„Menschliche Fehler sind immer noch die Hauptursache für Datenverletzungen in Organisationen.“ – Cyber-Security-Expertin Paula Januszkiewicz im Interview
Paula Januszkiewicz ist Expertin für Cybersicherheit und oft gebuchte Speakerin auf internationalen IT-Konferenzen. Mit ihrer Firma CQURE berät sie Unternehmen bei ihrer IT-Sicherheitsstrategie. Darüber hinaus setzt sie sich dafür ein, mehr junge Menschen für die Branche zu begeistern. Wir freuen uns sehr, dass wir die Gelegenheit hatten, mit ihr über ihre Arbeit als Cybersecurity-Beraterin zu sprechen.
Boxcryptor: Hi Paula, vielen Dank für das Gespräch heute. Meine erste Frage ist: Wie bist Du als Cybersicherheitsexpertin gestartet und woher bekommst Du Deine Informationen darüber, was in der IT-Sicherheitsbranche passiert?
Paula Januszkiewicz: Als ich als Cybersicherheitsberaterin begann, hatte ich bereits einen guten Überblick darüber, was auf dem Markt passiert, da ich eine Zeit lang in einer Beratungsfirma gearbeitet habe. Obwohl es kein internationales Unternehmen war, habe ich mich in verschiedenen Arten von Community-Aktivitäten und speziellen Projekten engagiert. Ganz allgemein habe ich mich informiert, indem ich Nachrichten gelesen und mit verschiedenen Leuten aus der Branche gesprochen habe. Dadurch erhält man viele, viele Einblicke in was gerade so passiert. Besonders spannend war für mich immer zu erfahren, wie andere aus der Branche bestimmte Veränderungen interpretieren.
Natürlich habe ich auch einen Abschluss in Informatik und viele Jahre damit verbracht, das Wissen, das ich an der Universität erworben habe, in die Praxis umzusetzen. Aus heutiger Sicht weiß ich aber, dass es nicht ausreicht, etwas zu lernen. Man muss es auch unzählige Male ausprobieren. Es ist auch erwähnenswert, dass wir heute viele Werkzeuge haben, die den Menschen helfen, ihr Wissen zu aktualisieren: Wir haben Bottom-up-Websiten wie Twitter oder GitHub, große Nachrichtenportale oder Lernplattformen wie Medium. Auf diese Weise sind wir in der Lage, uns über Cybersicherheit zu informieren und uns mit verschiedenen professionellen Ansätzen und Strategien vertraut zu machen.
Wenn Du von einem Unternehmen beauftragt wirst, den Stand der IT-Sicherheit zu überprüfen, wohin schaust Du zuerst?
Paula Januszkiewicz: Jeder Fall ist anders, daher sind unsere Methoden vielfältig und hängen von der Art des Projekts ab. Wenn wir einen internen Pen-Test durchführen, fangen wir mit der Erkennungs- und Aufklärungsphase an. Wir versuchen herauszufinden, welche Arten von Diensten es gibt. Das ist oft gar nicht mal so schwer, denn Informationen über Unternehmen finden über verschiedene Wege ihren Weg ins Internet. Beispielsweise lassen sich die Mitarbeiter oft leicht dazu verleiten, wahre Leckerbissen an Informationen zu liefern. Aus denen ergibt sich dann im Laufe der Zeit ein umfangreiches Bild der Prozesse, der Organisationsstruktur und der möglichen Schwachstellen.
Nach dieser Erkundungsphase kommt der Pen-Test. Hier können die Entscheidungsträger einen geeigneten Angriffspunkt wählen. Während des Tests geht es in der Regel vor allem darum, Schwachstellen (innerhalb einer Technologie, der Prozesse, des Managements, der Benutzerschulung etc.) aufzuzeigen und die Systemverantwortlichen mit den Informationen zu unterstützen, die es ihnen ermöglichen, technische Erkenntnisse in wertvolle Daten für das Risikomanagement zu übersetzen.
Was passiert nach der Erkennungsphase?
Paula Januszkiewicz: Phase 2 ist das Scannen. Das Ziel dieses Tests ist es, die Möglichkeit auszuloten, über das Internet in das Netzwerk zu gelangen. Wir wollen feststellen, wie weit der Angreifer im Falle eines Zugangs kommen könnte. Eine detaillierte Sicherheitsanalyse sollte auf den Servern und Netzwerkressourcen, die über das Internet zugänglich sind, durchgeführt werden. So kann die bestehende Sicherheit überprüft werden. Methodik, Werkzeuge, detaillierte Testschritte und Forschungsfragen hängen dann vom jeweiligen Unternehmen ab.
