Datum: 01.05.2015 Risk Management 8021 Zürich 043 444 58 61 www.axelspringer.ch Medienart: Print Medientyp: Publikumszeitschriften Auflage: 55'000 Erscheinungsweise: jährlich Themen-Nr.: 375.016 Abo-Nr.: 1034417 Seite: 32 Fläche: 133'814 mm² «Hundertprozentige Abwehr gibt es nicht» HANNES LUBICH, PROFESSOR FÜR INFORMATIK AN DER FHNW, ÜBER IT-SICHERHEITSMASSNAHMEN, DIE GRENZEN ZWISCHEN SPIONAGE UND STATISTISCHER DATENSAMMLUNG UND DEN VERKAUFSWERT GESTOHLENER BANKDATEN. INTERVIEW MATTHIAS NIKLOWITZ 1 FOTOS ANGELIKA ANNEN Welches sind gegenwärtig die grössten IT-Sicherheitsprobleme? ten und die präventiven und reaktiven Si- Der grosse Vorfall bei der US-Bank JP Morgan vom letzten Jahr hat gezeigt, wie versiert heute Attacken stattfinden. Wie lässt sich das abwehren? Wie gross ist das Problem der staatlich geförderten (Industrie-)Spionage? cherheitsmassnahmen müssen regelmässig lannes Lubich: Einerseits gibt es vermehrt sowie nach jedem signifikanten Vorfall aktuAngriffe auf Systeme, die finanzielle Werte alisiert und gegebenenfalls angepasst werden. halten, wie das Online-Banking. I /lese erfol- Ist so hundertprozentige Sicherheit gen vor allem auf der Kundenseite, aber auch möglich? auf Finanzabteilungen von Firmen, denen Eine hundertprozentige Abwehr ist nicht etwa gefälschte Bankbeziehungen für Liefe- möglich, insbesondere wenn die Angreifer ranten oder falsche Zahlungsaufforderungen professionell vorgehen und über erhebliche zugesandt werden. Andererseits ist ein AnRessourcen verfügen. Zudem ist zu berückstieg von Angriffen auf infrastrukturelle Systeme und deren Schnittstellen zu beobach- sichtigen, dass viele Angriffe eine Kombinaten. Weiterhin werden auch mobile Geräte tion aus technischen und nicht-technischen Vorgehensweisen wie »Social Engineering» verstärkt angegriffen, uni personenbezogene Daten insbesondere für die Authentisierung nutzen, sodass auch das Abwehr- und Erkennungsdispositiv entsprechend breit und in anderen Systemen zu erhalten. aufwändig gestaltet sein muss. Ein Sicherheits-Dispositiv umfasst immer mehrere Stufen. Einige Angriffsformen müssen durch Prävention verhindert, andere automatisch erkannt und abgewehrt werden. Die verbleibenden Angriffe müssen bei Eintreten rasch erkannt und bekämpft bzw. in ihrem Schadenausmass begrenzt werden. Schliesslich muss das Dispositiv auch einen Einerseits besteht das Problem darin, dass hier von erheblichen Ressourcen für die Planung und Durchführung flächendeckender und auch spezifisch auf das Ziel zugeschnittener Attacken ausgegangen werden muss. Andererseits bestehen Unsicherheiten bezüglich dem Zweck und der Breite der Datensammlung bzw. der Korrelation dieser Daten, insbesondere wenn dabei die Grenze klar definierten Weg aus der Schadenbe- zwischen Spionage zur Verhinderung von kämpfung mit allenfalls eingeschränktem Schäden für den Staat und der Förderung Betrieb zurück zum Normalbetrieb enthal- Medienbeobachtung Medienanalyse Informationsmanagement Sprachdienstleistungen ARGUS der Presse AG Rüdigerstrasse 15, Postfach, 8027 Zürich Tel. 044 388 82 00, Fax 044 388 82 01 www.argus.ch Argus Ref.: 57551887 Ausschnitt Seite: 1/5 Datum: 01.05.2015 Risk Management 8021 Zürich 043 444 58 61 www.axelspringer.ch Medienart: Print Medientyp: Publikumszeitschriften Auflage: 55'000 Erscheinungsweise: jährlich Themen-Nr.: 375.016 Abo-Nr.: 1034417 Seite: 32 Fläche: 133'814 mm² des eigenen Wirtschaftsstandortes nicht nahme soweit wie möglich zu überprüfen und auch die Erfahrungen anderer Nutzer einzubeziehen. Andererseits müssen solche Wie ist die Grenze zu ziehen? Der Staat mag in bestimmten killen das Systeme auch im Betrieb gepflegt, aktualiRecht haben, Daten über seine Bürger oder siert und geeignet auf Fehlverhalten und Unternehmen zu sammeln und auszuwer- Missbrauch überwacht werden. Weiterhin ten, aber dabei darf die Zweckbindung die- müssen die Nutzer, Betreuer, Administrato- mehr klar definiert ist. ser