19. März 2019
„Damit lassen sich 95 Prozent der Cyberattacken verhindern“
Bei einem Kamingespräch forum SPEZIAL sprach Generalsekretär Gerald Resch mit dem ehemaligen Sicherheitschef von Google und Aufsichtsrat der Deutschen Bank, Gerhard Eschelbeck, über Cybersecurity und wie Banken ihr Geschäft noch sicherer machen können.
Sie kennen die Welt der Deutschen Bank und die Welt von Google. Welche ist besser auf Cyberangriffe vorbereitet?
Im internationalen Vergleich ist die Finanzwelt bei diesem Thema schon sehr fortgeschritten. Das zeigt sich vielleicht auch daran, dass mein Nachfolger bei Google von American Express kommt. In der Bankenwelt gibt es schon längst – vor allem regulär bedingte – Cybersecurity-Anforderungen aufgrund des Kundenvertrauens. Vertrauen ist der wichtigste Aspekt unseres Geschäfts, unsere Hauptaufgabe ist der Schutz von Kundendaten. Im Finanzbereich ist das schon seit vielen Jahren eine Selbstverständlichkeit.
Was machen Banken hier besser als andere Unternehmen?
Mein Eindruck ist, dass Finanzunternehmen im Austausch von Cyberinformation und Incident Information sehr organisiert sind. Es muss aber noch weitergehen. Cybersecurity ist ein sehr lebendiges Thema, das sich immer wieder verändert. Angriffswellen nehmen kontinuierlich neue Formen an, suchen ständig nach neuen Angriffsmustern.
Lassen sich diese Angriffe typisieren?
Die erste Welle von Cyberattacken, die wir vor Jahren erlebt haben, ist gewissermaßen aus Neugier entstanden. Man wollte einfach wissen, ob man da „reinkommt“ und wie es funktioniert. In einer zweiten Welle ging es schon ans Eingemachte. Mit gehackten Kreditkartendaten wurden die ersten „Online-Finanzverbrechen“ begangen. Jetzt sind wir in der dritten Welle, in der die Angriffe von einzelnen Staaten ausgehen. Das sind sehr gezielte Angriffe, hinter denen viel Geld und viel Know-how stehen.
Brauchen auch kleinere Banken eigene, hausinterne Talente, um mit dem Thema Cybersecurity gut umgehen zu können, oder dürfen sich kleine Institute den „Mut zur Lücke“ leisten?
Man muss hier deutlich zwischen den sogenannten „garden variety attacks“ und gezielten Angriffen differenzieren. Zu den „garden variety attacks“ zählen zum Beispiel DDoS-Attacken. Die kann man heute vorwiegend automatisch behandeln. Dazu gibt es bereits viele Lösungen – sowohl für große als auch für kleine Banken. Anders verhält es sich bei Angriffen von ganzen Staaten. Die gehen sehr strategisch vor und haben detaillierte Pläne, wie sie ein bestimmtes Unternehmen angreifen wollen. Dabei sind in der Regel größere Unternehmen ihr Ziel, weil es dort einfach mehr Daten zu holen gibt.
Macht es Sinn, wenn kleinere Banken das Thema Cybersecurity aus Kostengründen auslagern?
Das wäre ein riesengroßer Fehler! Cybersecurity muss ein Board-Level-Thema sein, und zwar bei allen Unternehmen – unabhängig von Größe und Branche. Cybersecurity ist definitiv ein Vorstandsthema. Der Vorstand gibt die Richtung vor und verlangt regelmäßige Berichterstattung. Schließendlich geht es um das Vertrauen in seine bzw. ihre Bank.
Welche sind die häufigsten Cyberattacken?
Es sind primär zwei Angriffspunkte, und bei beiden handelt es sich um grundlegendes Verhalten, das für uns zur „basic hygiene“ zählt: Sehr oft fehlen aktuelle Security Patches, also Sicherheitssoftware. Diese muss tatsächlich täglich gewartet werden. Andernfalls nutzen Angreifer innerhalb weniger Stunden etwaige Sicherheitslöcher aus. Das zweite Thema ist das Passwort-Phishing: Passwörter alleine sind heute kein Sicherheitskonzept mehr! Die bisherige Strategie möglichst langer Passwörter und vieler verschiedener Passwörter führt dazu, dass sich niemand mehr die Passwörter merken kann und dann überall dasselbe verwendet. Wir arbeiten schon seit vielen Jahren daran, die „multi-factor authentification“ als Standard einzusetzen – also die zusätzliche Authentifizierung über Fingerprint oder einen Token. Bei Google haben wir einen eigenen Security Key entwickelt. Das ist ein kryptografisches Device mit einem digitalem Schlüssel. Man verwendet dieses kleine Teil wie einen Auto- oder Hausschlüssel. Bei Google wird dieser Schlüssel bereits flächendeckend eingesetzt. Damit haben wir die Phishing-Angriffe im eigenen Haus zu 100 Prozent eliminiert.