Sobald der Angreifer über genügend Informationen verfügt, um zu verstehen, wie das Unternehmen funktioniert und welche wertvollen Informationen zugänglich sein könnten, beginnt er damit, das Ausmaß abzuschätzen. Es gilt herauszufinden, welche Bereiche zugänglich sind. Dazu werden interne Netzwerkgeräte auf Schwachstellen untersucht.
Menschliche Fehler sind immer noch die Hauptursache für Datenverlust in Organisationen.
Berücksichtigt ihr auch die Menschen, die in den Firmen arbeiten oder konzentriert ihr Euch nur auf die Software?
Paula Januszkiewicz: Die Menschen, die im Unternehmen arbeiten, sind bei uns absolut im Fokus. Menschliche Fehler sind immer noch die Hauptursache für Datenverlust in Organisationen. Hacker entwickeln ständig bessere Strategien, um Mitarbeiter dazu zu bringen, sensiblen Daten preiszugeben. Daher sind Cybersicherheit und Bewusstsein für Datenschutz im Allgemeinen, Dinge, die in den Unternehmen noch aufgebaut werden müssen. Aber insgesamt ändert sich die Situation zum Besseren.
https://youtu.be/kZ99jvX3Elo
Welche Art von Unternehmen berätst Du, und wie kann Deiner Meinung nach eine Sicherheitsberatung dabei helfen, die Situation in einem Unternehmen zu verbessern?
Paula Januszkiewicz: Unser Team berät international zahlreiche Unternehmen. Manche davon haben mehr als 200.000 Mitarbeiter. Das ist extrem inspirierend. Der Vorteil einer Beratertätigkeit ist, dass man umso mehr Erfahrungen sammeln kann, je mehr man im Cyberspace arbeitet und je mehr Menschen man trifft. Außerdem ist tatsächlich ede einzelne Firma in ihrer IT-Infrastruktur völlig anders. Deshalb müssen wir uns individuell und persönlich auf jeden Auftrag einstellen.
Die Rolle des Beraters besteht darin, sich mit den verschiedenen Arten von Umgebungen vertraut zu machen. Obwohl es sich um unterschiedliche Fälle handelt, sind wir in der Lage, Muster zu erkennen – verschiedene Varianten derselben Schemata werden immer wiederholt. Aus der Sicht des Kunden mag etwas völlig neu sein, aber wir haben alles schon einmal gesehen und können zielgerichtet helfen.
Kannst Du uns Beispiele für Sicherheitsprobleme an einem Deiner Arbeitsplätze nennen und wie Dein Team diese behoben hat?
Paula Januszkiewicz: Aufgrund des höchst vertraulichen Charakters unserer Arbeit und des Geheimhaltungsgrades der Branchen, mit denen wir zusammenarbeiten, ist es schwierig, Details offen zu legen. Aber stellen wir uns die Situation vor, dass ein Cybersicherheitsexperte in das Büro des Kunden kommt und sich dort umsieht. Die Passwörter der Mitarbeiter werden zum Beispiel auf Post-Ist geschrieben und neben dem Computer geklebt. Das ist erschreckend, aber es geht noch schlimmer. Mehr als 25% der US-Arbeiter geben zu, dass sie ihren Computer nicht sperren, wenn sie am Ende des Tages nach Hause gehen. Noch mehr Benutzer sperren ihren Computer nicht, wenn sie einen kurzen Trip zur Kaffeemaschine machen.
Dies bietet eine ausgezeichnete Gelegenheit für Mitarbeiter (oder eingeladene externe Berater), einen kurzen Blick auf den Rechner zu werfen. So etwas passiert ständig! Es versteht sich von selbst, wie wichtig es für Unternehmen ist, sicherzustellen, dass sowohl Technologien als auch Benutzer nicht in eine Falle tappen. Das gilt natürliche insbesondere für Firmen, die mit höchst sensiblen Informationen und persönlichen Daten umgehen.
Prozesse und der Umgang mit der Cybersicherheit in den Unternehmen ändern sich nicht so schnell, wie die Strategien der Angreifer.