Daten nicht beliebig erweitert oder ganz ren usw. entsprechend sensibilisiert und geignoriert werden. Es muss jedoch im Mo- schult werden. Schliesslich müssen finanzment davon ausgegangen werden, dass im relevante Systeme durch eine mehrstufige Bereich der staatlichen Aufklärung ein ei- Sicherheitsarchitektur geschützt werden, die gentliches Auf- und Wettrüsten mit erhebli- allenfalls vorhandene Schwachstellen oder chen finanziellen und personellen Mitteln Backdoors nach Möglichkeit für den Angreistattfindet, der Zweck der Sammlung und fer von aussen unzugänglich macht. Auswertung jedoch nicht mehr nur die er- Um bankinternen Datendiebstahl ist es hinderung von Grosskriminalität oder Terrorismus ist. Welches sind Anzeichen und Indizien, dass fremde Leute im eigenen Netz unterwegs sind? Es gibt hier nur wenige verlässliche Indikato- ren, da professionell agierende Angreifer ruhiger geworden - täuscht das? Viele gestohlene, zum Kauf angebotene Bankdaten umfassten alte Datenbestände, die bereits entwendet worden waren, bevor die Banken durch entsprechende Massnahmen wie «Data I.eakage Prevention» das Kopieren grosser Datenmengen stark er- schwerten und das Risiko für interne auch in der Lage sind, die allenfalls vorhanAngreifer dadurch stark erhöhten. Es ist denen Überwachungsmechanismen zu täunicht zu verhindern, dass Bankdaten auch schen oder zu rangehen. Dennoch ist die Fäweiterhin in kleinerem Mass entwendet werhigkeit, Anomalien im Betrieb der II und der den, insbesondere durch Personen, die mit darauf ablaufenden Geschäftsprozesse zu der Bearbeitung dieser Daten betraut sind. erkennen, eine wichtige Komponente einer Jedoch sind die Datenmengen vermutlich ausreichenden Securitv-Governance. Gegegeringer, weil die Daten nicht mehr einfach benenfalls können hier fremderbrachte elektronisch kopiert werden, sondern abAuswertungs- und Überwachungsdienst- fotografiert oder fotokopiert werden müssen. leistungen eingesetzt werden, wenn die Internehmung die entsprechenden Aufwände nicht selbst leisten kann. Zudem müssen Firmen auch auf Kollateral-Informationen achten. Also beispielsweise das Bekanntwerden von Informationen, die nur durch Indiskretionen «von innen» nach aussen gelangt sein können. Schliesslich spielen auch staatliche Einrichtungen wie Melani oder Switch-Cert eine Rolle hei der Aufdeckung von Angriffen und hei der Information der Betroffenen. Wie sollen Finanzdienstleister mit dem Problem möglicher Backdoors in der Hardware oder der Software umgehen? Einerseits gebietet es die Sorgfaltspflicht, ICT-Systeme und -Dienste vor Inbetrieb- Medienbeobachtung Medienanalyse Informationsmanagement Sprachdienstleistungen Zudem bewirkt die konsequente Umsetzung der Weissgeld-Strategie des Finanzplatzes Schweiz, dass immer weniger Bankdaten einen entsprechenden Verkaufswert haben. Hinter den Kulissen, beispielsweise im Kreditkartenabrechnungsgeschäft, werden die Value-Chains immer länger. Wie lässt sich da die Sicherheit herstellen? Sicherheit muss immer Ende-zu-Ende be- trachtet werden, auch wenn Sicherheitsmassnahmen meist nur einen Teil der Problematik abdecken. In diesem Sinne muss der Anbieter wie auch der Nutzer langer Wert- schöpfungsketten durch entsprechende ARGUS der Presse AG Rüdigerstrasse 15, Postfach, 8027 Zürich Tel. 044 388 82 00, Fax 044 388 82 01 www.argus.ch Argus Ref.: 57551887 Ausschnitt Seite: 2/5 Datum: 01.05.2015 Risk Management 8021 Zürich 043 444 58 61 www.axelspringer.ch Medienart: Print Medientyp: Publikumszeitschriften Auflage: 55'000 Erscheinungsweise: jährlich Themen-Nr.: 375.016 Abo-Nr.: 1034417 Seite: 32 Fläche: 133'814 mm² sierung usw. die gleiche Sorgfalt walten lasBankanwendungen sen wie bei - auch cla neue Zahlungssysteme ja im Einklang mit der sonstigen Gerätenutzung eher bieter ein Interesse an Sicherheitsproble- die Funktionalität und Einfachheit der Bemen und möglicher negativer Publizität hat dienung in den Vordergrund stellen und