Fabrice Wynants verfügt über eine solide Erfolgsbilanz im Bereich Cyber Security mit über 25 Jahren Erfahrung in Führungspositionen bei Ubizen und Verizon. Anfang Januar 2020, kurz bevor die Welt in den Lockdown ging, wechselte er als Global Director of Cyber Security & IAM Services zu Cegeka. Etwas mehr als ein Jahr nach seinem ungewöhnlichen Start haben wir uns mit ihm für ein Zwischenfazit zusammengesetzt.
Ein Gespräch über das unvermeidliche Thema Coronavirus und seine Auswirkungen auf uns alle, aber auch über die sich ändernde Rolle des CISO, die zunehmende Annäherung zwischen IT und OT / IoT und – last, but not least – ‚The Road to Resilience‘, das End-to-End-Securityprogramm, an dem Wynants und sein Team seit einem Jahr arbeiten.
Kommen wir gleich zur Sache: Die Corona-Krise ist unmittelbar nach Ihrem Eintritt bei Cegeka ausgebrochen. Was hat sich durch die Pandemie geändert?
Fabrice Wynants: „Dass die Remote Arbeit eine direkte Auswirkung war, die noch bis heute spürbar ist, brauche ich wohl nicht weiter auszuführen. Da so viele Mitarbeiter von zu Hause aus arbeiteten, gab es plötzlich ein Heer von nicht verwalteten Endpunkten, die über potenziell unsichere Internetverbindungen nicht nur mit den lokalen Unternehmenssystemen, sondern auch mit in der Cloud gehosteten Daten und SaaS-Anwendungen verbunden waren. Nicht alle Unternehmen verwendeten VPN-Technologie, und ein VPN-basierter Zugriff bietet nicht für jedes Szenario einen ausreichenden Schutz.
Viele Unternehmen sind von dieser neuen Ausgangslage überrascht worden und für viele lief es dann erzwungenermaßen auf eine Beschleunigung der digitalen Transformation hinaus. Um das alles zu organisieren, war eine Vielzahl von Maßnahmen erforderlich, die zwar zum Erfolg führen, jedoch nicht unbedingt ‚Quick Wins‘ sind. Zunächst müssen sowohl verwaltete als auch nicht verwaltete Endpunkte angemessen abgesichert werden, z. B. durch Patches. Dann muss eine starke Form der Authentifizierung wie die Zwei-Faktor-Authentifizierung eingeführt werden. Und zuletzt müssen alle Endpunkte mittels Endpoint Detection & Response überwacht werden, um Anomalien sofort erkennen und behandeln zu können. Es ist unabdingbar die Möglichkeit zu haben, alle Geräte aus der Ferne zu verwalten und, wenn nötig, zu isolieren. Viele Organisationen waren nicht in der Lage, das zu tun und sind es zum Teil immer noch nicht.
Darüber hinaus konnten wir weltweit einen starken Anstieg von Social-Engineering-Aktivitäten, wie Phishing, beobachten. Das ist eine sehr bedauerliche Entwicklung, die sich so schnell nicht wieder umkehren wird. Es wurde schon oft gesagt, aber man kann es nicht oft genug sagen: Die Sensibilisierung jedes Endanwenders ist und bleibt entscheidend.“
Haben wir bis jetzt nicht schon genug Sensibilisierungskampagnen gesehen?
Wynants: „Ja, aber sie sind trotzdem noch notwendig. Die Sensibilisierung muss von zwei Seiten her erfolgen. Auf der einen Seite gibt es das Bewusstsein im Management: Inwieweit sieht das C-Level Cyber Security als Investition und nicht als Kosten? Wir haben festgestellt, dass die Wahrnehmung von Jahr zu Jahr zunimmt, nicht zuletzt, weil das Bewusstsein wächst, dass jedes Unternehmen, ob groß oder klein und gleich welche Branche, davon betroffen sein kann. Früher hörte ich Produktionsunternehmen sagen: "Welcher Hacker will denn hier schon einbrechen? Hier gibt es sowieso nichts zu holen". Aber jetzt, wo Cyberkriminelle durch die Einfallstore von OT (Operational Technology) und IIoT (Industrial Internet of Things) den Weg in die Werkshallen gefunden haben und mit einem gezielten Ransomware-Angriff ein ganzes Unternehmen in Geiselhaft nehmen können, haben sich die Dinge geändert.
Früher hörte ich Produktionsunternehmen sagen: "Welcher Hacker will denn hier einbrechen? Hier gibt es sowieso nichts zu holen". Aber jetzt, da Cyberkriminelle durch die Einfallstore von OT und IIoT ihren Weg in die Werkshallen gefunden haben und mit einem gut gezielten Ransomware-Angriff ein ganzes Unternehmen in Geiselhaft nehmen können, haben sich die Dinge geändert.
