Thomas Tschersich: Wir verstehen IT-Risiken als einen gleichwertig wichtigen Bestandteil unserer allgemeinen Risikolandschaft. Was muss man tun, um diese Risiken zu beherrschen? Bei der Deutschen Telekom stellen wir am Anfang einer jeglichen Entwicklung – egal ob es Produkte oder IT-Systeme sind – eine Sicherheitsbetrachtung, die genauso wie die sonstigen fachlichen Designanforderungen berücksichtigt wird. Wir begleiten den gesamten Entwicklungsprozess hinsichtlich Sicherheit und Datenschutz. Am Ende kommen "digitale Crashtests", Sicherheitsanalysen, die das Sicherheitsniveau noch einmal bestätigen.
Wie wichtig ist IT-Sicherheit für die Reputation eines Unternehmens wie der Deutschen Telekom?
Tschersich: Essentiell. Als Dienstleister ist IT-Sicherheit Voraussetzung für das Vertrauen unserer Kunden. Ohne die entsprechenden IT-Sicherheitsfunktionalitäten sind aus unserer Sicht Geschäftsmodelle in der Internetwelt nicht erfolgversprechend. Kunden vertrauen uns Ihre Daten an und kommunizieren über unsere Netzwerke. Sie erwarten schlicht und ergreifend, dass ihre Daten geschützt sind – und das zu recht.
Wie "übersetzten" Sie IT-Risiken so, dass die Geschäftsleitung oder zumindest das Risikomanagement sie verstehen?
Tschersich: Die Gefahr liegt darin, dass man technische Risken zu technisch beschreibt. Wir versuchen, dieses Problem durch Kataloge zu lösen, in denen wir leicht verständliche Standards für Sicherheitsfunktionalitäten darstellen. Die Kataloge machen deutlich, dass sich bei Nicht-Erfüllung einer bestimmten Anforderung ein bestimmtes Risiko ergibt. Wenn ich zum Beispiel keine Benutzerauthentifikation in ein System einbaue, würde sich damit das Risiko einer missbräuchlichen Benutzung dieses Systems ergeben.
Wir haben etwa 20 standardisierte Risiken definiert, die auf alle technischen Sicherheitsanforderungen einzahlen. Am Ende einer Untersuchung haben wir eine Liste von Standardrisiken, mit der wir dem Management sagen können, ob ein System ausreichend gegen eine missbräuchliche Benutzung gesichert ist. Dadurch, dass wir das zum Standard in unserer Entwicklung machen, sorgen wir für Transparenz und ein hohes Sicherheitsniveau.
Was können Sie über die allgemeine Prävention von IT-Risiken in Ihrem Unternehmen sagen?
Tschersich: Die Prävention ist als Dreiklang zu sehen: Entwicklung, Betrieb und Entsorgung. Sie müssen schon bei der Entwicklung die IT-Sicherheit berücksichtigen. Deutlich wird das am Beispiel eines Automobilherstellers. Der kann auch nicht nachträglich eine Bremse in ein Auto einbauen. Dann kommt die Betriebsphase: So wie man mit dem Auto alle zwei Jahre zum TÜV fährt, muss man IT-Systeme regelmäßig warten. Und, um den Autovergleich weiter zu führen, müssen Sie am Ende der Laufzeit das Auto fachgerecht entsorgen, was in der IT allen voran die sichere Vernichtung von Datenträgern bedeutet.
Viele der Angriffe auf Systeme, von denen man heute liest, sind aufgrund von schlecht gewarteten und schlecht konfigurierten Systemen passiert. Sie wären zu vermeiden gewesen, wenn man die Basics richtig gemacht hätte.
Also ist es durchaus möglich, den Großteil dieser Schäden zu verhindern...
Tschersich: Absolut richtig. Aber noch was: Die Antivirenindustrie erkennt täglich 50.000 bis 60.000 neue Computerviren – nicht alle davon sind komplett neue Viren, aber niemand ist mehr in der Lage, sie zu analysieren und Antivirenprodukte dafür anzupassen. Das heißt nicht, dass man auf Antivirenprogramme verzichten kann, aber wir brauchen neue Konzepte, um mit dieser Menge an Gefahren umzugehen.
Worauf achten Sie am meisten bei Ihrem IT-Risikomanagement? Wo ist das größte Gefahrenpotential? Cyberangriffe? Menschliches Versagen?
Tschersich: Ein Abwägen ist schwierig. Menschliches Versagen schafft oft erst das Einfallstor für einen erfolgreichen Cyberangriff. Das wichtigste Mittel gegen Angriffe ist gut ausgebildetes Personal in der IT. Vielfach wird der IT-Administrator als ein Billigjobber betrachtet. Dabei liegen in seinen Händen die Sicherheitsgeschicke eines Unternehmens. Trotzdem wird er oft im untersten Lohnsegment angesiedelt. Das halte ich für einen sträflichen Fehler. Das provoziert geradezu menschliches Versagen. Dieses Risiko ist eines der am meisten unterschätzten Risiken in der heutigen IT-Landschaft.
Und wo sehen Sie das größte technische Problem?
Tschersich: Neben mangelnder Systemwartung und -pflege sicher die Anhäufung von Berechtigungen. Man muss kritische Systemkomponenten trennen. Wenn man zum Beispiel für einen Online-Shop die Bestellfunktionalität, das Zahlungssystem und die Kundendaten auf einen einzigen Server legt, anstatt sie zu trennen, und jemand knackt eines der Systeme, hat er auf alle drei Bereiche Zugang.
Wenn Sie in die Zukunft schauen, welche Trends zeichnen sich in IT-Sicherheit ab?
Tschersich: Von der Seite der Angreifer ganz eindeutig die zielgerichteten Angriffe wie Stuxnet. Das zweite Thema, das sich abzeichnet, ist eine zunehmende Professionalisierung der Angriffe. Man redet von "Advanced Persistent Attacks", also Angriffe über einen langen Zeitraum mit viel Energie, nicht mit einem Bulldozer durch die Vordertür, sondern in vielen, vielen kleinen Schritten, um eine IT-Struktur zu infiltrieren. Technologisch werden wir die Renaissance des digitalen Rechtemanagements erleben. Das bedeutet, dass künftig nicht mehr nur ein Endgerät, sondern die Daten selbst geschützt werden.