Dieser Sicherheitsschlüssel kann nur bei Google eingesetzt werden?
Nein, wir haben das Verfahren dazu offengelegt. Dieser Schlüssel kann also auch von anderen für die eigenen Bedürfnisse und Anforderungen produziert werden. Im Bankenbereich würde ich mir zum Beispiel sehr wünschen, dass dieser Security Key ein fixer Bestandteil für das Banking und die Kommunikation mit Kunden wird.
Viele Banken setzen schon erfolgreich Zwei-Faktoren-Systeme ein ...
In vielen Fällen ist das noch die erste Generation von Security Keys. Auch da braucht es ein Update. Wir arbeiten bereits mit einer neuen Generation von Sicherheitsschlüsseln, die einfacher zu handhaben sind und weniger fehlerbehaftet. Ein solcher Umstieg auf diese neue Generation sollte von den Banken als strategischer Schritt für 2019/20 eingeplant werden.
Was bringt es, wenn man – wie von Ihnen vorgeschlagen – täglich seine Sicherheitssoftware aktualisiert und zusätzlich zu einem Passwort einen Sicherheitsschlüssel verwendet?
Damit lassen sich bereits 95 Prozent der Cyberattacken verhindern.
Kommen wir von den Banken zu deren Kunden, insbesondere zu Unternehmenskunden. Nur ein Drittel der Unternehmen schulen ihre Mitarbeiter zum Thema Cybersecurity ...
Für ein KMU ist es tatsächlich sehr schwierig, hier dediziert Ressourcen bereitzustellen. Man hat vielleicht ein paar Angestellte, die den laufenden IT-Betrieb sicherstellen, man kann sich aber keine eigenen Cybersecurity-Mitarbeiter leisten. Die Kostenstruktur erlaubt das nicht. Eine Lösung ist hier das Cloud-Computing.
Aber damit lagere ich meine Daten an einen Externen aus. Wie sicher ist das?
Man hat scheinbar ein besseres Gefühl, den Datenserver im eigenen Haus, im eigenen Büro zu haben. Das nützt im Zusammenhang mit Cybersecurity aber nichts. Die Angriffe kommen backdoor durch die Verbindung nach draußen, nicht vom Server. So gesehen bietet Cloud-Computing, das von einem großen, bekannten Anbieter kommt, der laufend in Sicherheit investiert, wirklich bessere Lösungen. Wenn ich mit einem solchen Cloud-Anbieter arbeite, profitiere ich automatisch von dessen Cybersecurity-Expertise.
Warum sollte ich einem Cloud-Anbieter vertrauen?
Gegenfrage: Warum vertrauen die Menschen den Banken? Sie haben dermaßen viel Vertrauen in die Banken, dass sie ihnen sogar ihr Geld geben.
Zum Schluss noch eine Frage zum Thema Ausbildung: Cybersecurity braucht viel Know-how und geschultes Personal. Haben wir genug gute Leute?
Das Fachpersonal wird künftig zum größten Bottleneck werden. Der Mensch ist nach wie vor die beste Ressource, um Angriffe zu erkennen. Wir müssen daher das Thema Computersicherheit als Fachgebiet massiv weiter auszubauen. Dazu können nicht nur die IT-Unternehmen beitragen, dazu müssen auch die Universitäten mehr tun. Wir müssen außerdem an die Schulen gehen und dort die Motivation der jungen Menschen nutzen und sie für Cybersecurity begeistern!
Gerhard Eschelbeck zählt weltweit zu den Top-Experten für Internet- und Unternehmenssicherheit. Der gebürtige Oberösterreicher hat an der Johannes Kepler Universität Informatik studiert, promoviert und habilitiert. 1996 zog es den Computerspezialisten in die USA, nachdem ein von ihm und seinem Linzer Team entwickelte Sicherheitssoftware vom damaligen Security-Software-Spezilisten McAfee übernommen wurde. 2001 wechselte Eschelbeck zum Netzwerksecurity-Spezialisten Qualys. 2006 ging er zum Internet-Securityunternehmen Webroot, wo er ebenso als CTO fast sechs Jahre tätig war. Im Oktober 2012 übersiedelte Eschelbeck nach Großbritannien zum Cybersecurity-Anbieter Sophos, ehe er 2014 wieder in die USA zurückkehrte und Sicherheitschef von Google wurde. Er leitete dort bis Ende 2018 das Security & Privacy Team von Google mit rund 1.000 MitarbeiterInnen. Seit 2017 ist Eschelbeck im Aufsichtsrat der Deutschen Bank und hat seit 2019 eine Professur an der FH Hagenberg inne, einem der führenden universitären Zentren für IT-Sicherheit in Österreich.