Interview mit Daniel von Büren- Seine Sicht zum Thema Cybersecurity

Von 18. August 2021 August 20th, 2021 News

Unternehmen sehen sich oft vor der Wahl zwischen Komfort und Sicherheit. Dabei steht der Mitarbeitende als grösstes IT-Security-Risiko speziell im Rampenlicht. Die Frage stellt sich also, wie eine sichere IT-Umgebung mit einer hohen Nutzerakzeptanz sowie Produktivität vereinbart werden kann, um das Spannungsfeld zwischen technischen Möglichkeiten und Mensch zu glätten.

Im Interview mit Daniel von Büren, Security & Compliance Technology Specialist bei Microsoft Schweiz, erfahren wir, was hinter dieser Herausforderung steckt und was Unternehmen sofort umsetzen können, um ihre IT-Security zu erhöhen.

Die IT-Security wird oft als Verhinderer und nicht als Ermöglicher wahrgenommen, wie können wir das ändern?

In der Tat ist es oft so, dass in Projekten die IT-Security als “Verhinderer” angesehen wird. Während das Business zum Beispiel eine neue innovative Lösung einsetzen möchte, identifiziert das Security-Team etliche technische Risiken, die eine Einführung verhindern oder zumindest massiv verlangsamen.

Aus meiner Sicht liegt das oftmals daran, dass wir – die Sicherheitsspezialisten – unsere Aufgabe zu wenig konstruktiv angehen. Was uns heute fehlt sind Brückenbauer, die zwischen dem Projektteam und der Sicherheit vermitteln und die bestmögliche Lösung für das Unternehmen suchen. Es ist natürlich die Aufgabe und die Pflicht des Security-Teams, neue Vorhaben kritisch zu betrachten und potentielle Risiken zu identifizieren sowie zu bewerten. Anschliessend braucht es aber den Dialog zwischen allen Parteien, um zu klären, wie diese Risiken sinnvoll migriert werden können, um so das Projekt zu realisieren. Damit dieser Prozess optimal gelebt werden kann, ist es zwingend notwendig, die IT-Sicherheit von Anfang an im Projekt zu integrieren.

Wo siehst du die grössere Angriffsfläche, bei der Technik oder beim Menschen?

In den Medien hören wir oft von den “grossen” Angriffen wie z.B. “Sunburst” oder “Kaseya”. Diese sind sicherlich sehr technisch orientiert. Trotzdem sehen wir seit einigen Jahren, dass sich die Angreifer vermehrt auf die Menschen konzentrieren.

Bei einem Angriff auf ein Unternehmen sucht der Angreifer immer zuerst das schwächste Glied in der Kette. In der Praxis zeigt es sich immer wieder, dass es für Angreifer wesentlich einfacher ist das Vertrauen einer Person auszunutzen, anstatt technische Hürden zu überwinden. Diese Person kann ein interner Mitarbeiter oder auch eine Partnerfirma sein. Die technischen Mittel werden dann oftmals in einem zweiten Schritt genutzt, um relevante Daten oder weitere Opfer aufzuspüren.

Um diesen Prozess möglichst zu optimieren, nutzen die Angreifer für den ersten Teil (Mensch) spezielle Tools und Automatismen. Der zweite Schritt (Technik) wird sehr oft durch eine Person umgesetzt. So kann der Angriff individuell angepasst werden kann (z.B. die Höhe des Lösegelds bei Ransomware) und die Entdeckung des Angreifers durch die IT Security wird erschwert. Wir sprechen in dem Zusammenhang auch von sogenannten “Human Operated Ransomware” Angriffen.

Was sollte jeder CISO sofort tun, um die IT-Security seines Unternehmens zu erhöhen – sofern noch nicht geschehen?