Daneben gibt es natürlich das Bewusstsein bei den Endanwendern. Wie auch immer man es betrachtet, die meisten Vorfälle lassen sich auf menschliches Verhalten und Fehler zurückführen. Der traditionelle Ansatz, das Bewusstsein mit einem Poster an der Bürowand zu schärfen, funktioniert nicht mehr. Die meisten Menschen schauen buchstäblich an ihnen vorbei. Eines der Dinge, die wir bei Cegeka sowohl intern als auch für Kunden tun, ist die Organisation von Phishing-Simulationen. Jeder Cegeka-Mitarbeiter verfügt außerdem in seinem E-Mail-Client über eine Schaltfläche, mit der Phishing gemeldet werden kann. Das Gute daran ist, dass Sie messen können, wie groß das Problem ist und wo im Unternehmen es sich befindet, sodass Sie Ihr Awareness-Training entsprechend anpassen können. Zahlreiche Unternehmen tun dies bereits, aber zum Beispiel nur einmal im Jahr und für all ihre Mitarbeiter. Bessere Ergebnisse erzielen sie jedoch, wenn die Trainings regelmäßig wiederholt und bestimmte Gruppen gezielt adressiert werden.“
Hat die Pandemie neuen Druck auf die CISOs ausgeübt?
Wynants: „In einer IT-Landschaft, in der die Peripherie immer weiter aus dem Blickfeld verschwindet, hatten sie bereits alle Hände voll zu tun (lachend). Aber die Pandemie hat sicherlich einige Aspekte verschärft. Die Prioritäten wurden neu definiert, und die CISOs mussten in der Lage sein, schnell und intelligent mit ihnen umzugehen. Ich sehe, dass die Rolle aufgewertet wird. Jetzt, da die Vorstände erkannt haben, dass kritische Geschäftsprozesse betroffen sein können, haben CISOs häufiger die Möglichkeit, auf strategischer Ebene mitzuwirken und sich auf Unternehmensrisiken zu konzentrieren.
Den heutigen CISOs wird viel häufiger ein „Platz am Tisch“ angeboten als in der Vergangenheit, als es eher eine technische Rolle war. Das erhöht aber auch den Druck: Sie müssen dem Management regelmäßig Bericht erstatten. Dessen sind wir uns bewusst und haben unsere Arbeitsweise darauf ausgerichtet, den CISO so weit wie möglich zu unterstützen und zu entlasten.“
Ich sehe eine Aufwertung der Rolle des CISO. Jetzt, da die Vorstände erkannt haben, dass kritische Geschäftsprozesse betroffen sein können, erhalten CISOs häufiger die Möglichkeit, auf strategischer Ebene mitzuwirken und sich auf Unternehmensrisiken zu konzentrieren.
Sie haben über die Einfallstore von OT und IIoT gesprochen. Liegt hier die eigentliche Gefahr?
Wynants: „Ransomware hat in den letzten Jahren in industriellen Umgebungen viel Schaden angerichtet und wird dies auch weiterhin tun. Die zunehmende Automatisierung, die Einführung von Robotik und IoT führen dazu, dass IT und OT immer mehr miteinander verflochten werden, wodurch bösartiger Code in der IT in die OT-Umgebungen eindringen kann. Cyberkriminelle wissen das und sehen eine Gelegenheit, Unternehmen dafür bezahlen zu lassen, sich aus einer solchen Geiselhaft freizukaufen. Das ist Big Business.
Daher müssen Cybersicherheit und Widerstandsfähigkeit auch in der Produktionsstätte implementiert werden und die gleichen Maßnahmen – bewerten, verhindern, erkennen, reagieren, wiederherstellen – wie für die IT gelten. Auch im OT-Bereich müssen Unternehmen einschätzen können, welche verbundenen Geräte kritisch für ihre Geschäftsprozesse sind, wie anfällig sie sind, wie sie in einem Netzwerk authentifiziert werden können usw. Im Gegensatz zur IT sind die Hauptziele in der OT die Sicherheit von Menschen sowie die Verfügbarkeit von Produktionsprozessen und Maschinen. Das bedeutet, dass es weniger naheliegend und manchmal sogar unmöglich ist, z. B. Softwareagenten in einer OT-Umgebung zu betreiben. Es erfordert etwas Geschick von unserer Seite, aber wir haben Lösungen dafür in unserem End-to-End-Security-Angebot.“
Das Security-Angebot von Cegeka ist Teil von ‚The Road to Resilience‘. Können Sie uns mehr darüber erzählen?
