Joachim Astel ist Mitbegründer und Vorstand der noris network AG, dem ersten Internet-Provider Nordbayerns. Und von Anfang an stand das Thema Cybersicherheit für ihn im besonderen Fokus. Im Interview erklärt er, warum er auf dem diesjährigen CIBI Innovationstag die provokante These „Cybersicherheit – hohe Relevanz und dennoch ohne Impact?“ aufstellt.
ibi research: Cybersicherheit – hohe Relevanz und dennoch ohne Impact? Das ist ein sehr irritierender Titel für den Talk auf dem diesjährigen CIBI Innovationstag, da man meinen möchte, dass Bemühungen um die IT-Sicherheit auch Auswirkungen haben. Wie würden Sie dies einordnen?
Joachim Astel: Unsere Kernkompetenz im Unternehmen ist schon immer IT-Security und das Thema Cybersicherheit spielt von Anfang an (also über 30 Jahre) eine wichtige Rolle. Wir haben seinerzeit schon unsere Kunden ins – damals in Deutschland noch recht neue – INTERNET gebracht. Mein Slogan war schon 1996 „Internet – mit Sicherheit!“, was zwei Bedeutungen hatte: Klar, wir schaffen das bei noris network und wir kümmern uns um die Sicherheit. Wir hatten schon 1996 erste Banken als Kunden.
ibi research: Finanzinstitute haben traditionell einen großen Fokus auf die Sicherheit. Wo sind hier die „blinden Flecken“?
Joachim Astel: Da gibt’s zum Glück sehr wenige, weil Banken traditionell, und natürlich aufgrund der hohen Anforderungen der Bankenaufsicht, schon immer Milliarden in Sicherheit investieren. Probleme sind hier typischerweise der Fachkräftemangel und entsprechende Nachwuchssorgen, mit gleichzeitig steigenden organisatorischen Anforderungen durch zunehmende Regulatoren-Vorgaben (siehe neu: DORA).
Die IT-Abteilungen haben zunehmend weniger Zeit, sich um das operative „Doing“ zu kümmern, weil sie mit Regulatorik, Compliance usw. ihre eigene Organisation in Trab halten. Dementsprechend bleibt weniger Zeit für operative Sicherheit, die dann häufig an Dienstleister ausgelagert werden muss, und hier hängt es von der Leistungsfähigkeit des Dienstleisters ab, den Security-Prozess im ausgelagerten Umfeld zu beherrschen.
Wir als noris network sind ein Dienstleister, der das sehr gut verwirklicht. Blinde Flecken entstehen genau dann, wenn der Bankenkunde diese Dienstleistung nicht adäquat vergibt, und dabei blinde Flecken entstehen. Es gibt beispielosweise von der Bankenaufsicht die Anforderung, Systeme zur Angriffserkennung zu betreiben (also dass Hacker frühzeitig erkannt werden, bevor sie etwas anrichten können). Wurde der Dienstleister beauftragt, diese Leistung durchzuführen? Oder gibt es hier einen blinden Fleck? Ein guter Dienstleister hat ein Produkt-/Leistungs-/Service-Portfolio, das auf die entsprechenden Regulatorik-Themen im Zusammenhang mit dem Dienstleister hinweist, und entsprechende Moduloptionen (wie Systeme zur Angriffserkennung) anbietet. Es könnte nämlich auch sein, dass die Bank selbige Systeme bereits selbst betreibt (oder anderweitig betreiben lässt) und nur auf Log-Dateien der Systeme des Dienstleisters zugreifen muss, um den Focus entsprechend zu erweitern. Weiter gibt es aber auch potenziell blinde Flecken durch Nutzung von Cloud-Services.
ibi research: Hat sich die Balance von Security-Aktivitäten bei Finanzinstituten und der Impact in den letzten Jahren verändert und wenn ja, wie?
Joachim Astel: Durch verstärkte Nutzung von Cloud-Leistungen entstehen neue Sicherheits-Risiken, denen hauptsächlich technologisch begegnet wird. Dabei halten neue Konzepte wie Zero-Trust-Prinzipien Einzug.
Bei Multicloud-Ansätzen ist oft die Regulatorik nicht so stark im Fokus wie bei klassischen Leistungen im Rechenzentrum der Bank. Hier ist es wichtig, dass Security-Architekten die Gesamtarchitektur im Blick haben und Schutzbedarfe entsprechende Würdigung in den umgesetzten Maßnahmen finden. Ist die Architektur nicht transparent, schleichen sich bei der Nutzung von Cloud-Serivces (wie oben bereits angeführt) blinde Flecke ein, wie zum Beuspiel bestimmte Systeme, die nicht einem geregelten Patch Management Prozess unterliegen oder ähnliches. Dadurch sind vereinzelt Einbrüche in solche, oft periphäre, Systeme möglich geworden. Das muss nicht sein. Ich empfehle hier, ein gesamtheitliches Service-Management auch auf die Cloud-Services abzubilden. Wir nutzen hier für unsere Kunden daher gerne Service-Management-Lösungen wie ServiceNow, wo wir mit dem SecOps Modul die Sichtbarkeit der einzelnen Assets und CIs aus Kritikalitätssicht und Security-Maßgaben sehr genau im Kontext der aktuell vorliegenden Bedrohungslage einschätzen können.
ibi research: IT-Sicherheit hat nicht nur Bedeutung für Unternehmen, sondern auch für die Gesellschaft als solche. Wie lässt sich das Security-Bestreben von Unternehmen mit der Gesellschaft besser verzahnen?
Joachim Astel: Hier greift der Staat schon vor, denn der neue Cyber Resilience Act der EU wird langfristig für Besserung sorgen. Hersteller von Hardware- und Softwarelösungen werden zu angehalten sein, aus Sicherheitssicht gestaltete Lösungen herauszubringen und diese auch für mehrere Jahre lang auf dem Stand der Sicherheit zu halten. Der Endanwender hat dadurch Vorteile, auch ohne technisch tiefen Einblick mit sicherer Umgebung zu arbeiten.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat seit letztem Jahr das Motto der „Cybernation Deutschland“. So sind Firmen und öffentliche Verwaltung dazu angehalten, Deutschland zu einer führenden Nation in den Bereichen Cybersicherheit und Digitalisierung zu entwickeln. Diese Vision betont die enge Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft, um digitale Risiken zu minimieren und innovative Technologien sicher zu gestalten. Daneben leisten wir als Unternehmen diverse Einzelthemen, um dem gesellschaftlichen Anspruch Rechnung zu tragen: Ich zum Beispiel leite den Arbeitskreis Security der NIK e. V. (Nürnberger Initiative für Kommunikationswirtschaft). Wir als noris network sind im Beirat der it-sa (Nürnberger IT Sicherheits-Messe), gestalten Open-Source-Sicherheitslösungen mit, die auch im Privatumfeld genutzt werden können. Wir bieten kostenlose Fachvorträge zu Cybersicherheits-Themen und wir berichten viel in Zeitschriften über Best Practices zum Stand der Technik im Bereich der Security.
Mehr zu diesem Thema hören Sie beim CIBI Innovationstag in München! Anmeldung und Informationen unter https://cibi.de/.
