Cloud, Internet-Technologie und künstliche Intelligenz bestimmen in immer stärkerem Maße das private, öffentliche und kommerzielle Leben. Ständige Cyberattacken schaffen jedoch Verunsicherung und hemmen wichtige Entwicklungen. Sicherheitsaspekte waren daher noch nie so wichtig. »manage it « sprach über IT-Sicherheit mit Thorsten Höhnke, Chief Cyber Security Strategist bei Fujitsu und Lehrbeauftragter an der Hochschule Augsburg.
Herr Höhnke, neben künstlicher Intelligenz, IoT und Cloud sind die IT-Sicherheits-Technologien eines der wichtigen Themen auf der Fujitsu World Tour 2017. War IT-Security noch nie so wichtig wie heute?
Ohne Security gibt es kein Internet of Things und wird es keine funktionierende Industrie 4.0 geben. Bei der Cloud gilt das gleiche. Schauen wir uns die Sicherheit an, die wir heute betreiben, so gleicht diese – auf gut bayerisch – einem Flickerlteppich. Dass das nicht so weitergehen kann hat uns in aller Deutlichkeit der WannaCry-Trojaner demonstriert, der ja letztlich nicht nur viele Windows-Betriebssysteme, sondern auch viele IoT-Geräte befallen hat. Wir sind geradezu gezwungen, das Thema Sicherheit neu zu denken, und zwar als Basisbaustein. Damit meine ich Security by Design, also nicht Lösungen, Technologien oder Produkte auf den Markt zu bringen und erst im Nachhinein zu schauen, wie ich die sicher machen kann, sondern ich meine die Sicherheit als Basisbaustein bereits in der Entwicklung. In Zukunft wird Sicherheit nicht mehr separat verkauft, sondern muss ein wesentliches Qualitätsmerkmal einer Lösung sein.
Also keine Digitalisierung, keine Cloud ohne neue Security-Technologien?
Im Bereich IoT rechnen wir – und das ist eine defensive Schätzung – im Jahre 2020 mit 50 Milliarden vernetzter Geräte. Das ist nicht mehr weit weg, denn wir nähern uns bereits 2018. Zudem reden wir in diesem Zeitraum von einer Datenmenge von 44 Zettabyte, also einer Menge, die Sie nicht einfach so auf Ihrem Rechner speichern können. Wir brauchen also die Cloud und die Rechenzentren, um diese Vernetzungen und Datenmengen überhaupt handhaben zu können. Nicht umsonst liegt das wirtschaftliche Volumen, das für 2025 zum Thema Sicherheit im Bereich IoT diskutiert wird, bei 11 Milliarden Dollar. Das ist ein riesiges Potenzial.
Suchen Sie bei Fujitsu also jetzt nach einer eierlegenden Wollmilchsau als Security-Lösung?
Falsch. Genau das möchte ich nicht haben. Sie müssen immer daran denken, je komplexer eine Lösung ist, auch im Bereich Security, desto anfälliger ist sie. Diese Komplexität muss ich auf eine überschaubare Menge Technologie reduzieren, die der Mensch auch sauber in den Griff bekommen kann. Zum einen gilt es, dabei die klassischen Sicherheitsstandards nach ISO 27.000 zu berücksichtigen. Da haben wir so viele und rasche Updates wie möglich, Virenscanner, Intrusion Detection und Prevention, also die ganzen klassischen Absicherungsmethoden. Im Bereich IoT und Industrie 4.0 geht es aber um industrielle Sicherheit, die komplett anders aussieht. Definiert in der IEC 62443. Echtzeit ist hier eminent wichtig. Denken Sie an einen Airbag im Auto. Für den sind immens viele Sensoren im Fahrzeug verbaut, die im Mikrosekundenbereich analysieren müssen, ob der Airbag ausgelöst werden muss. Wenn wir da einen Virenscanner dazwischenschalten, wird das nicht funktionieren. Wir müssen anders denken.
Wie denkt man anders, Herr Höhnke?
Zum einen gibt es ein Consumer-IoT mit Fitness-Armbändern, Smartwatches und so weiter. Und daneben existiert der Industrial-IoT-Bereich mit Maschine-zu-Maschine-Kommunikation, künstlicher Intelligenz, Deep Learning und mehr. Teile zu separieren ist da unmöglich. Nehmen Sie meine Smartwatch – vom Sicherheitsaspekt her ist sie so ziemlich das schlimmste, was man sich vorstellen kann. Sie ist mit meinem Smartphone verbunden, das wiederum mit dem Entertainment-System in meinem Auto kommuniziert, das nochmals mit dem Telematik-System des Fahrzeugs verbunden ist. Das Telematik-System steht in Verbindung mit dem Netzwerk des Autoherstellers und schon bin ich mit meiner Armbanduhr im industriellen Umfeld gelandet. Das schwächste Glied in der Kette bestimmt nun die Sicherheit der gesamten Infrastruktur. Das ist hier meine Uhr.
Wo sehen Sie eine Lösung?
Für uns besteht die Herausforderung vor allem darin, im Endeffekt Lösungen so zu gestalten, dass ein Basispaket zur Verfügung steht, das sich modular so adaptieren lässt, dass es in die unterschiedlichsten vertikalen Businessmodelle passt und genau die Pain Points der Kunden trifft und beseitigt. Und da muss man neu denken.
Wie fangen Sie das an?
