Als Berufshacker, Gründer und Chef von Recurity Labs haben Sie bereits etliche Unternehmen auf dem Weg in eine sichere IT-Infrastruktur unterstützt.
Felix „FX“ Lindner
Berufshacker und CEO der Recurity Labs GmbH
In vielen Fällen ist dieser Weg langfristig nutzbringend für die Unternehmen, z.B. wenn sie durch verantwortungsvollen Umgang mit IT-Sicherheit bei zuständigen Regulierungsbehörden auffallen.
Haben Sie es jemals erlebt: Gibt es unhackbare Unternehmen?
Im Prinzip gibt es diese: Unternehmen, die keine Computer verwenden. In der Praxis gibt es sie nicht, denn jeder hat mindestens einen Computer in der Tasche: das Mobiltelefon. Dennis Hughes (FBI) wird die Aussage zugeschrieben, der einzige sichere Computer sei ausgestöpselt, in einen Safe eingeschlossen und 20 Fuß tief an einer geheimen Stelle vergraben, aber selbst bei dem wäre er sich nicht sicher.
Unternehmen kontaktieren Sie, um Sicherheitslücken zu finden. Welche Schritte gehen Sie, wenn eine Risikoquelle identifiziert wurde?
Wir empfehlen angemessene und pragmatische Wege, mit dem Risiko umzugehen. Das können organisatorische, technische oder eine Kombination aus beiden Ansätzen sein. Oft hilft einfach, die riskante Praxis anders zu handhaben oder ganz einzustellen, denn vieles was technisch möglich ist, ist nicht geschäftskritisch. Bei Schwachstellen wenden wir uns gemeinsam mit dem Auftraggeber an den Hersteller, machen auf das Problem aufmerksam, damit der Hersteller das Problem behebt. Z.T. sind dem Hersteller ganze Klassen von Fehlern nicht bekannt und daher quer durch seine Produkte zu finden.
Die Abwehrtechnologie liegt 15 Jahre hinter der Angriffstechnologie, sagten Sie einmal. Im Hinblick auf das Risikomanagement stellt sich dann die Frage: Lassen sich IT-Risiken überhaupt kontrollieren? Wenn ja, wie und in welchem Umfang?
Angesichts der immer stärkeren Vernetzung gilt die Aussage leider noch, denn vieles, was wir heute miteinander vernetzen, ist ganz schön alt. Schutzmechanismen und Methoden haben sich in den letzten zwei Dekaden fundamental verbessert.
IT-Sicherheit und Risikomanagement haben beide mit „Unknown Unknowns“ zu tun. Beide sind kontinuierliche Prozesse, bei denen immer wieder neu gefragt werden muss, ob die Annahmen denn noch richtig sind oder ob sich etwas an den geschäftlichen Rahmenbedingungen geändert hat und welche Auswirkungen dies auf die Risiken hat. Unser Consulting-Team kann auf Erfahrungen aus anderen Industrien zurückgreifen und damit auf Aspekte hinweisen, die nicht offensichtlich sind. Außerdem ist es hilfreich zu wissen, was bei anderen funktioniert hat, was nicht, und warum.
Sie möchten mehr erfahren?
Weitere Informationen finden Sie unter www.recurity-labs.com