Was sind Deiner Meinung nach derzeit die größten Bedrohungen für Unternehmen, und was sind häufige Schwachstellen in IT-Sicherheitsstrategien?
Paula Januszkiewicz: Es ist zu einfach zu sagen, dass der Mensch das schwächste Glied ist. Natürlich hat jeder Schwächen, ist anfällig für Emotionen und kann mal der falschen Person vertrauen. Administratoren, IT-Profis oder Entscheidungsträger sind auch nur Menschen.
Was sich nicht so schnell ändert wie die Möglichkeiten der Angreifer, sind die Prozesse und der Umgang mit der Cybersicherheit in den Unternehmen. Heutzutage haben wir CISOs, CCOs und ähnliche Stellenbeschreibungen, aber manchmal neigen wir bei all der Komplexität dazu, die Kernprinzipien der Cybersicherheit zu vergessen, da wir nicht genug Zeit haben, den aktuellen Trends und aktuellen Sicherheitslösungen zu folgen. Daher sollte man immer daran denken, dass die Reise der Cybersicherheit kein Ende hat und ständig neue Herausforderungen auftauchen - für jeden, sowohl für Experten als auch für Endbenutzer.
Ist die Quantum-Technologie derzeit eine echte Bedrohung für Unternehmen? Wenn nicht, wann könnte die Situation Deiner Meinung nach kritisch werden?
Paula Januszkiewicz: Zuerst möchte ich betonen, dass die Ankündigung von Google vom Oktober 2019 in der Tat ein Diskussionspunkt für Cybersicherheitsprofis war. Schließlich wurde eine massive Debatte über die fehlende Begrenzung der Technologieentwicklung ausgelöst. Quantencomputer sind unvorstellbar viel leistungsfähiger als die fortschrittlichsten modernen Supercomputer, die wir bisher kennen. Theoretisch kann der Algorithmus eines Shor's verwendet werden, um große zusammengesetzte Zahlen exponentiell schneller zu berechnen. Wenn Hacker also Zugang zu einem ausreichend leistungsfähigen Quantencomputer hätten, könnten sie Verschlüsselungssysteme leicht knacken.
Natürlich kann die Gesellschaft auch von Quantentechnologie profitieren – perfekte Beispiele sind medizinische Analysen, finanzielle Berechnungen oder fortgeschrittene Forschungsstudien. Ich denke, dass wir immer noch nicht genügend Informationen darüber haben, wie Quantencomputer die tägliche Datenverarbeitung beeinflussen werden. Sobald die Quantentechnologie jedoch wirklich praktisch wird, werden die Cybersicherheitsteams vor völlig neuen Herausforderungen stehen. Und glauben Sie mir, wir langweilen uns bereits jetzt schon nicht.
Eine Bedrohung für Unternehmen ist Diebstahl oder Verlust von Geräten. Ich denke dabei zum Beispiel an die Vertriebsmitarbeiter im Außendienst. Hast Du irgendwelche Tipps für diesen Fall?
Paula Januszkiewicz: Da Sie den Diebstahl nicht verhindern können, ist es wichtig, dass die Daten auf dem Gerät sicher sind. Die Speicherung Ihrer Daten in der Cloud, wo alle Berechtigungen einfach verwaltet werden können, ist eine der empfohlenen Lösungen.
Glaubst Du, dass Unternehmen jetzt eher bereit sind, ihre Daten in die Cloud zu verlagern? Hast Du in diesem Fall in den letzten Jahren Entwicklungen gesehen?
Paula Januszkiewicz: Die Unternehmen machen diesen Schritt tatsächlich. Wir haben viele Kunden, die IT-Systeme in die Cloud stellen, und sie sind glücklich, weil sie diese Systeme nicht mehr aufwändig pflegen müssen – alles funktioniert einfach. Der Umzug von von einer lokalen Infrastruktur in die Cloud reduziert in der Regel Risiken, aber Vertrauen spielt hier immer eine wichtige Rolle.
Was glaubst Du, überzeugt Unternehmen tatsächlich davon, auf die Cloud umzusteigen?