Man spricht heute noch allgemein von der Cloud. Ich möchte in ein anderes Konzept übergehen, das zwei Bereiche haben wird. Das ist zum einen der Core. Das ist nicht nur die Cloud, nicht nur die künstliche Intelligenz, das können auch ganze Unternehmen sein. Security Operation Center werden über neue Technologien und Maßnahmen wie Virtualisierung und Analyse der kompletten Prozessstruktur Industrieanlagen überwachen können. Oder man wertet etwa WLAN-Signale aus den Produktionsbereichen aus und kann an Auffälligkeiten im Verhalten dieser Signale einen Virus finden, ohne einen Scanner laufen zu lassen. Das ist ein Forschungsbereich, in dem wir bei Fujitsu intensiv mit der Universität Lancaster kooperieren.
Gleichzeitig gibt es noch die sogenannten Edge Devices. Das sind die Geräte, die sich mit dem Core verbinden, also eine Smartwatch oder ein Fitnessband im Consumer-Bereich oder der Temperatursensor in einem Kraftwerk im Industriebereich. Hier muss man Methoden finden, solche Edge Devices abzusichern um sofort reagieren zu können. Außerdem wird es immer wichtiger, nicht nur zu agieren und Sicherheitsmaßnahmen zur Verfügung zu stellen, sondern zusätzlich Technologien zu entwickeln, die vorausschauend arbeiten, quasi einen Angriff entdecken bevor er stattfindet.
Wie kann ich mich denn absichern, wenn etwa ein Handwerker sich auf einer Baustelle Daten aus der Bauleitung auf sein Smartphone oder Tablet herunterlädt?
Ganz wichtig ist die benutzerzentrierte Mobilität. Ich möchte oder muss von überall her auf meine Daten zugreifen können. Da sieht man dann deutlich die Zweiteilung in Core und Edge Devices. Hierbei kann man überlegen, welche Gateways sich schaffen lassen, die vielleicht schon eine Vorselektierung der Daten vornehmen. Das bedeutet, nicht gleich alles, was an Daten generiert wird, in die Cloud zu schicken, sondern nur eine definierte Auswahl, sodass zum Beispiel auch eine Mandantenfähigkeit gewährleistet werden kann. Auf der eben genannten Baustelle gehören ja meist mehrere Firmen zum Core und sind in der Cloud. Schickt ein Mitarbeiter Daten, gehen diese über ein Firmengateway, das sie etwa mit künstlicher Intelligenz analysiert und prüft, welche Daten in der Cloud abgespeichert werden. Auch
die formaterhaltende Verschlüsselung spielt hier eine Rolle.
Was versteht man darunter?
Sie können einen Dienst von einem Security Operation Center anbieten, das etwa die Infrastruktur eines Unternehmens auf Schwachstellen untersucht. Betreibt der Kunde ein IT-System mit geheimen Daten, kann man bestimmte Verschlüsselungsmechanismen, sogenannte formaterhaltende Verschlüsselungen, verwenden, bei denen die Formate in den Eingabemasken absolut identisch sind, aber weder für den Computer, der das auswertet, noch für den Bearbeiter im Klartext erkennbar. Bei der Auswertung sieht man dann eben nur die Unregelmäßigkeiten in der Infrastruktur, kann analysieren und reagieren.
Ist das schon Realität?
Fujitsu bietet in einem Security Operation Center solche Services an. Bei den Verschlüsselungen kommt natürlich immer eins hinzu: Sie müssen nicht nur die Idee haben, sondern sie auch technologisch umsetzen. Zudem müssen sie aber auch verifiziert werden und dabei sind wir auch auf die universitäre Forschung angewiesen. So haben wir exakt zu diesem Thema im vergangenen Jahr eine Masterarbeit betreut, die anschließend sogar von der Handelskammer den Wirtschaftspreis bekommen hat. Diese Themen bewegen uns intensiv, schließlich müssen wir Qualität liefern. Und meines Erachtens ist Fujitsu genau dafür bekannt, dass wir Lösungen auf den Markt bringen, die einem hohen Qualitätsstandard entsprechen.
Welche Aufgabe bleibt denn noch den Menschen?
Der Faktor Mensch ist extrem wichtig und darf nie vergessen werden: Bei der IT-Sicherheit bleibt die Sensibilisierung und Schulung der Mitarbeiter das A und O. Denn eine Schwachstelle ist definitiv der Anwender vor dem Gerät. Und bei allem guten Willen ist es meistens so, dass zum Beispiel ein Automatisierungstechniker seine Prozessabläufe in der Fertigung genau kennt. Er hat aber bestimmt eine andere Sichtweise auf das Thema Sicherheit als ein klassischer Informatiker, ein IT-Security-ISO-27.000-Spezialist. Wenn die beiden sich unterhalten, werden sie sich nur schlecht verstehen. Deswegen haben wir zusammen mit der Hochschule Augsburg, an der ich Lehrbeauftragter bin, einen neuen Master-Studiengang »Sicherheit in der Industrie« kreiert, der diese Übersetzungslücke schließen soll. Das ist ein Aufbaustudiengang für Wirtschaftsinformatiker, technische Informatiker, Mechatroniker oder auch Elektrotechniker.
Worin sehen Sie die größte Herausforderung in der nächsten Zeit?
Die größte Herausforderung ist, ein generelles Umdenken einzuleiten – auch bei unseren Kunden. WannaCry hat in Deutschland kaum jemanden berührt, es ist halt passiert. Dabei sollte jeder bei einer so erfolgreichen Cyberattacke aufhorchen und die Aufmerksamkeit und den Schutz vor solchen Risiken zum Bestandteil seines täglichen Ablaufs machen. Wenn Sie sich heute ins Auto setzen und den Sicherheitsgurt anlegen, denken sie auch nicht mehr großartig darüber nach. So muss das mit der IT-Sicherheit auch werden.
Herr Höhnke, vielen Dank für dieses Gepräch.