerstandsfähigkeit der Software in Verbindung mit modernen Sicherheitstechnologien und letztendlich die Unterstützung eines ganzheitlichen Lifecycles über einen Zeitraum von 15-20 Jahren.

Grundsätzlich nehme ich einige positive Entwicklungen in diesem Bereich wahr, sehe aber auch noch ganz viele ungelöste Fragestellungen.

OT/IoT Security vollumfänglich mit denselben Lösungen bzw. Herstellern/Anbietern aus dem Enterprise IT Umfeld umzusetzen, sehe ich persönlich weder kurzfristig, noch langfristig. Dafür sind die Anforderungen und die Rahmenbedingungen (z.B. Stichwort Safety) ganz unterschiedlich.

Was ich mir vorstellen kann, ist das Überwachen von Protokollen und Ereignissen, bzw. die Inventarisierung von OT/IoT Assets über heutige Standardschnittstellen – z.T. kommen solche Lösungen bzw. Module von den klassischen Marktbegleitern ja gerade auf den Markt.

Im Normalfall werden jedes Jahr weitere Security-Maßnahmen umgesetzt, neue Lösungen kommen hinzu. Mal andersherum gefragt: Wenn Du auf eine Security-Maßnahme verzichten müsstest, welche wäre das?

Das mag jetzt erst einmal überraschend klingen, aber ich würde auf schriftliche Richtlinien, Vorgaben und Anweisungen verzichten wollen.

Das soll jetzt nicht heißen, dass ich ein ISMS/CSMS nicht als sinnvoll oder notwendig erachte, ganz im Gegenteil. Allerdings stelle ich schon lange fest, dass es in Unternehmen mittlerweile so enorm viele unterschiedliche Richtlinien, Vorgaben und Anweisungen gibt, die kein einzelner Mensch mehr überblicken bzw. geschweige die alle lesen und dann einhalten kann.

Hier wünsche ich mir eine moderne, zeitgemäße technologische Lösung, welche von Grund auf vollständig neu gedacht wird. Ich habe hierzu auch schon erste eigene Ideen, die behalte ich aber (noch) für uns! 😉

Was fehlt heute noch in der Security-Landschaft (falls etwas fehlt aus Deiner Sicht), und wo ist der Markt schon völlig gesättigt?

Oh, da fallen mir für beide Fragen jeweils viele Themen ein.

Im Bereich der hersteller-/systemübergreifenden, passwortlosen Authentifizierung fehlen mir standardisierte Innovationen, bzw. die Durchdringung/Unterstützung der Implementierung (Stichwort: FIDO).

Im Bereich sichere Kommunikation fehlt mir eine Ablösung der klassischen E-Mail durch eine einfach zu handhabenden Ende-zu-Ende verschlüsselten Lösung, analog den Messengern. Ich frage mich tatsächlich schon lange, warum noch kein Konsortium auf die Idee kam, einen neuen IEEE-Standard auf Basis von Messenger Technologie als Ablösung des Email-Unterbaus von IMAP(-S), POP3(-S) und SMTP(-S) zu entwickeln bzw. vorzuschlagen. Aber vielleicht stelle ich mir das auch zu einfach vor. Sollte ich jedoch gerade den Impuls für eine Innovation gegeben haben, dann freue ich mich auf eine Beteiligung. 😉

Weiterhin sehe ich im OT/IoT Umfeld noch viel Potential für spezialisierte Lösungen und Produkte.

Bzgl. der Frage zur Sättigung sehe ich z.B. in vielen Bereichen Antivirus/Malware-Schutz/Threat-Erkennung, aber auch im klassischen Netzwerk/Firewall Umfeld viele sehr gute Lösungen und Produkte, die sich nur in Nuancen voneinander unterscheiden. Mal ist der eine Hersteller mit einem Produkt führend, mal wieder der Andere.

Siehst Du einen Zusammenhang in der Verbreitung von Kryptowährungen (wie Bitcoin oder Monero) mit der Zunahme von Ransomware-Angriffen?

Absolut. Ransomware ist ja nichts anderes als das Werkzeug für eine klassische Erpressung. Der Schwachpunkt bei einer Erpressung und das Risiko erwischt bzw. verhaftet zu werden, ist bekanntermaßen immer die Geldübergabe. Dieses Risiko hat sich mit der Durchdringung und der Akzeptanz von Kryptowährungen von einem Tag auf den Anderen nahezu aufgelöst.

Anders gesagt – würden die Kryptowährungen weltweit nicht mehr akzeptiert bzw. verboten werden, könnten die Ransomwareangriffe nach meiner Einschätzung stark abnehmen.

Eigentlich suchen alle Unternehmen Security-Spezialisten. Hast Du einen Tipp dafür, neue MitarbeiterInnen aus benachbarten Themengebieten schnell weiterzuentwickeln und einzuarbeiten?

In der Tat ist die Situation auf dem Arbeitsmarkt für Security-Spezialisten, insbesondere Erfahrene, sehr angespannt. Die Aussicht auf kurzfristige Verbesserung sehe ich nicht.

Was ich aber sehe, ist der dringende Bedarf von ganz neuen Ausbildungskonzepten bzw. Weiterbildungs-/Umschulungsangeboten, um wenigstens den mittelfristigen Ausblick zu verbessern.

Ich frage mich, warum gibt es in den Lehrplänen immer noch kein (oder nur sehr selten) verpflichtendes Hauptfach, welches IT-/Programmier-Grundwissen in den unteren Klassen der Schulen vermittelt. Und welche Ausbildungsberufe (nicht Studium) für Software, Daten und Security-Spezialisten werden angeboten? Welche staatlich anerkannten Umschulungs- und/oder Weiterbildungsmöglichkeiten, wie z.B. Techniker, Meister, etc. gibt es?

Wenn Du eine E-Mail an alle CEOs dieser Welt schicken könntest, wie würde die Betreffzeile oder die Kernbotschaft lauten?

Meine Kernbotschaft wäre: „Security als Erfolgsfaktor der digitalen Zukunft“.

Aus meiner Erfahrung besteht in vielen Unternehmensführungen der dringende Bedarf, die Informations- und Cybersicherheit aus der IT-Ecke herauszuholen und Top-Down eine Sicherheitskultur im Unternehmen zu entwickeln, in der Informations- und Cybersicherheit von den Führungskräften und Mitarbeiter*innen als Grundvoraussetzung bzw. Business-Enabler wahrgenommen und gelebt wird.

Um das nachhaltig umzusetzen und sich optimalerweise von Mitbewerbern abzuheben, benötigt es nach meiner Wahrnehmung dieselbe Stringenz und Zielstrebigkeit im täglichen Doing der Fachbereiche und den geforderten KPIs, Security als weiteren Erfolgsfaktor neben Qualität, Kosten und Time-to-market zu etablieren.

Security in diesem Kontext kann hier sehr vielschichtig sein, von der klassischen IT-Sicherheit, über die Informations- und Datensicherheit bzw. -souveränität, aber auch die Verfügbarkeit und Funktionsfähigkeit der Produktionsanlagen bzw. der Resilienz von Produkten und Services.

Vielen Dank, Michael!

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.