Wynants: „Wir entwickeln eine Roadmap, die Unternehmen dazu befähigt, so sicher wie möglich zu arbeiten und – was noch wichtiger ist – widerstandsfähig zu sein, wenn etwas schiefläuft, denn keine Lösung bietet einen 100%igen Schutz. Mit anderen Worten: Tun Sie alles, um nicht zu stolpern. Sollten Sie aber doch stolpern, sind Sie sehr schnell in der Lage, wieder aufzustehen. Widerstandsfähigkeit (Resilience) ist damit eigentlich die Summe aller Sicherheitsmaßnahmen – Bewertung, Prävention, Erkennung, Reaktion, Wiederherstellung – plus ein Plan für Business Continuity bzw. Recovery. Zusammen bilden sie ein Programm, das durch kontinuierliche Verbesserung ständig angepasst wird.
Wir entwickeln eine Roadmap, die Unternehmen dazu befähigt, so sicher wie möglich zu arbeiten und, was noch wichtiger ist, widerstandsfähig zu sein, wenn etwas schiefläuft, denn keine Lösung bietet 100%igen Schutz. Anders gesagt: Tun Sie alles, um nicht zu stolpern. Wenn Sie aber doch stolpern, sind Sie sehr schnell in der Lage, wieder aufzustehen.
Ein wichtiger Ansatz in diesem Programm ist ‚Zero Trust‘. In der Vergangenheit wurde die IT-Landschaft in vertrauenswürdige und nicht vertrauenswürdige Bereiche unterteilt, und alles innerhalb der Grenzen wurde normalerweise als vertrauenswürdig angesehen. War man also einmal drin, gab es keine Barrieren mehr. ‚Zero Trust‘ basiert auf den Modellen ‚Never Trust, Always Verify‘ sowie ‚Least Privilege‘, bei dem Anwender nur das Minimum an Rechten erhalten, die sie für ihre Arbeit benötigen.
Wir möchten Unternehmen auch helfen, sich auf den Fall einer möglichen Sicherheitslücke vorzubereiten und sicherstellen, dass sie das, was häufig als ‚Assume Breach‘ bezeichnet wird, schnell erkennen und darauf reagieren können. Nicht alle Geschäftsprozesse sind gleich kritisch. Was wir aus der Corona-Krise gelernt haben, ist, dass viele Unternehmen nicht genau wissen, welche Prozesse wesentlich für die Business Continuity sind. Auch das ist etwas, bei dem wir sie unterstützen können.“
Was sind Cegekas Prioritäten für 2021?
Wynants: „In diesem Jahr konzentrieren wir uns insbesondere auf eine Reihe von Diensten, die als ‚as-a-Service‘-Modell angeboten und von unserem Security Operations Center (SOC) bereitgestellt werden, z. B. Managed Detection & Response, Endpoint Detection & Response, Privileged Access Management etc. Die Tatsache, dass wir sie als Service von unserem eigenen SOC aus liefern können, macht diese Dienste in Bezug auf Kosten, Verwaltbarkeit und auch Wissen sehr attraktiv. Nehmen wir zum Beispiel PAM-Lösungen: Sie sind normalerweise komplex und teuer, aber als Unternehmen kommt man nicht mehr ohne sie aus. Kaufen Sie diese Lösung aber als Service, wird sie erschwinglich und Sie müssen sich keine Gedanken mehr über Komplexität machen.
Des Weiteren sind wir dabei, unser gesamtes Angebot an Security Services für unser Customer Engagement Portal ‚CGK-Horizon‘ zu öffnen. Horizon fungiert als 'Single Pane of Glass' über der Sicherheitsstruktur des Kunden, mit einheitlichen Daten zu Firewall-Richtlinien, Schwachstellen- & Compliance-Informationen und End-to-End-Sicherheitsüberwachung für alle mobilen Endpunkte, digitale Workstations, Server, Anwendungen, IT/OT usw. Aber Horizon ist viel mehr als das – es ist ein einzigartiges Gateway für jeden Cegeka-Kunden, der einen Service von uns erwirbt.“
Zum Schluss, warum Cegeka?
Wynants: „Als ich Anfang 2020 zu Cegeka kam, war eine meiner Hauptaufgaben, die beachtliche Zahl von Aktivitäten im Bereich Security an einer Stelle zu bündeln. Was mir damals auffiel, war wie zurückhaltend wir waren und immer noch sind, wenn es darum geht, uns auf dem Markt zu positionieren. In gewisser Weise spiegelt dies die Kultur von Cegeka wider: No Nonsense und sehr pragmatisch.
Was mir an Cegeka gefällt – und das nicht nur im Bereich Security – ist, dass wir die Möglichkeiten eines Konzernunternehmens haben, trotzdem aber immer sehr nah am Kunden dran und für ihn greifbar sind. Diese Kombination aus dem Besten beider Welten macht uns einzigartig und erlaubt uns, im Bereich Security für unsere Kunden da zu sein, wenn es wirklich drauf ankommt.“