we- Überprüfungen, Audits und Rückfragen bezüglich der Ende-zu-Ende Sicherheit seiner Sorgfaltspflicht nachkommen. Zwar ist anzunehmen, dass keiner der beteiligten An- - dennoch sind die regulatorischen Aufla- niger die Sicherheit, die vom Endkunden gen und Aufwände für Banken im Vergleich rasch als einschränkend empfunden werzu anderen Finanzintermediären nicht identisch, was durchaus zu sicherheitsrelevanten Problemen in der Ende-zu-Ende-Verarbeitungskette führen kann. Schafft mobiles Payment wie Apple Pay neue Probleme? den kann. Gibt es in der Schweiz geeignete Weiterbildungsmöglichkeiten zum Thema 11- Sicherheit? 'Es gibt an einigen Universitäten und Fach hochschulen in der Schweiz Weiterbildungs- Neue Systeme bringen immer auch neue lirogramme in Fragen der InformationsProbleme mit sich - in diesem Fall verschärft sicherheit und des Datenschutzes für durch Sicherheitsfragen bezüglich der ver- Fachspezialisten. Zudem ist die Informatiwendeten Endgeräte und Nutzungsmuster linssicherheit ein wichtiges Element der Indurch die Endanwender, wie auch durch die formatik- Grundausbildung. Viele Fachhochanzunehmende Unerfahrenheit neuer schulen bearbeiten auch in der angewandten Marktteilnehmer, sofern dieses Problem :Forschung gemeinsam mit Industriepart nicht durch den Zukauf bereits etablierter nern und in Beratungsprojekten sicherheitsAnbieter adressiert wird. Da die Fndanwen- Jelevante Fragestellungen bzw. bieten wie der solche Geräte aber eher als «Commo- ,die Fachhochschule Nordwestschweiz mit clity ansehen, ist auch fraglich, ob sie bei ihrem derzeit im Aufbau befindlichen «CyberLab» eine Plattform für die gezielte der Nutzung, Software-Installation, AktualiZusammenarbeit mit der Wirtschaft. ZUR PERRON HANNES LUBICH Seit über 25 Jahren beschäftigt sich der deutsche Wahlschweizer mit Betriebssystemen, Netzwerk- und Kooperationstechnologien, IT-Architekturen, Informationssicherheit und Risiko-Management. Seit 2009 ist er als Professor für Informatik im Institut für Mobile und Verteilte Systeme der Hochschule für Technik an der Fachhochschule Nordwestschweiz in Brugg-Windisch tätig und vertritt das Medienbeobachtung Medienanalyse Informationsmanagement Sprachdienstleistungen Gebiet «ICT System & Service Management» in der akademischen Ausbildung, der beruflichen Weiter- bildung und der angewandten Forschung und Entwicklung. Lubich ist Alumnus des IMD in Lausanne und der Wharton School of Management in Philadelphia und war bis Mitte 2014 Lehrbeauftragter an der ETH Zürich. Er ist zudem als Berater tätig und nimmt ein Verwaltungsratsmandat bei der Ad Vantis Innovation AG wahr. ARGUS der Presse AG Rüdigerstrasse 15, Postfach, 8027 Zürich Tel. 044 388 82 00, Fax 044 388 82 01 www.argus.ch Argus Ref.: 57551887 Ausschnitt Seite: 3/5 Datum: 01.05.2015 Risk Management 8021 Zürich 043 444 58 61 www.axelspringer.ch Medienart: Print Medientyp: Publikumszeitschriften Auflage: 55'000 Erscheinungsweise: jährlich Themen-Nr.: 375.016 Abo-Nr.: 1034417 Seite: 32 Fläche: 133'814 mm² «Sicherheit muss immer Ende-zu-Ende betrachtet werden.» Hannes Lobich Medienbeobachtung Medienanalyse Informationsmanagement Sprachdienstleistungen ARGUS der Presse AG Rüdigerstrasse 15, Postfach, 8027 Zürich Tel. 044 388 82 00, Fax 044 388 82 01 www.argus.ch Argus Ref.: 57551887 Ausschnitt Seite: 4/5 Datum: 01.05.2015 Risk Management 8021 Zürich 043 444 58 61 www.axelspringer.ch Medienart: Print Medientyp: Publikumszeitschriften Auflage: 55'000 Erscheinungsweise: jährlich Themen-Nr.: 375.016 Abo-Nr.: 1034417 Seite: 32 Fläche: 133'814 mm² «Neue Systeme bringen immer auch neue Probleme mit sich.» Hannes Lubich, Professor für Informatik an der FHNW Ar' Medienbeobachtung Medienanalyse Informationsmanagement Sprachdienstleistungen ARGUS der Presse AG Rüdigerstrasse 15, Postfach, 8027 Zürich Tel. 044 388 82 00, Fax 044 388 82 01 www.argus.ch Argus Ref.: 57551887 Ausschnitt Seite: 5/5
© Copyright 2024 ExpyDoc