Paula Januszkiewicz: Einerseits ist es die Kontinuität des Dienstes. Ein anderer Punkt ist die Möglichkeit, verschiedene Arten von Sicherheitslösungen zu implementieren, die Out-of-the-box kommen. Darüber hinaus gehen insbesondere kleine und mittlere Unternehmen in die Cloud, weil es viel einfacher ist. Sie müssen nicht mit verschiedenen Arten von Servertechnologien vertraut sein und die Hardware selbst warten. Sie können entweder ein unbekanntes XYZ-Unternehmen oder einen großen Hersteller wie Microsoft wählen. Ich vertraue Azure, weil es ein „ausgereiftes“ Produkt mit umfangreichen Funktionen ist, aber im Grunde genommen gibt es keinen Unterschied. Übrigens überwacht Azure alle Aktivitäten auf dem Server – wenn etwas passiert, können wir auf die Logs zurückgreifen.
Die Cloud wird aber nicht für jeden funktionieren, sie wurde für Dienste geschaffen, die ohne Angst auf externen Servern ausgeführt werden können. Es gibt jedenfalls eine Menge Dinge, die die Cloud für Unternehmen attraktiv macht. Wenn wir in letzter Zeit mit unseren Kunden über die Daten- oder Sicherheitsstrategie diskutieren, geht es oft darum, die Daten in die Cloud zu verlagern.
Noch eine Frage zu den Privatanwendern: Glaubst Du, dass die Benutzer bereit und auch technisch versiert genug sind, um mit 2FA umzugehen?
Paula Januszkiewicz: Natürlich! Ich meine, wenn sie mit E-Mail umgehen können, dann können sie auch Zwei-Faktor-Authentifizierung. Es gab Zeiten, in denen der Prozess für den Endbenutzer zu kompliziert war. Heute haben sogar meine Großeltern täglich Zugang zu E-Mail-Postfächern – Banken und Finanzinstitute haben uns daran gewöhnt. Apropos meine Großeltern, sie nutzen auch verschiedene Arten von Online-Diensten, aber Cybersicherheit muss nicht unbedingt jedermanns Forschungsschwerpunkt sein. Stattdessen, und das ist sehr wichtig, müssen sie und alle Anwender auf der ganzen Welt die Möglichkeit bekommen, Dienste zu nutzen, die sich aktiv für sie um Sicherheit bemühen.
Du gehst also davon aus, dass die Benutzer technisch immer versierter werden?
Paula Januszkiewicz: Oh ja, das werden sie. Denn das kommt mit dem Wachstum und der Zugänglichkeit der Technologie von selbst.
Ein weiteres Thema, über das wir mit Dir sprechen wollen, ist die Suche nach Nachwuchs. Einige Unternehmen haben Schwierigkeiten, Mitarbeiter zu finden, insbesondere im IT-Bereich. So gibt es in Deutschland derzeit allein in der IT-Branche 124.000 offene Stellen. Bei Boxcryptor setzen wir stark auf Vielfalt und LGBTQ-Freundlichkeit, um mehr Menschen zur einer Bewerbung zu motivieren. Welche Maßnahmen ergreift ihr bei CQURE, um ein gutes Team aufzubauen?
Paula Januszkiewicz: Das CQURE-Team ist sehr vielfältig. Von Anfang an habe ich mich darauf konzentriert, aus den eingegangenen Bewerbungen die interessantesten Leute auszuwählen – die meisten von ihnen hatten vor CQ vor allem technische Erfahrung, und ein paar hatten eine eher detailorientierte, ich würde sagen „detektivische“ Einstellung. Wenn wir neue Teammitglieder rekrutieren, achten wir nicht nur ihre Fähigkeiten, sondern in erster Linie auf ihre Kreativität und ihren Enthusiasmus. Und zum Thema Diversity: Es ist vielleicht überraschend, aber wir beschäftigen mehr Frauen als Männer.
Kannst Du eine weitere Expertin für Cybersicherheit empfehlen, die zum Beispiel auf Twitter aktiv ist?
Paula Januszkiewicz: Ich denke an Magda Chelly aus Singapur, sie ist definitiv diejenige, der man auf Twitter folgen sollte. Sie ist eine wirklich anerkannte Beraterin im asiatischen Raum, sie hat auch viel Erfahrung und interessante Ansichten.
Vielen Dank für das Gespräch, Paula!
Wer mehr erfahren möchte, schaut am besten auf der Webseite von CQURE vorbei, folgt Paula auf Twitter oder schickt ihr eine Anfrage auf LinkedIn.