Gerade um das Risiko von Angriffen auf Personen zu minimieren, sollte jedes Unternehmen zwei wesentliche Punkte berücksichtigen:

  • Multi Factor Authentication (MFA)
    Die Studien von Microsoft zeigen, dass mit der Nutzung von MFA über 99% der Angriffe auf Identitäten abgewehrt werden können! Allein diese eine technische Massnahme erhöht die Sicherheit für das Unternehmen enorm.
    Wenn ich dieses Thema bei meinen Kunden anspreche, sehe ich immer wieder zwei Problemfelder. Einerseits wird befürchtet, dass MFA die Anwender überfordert. Andere Unternehmen haben die Erfahrung gemacht, dass irgendwann der CEO genug von den vielen MFA Abfragen hat und “diesen Unsinn” abzuschalten lässt. Aus diesem Grund ist es wichtig, dass MFA “intelligent” eingesetzt wird. Intelligent heisst für mich, dass wir MFA immer erzwingen, der Anwender aber nur in Ausnahmefällen damit konfrontiert wird. Zum Beispiel kann ich auf einen MFA Prompt verzichten, wenn der Mitarbeiter sich mit seinem Passwort (something I know) auf einem verwalteten Gerät der Firma (something I have) anmeldet.
  • Benutzerschulungen
    Sicherheitsschulungen von Benutzern wird noch immer in vielen Unternehmen vernachlässigt. Ich würde jedem CISO dringend empfehlen, sich Gedanken zu machen, wie er ein effizientes Programm für Security Schulung aufsetzt. Dabei sind Trainings für neue Mitarbeiter, aber auch regelmässige Schulungen für alle Mitarbeiter notwendig. Einige Ideen dazu hat Microsoft vor einiger Zeit publiziert. Natürlich sollte das Programm auf die jeweiligen Bedürfnisse des Unternehmens angepasst werden.

Wie positioniert sich Microsoft im Bereich Cybersecurity?

Für Microsoft ist das Thema Sicherheit seit etlichen Jahren sehr wichtig. In der Vergangenheit haben wir uns darauf konzentriert, unsere Services sicher zu betreiben und den Kunden Best Practices für den sicheren Betrieb zur Verfügung zu stellen. Seit ein paar Jahren hat Microsoft nun die technischen Lösungen im Bereich Security zusätzlich massiv ausgebaut. Kunden profitieren einerseits von etlichen Sicherheitsfunktionen, welche direkt in Windows 10 integriert sind. Zum anderen entwickelt Microsoft zusätzliche Sicherheitslösungen, die gemeinsam mit unseren Sicherheitsexperten entwickelt und getestet werden. Bereits vor der Markteinführung werden diese Lösungen bei Microsoft intern operativ eingesetzt und auf Praxistauglichkeit geprüft. Davon profitieren unsere Kunden direkt.

Welchen pragmatischen Ansatz empfiehlst du einem Unternehmen für seine IT-Security-Strategie?

Nutze was bereits vorhanden ist!
Ich sehe leider viel zu viele Unternehmen, die neue Security-Lösungen suchen, anstatt vorerst das zu nutzen, was sie bereits im Einsatz oder zumindest lizenziert haben. Diese Unternehmen sind sich nicht bewusst, was sie bereits haben und verschenken dadurch Potential. Zudem ergeben sich so in der Regel relevante Einsparungen in Bezug auf Betriebsaufwand und Lizenzkosten.

Am 15. September 2021 dürfen wir zusammen mit dir ein Praxis Webinar durchführen mit dem Titel: «Cybersecurity – Spannungsfeld zwischen technischen Möglichkeiten und Mensch». Was können die Teilnehmer lernen?

Das Ziel in meinem Referat «IT-Security Quickwins – konkrete Massnahmen, um die Sicherheit des Unternehmens zu erhöhen» ist es, aufzuzeigen, welche Möglichkeiten Microsoft im Security-Umfeld bietet und wie Kunde diese direkt nutzen können. Dazu werde ich spezifische Use Cases sowie Problemstellungen aufzeigen und anschliessend den Lösungsansatz von Microsoft erklären. Die Teilnehmer sollen diese Use Cases direkt bei sich intern umzusetzen können.

Danke Daniel von Büren für das spannende Interview. Wir freuen uns bereits sehr auf das Webinar und sind gespannt, welche Tipps du unseren Kunden mit auf den Weg geben wirst.

Hast du noch weitere Fragen zum Thema Cybersecurity? Dann melde dich für unser Praxiswebinar «Cybersecurity – Spannungsfeld zwischen technischen Möglichkeiten und Mensch» am 15. September 2021 an.

Jetzt anmelden!

Daniel von Büren ist Security & Compliance Technology Specialist bei Microsoft Schweiz. In dieser Rolle arbeitet er eng mit Kunden und Partnern zusammen, um mit ihnen holistische Lösungsansätze im Bereich Security und Compliance zu konzipieren und so aktuelle und zukünftige Risiken zu adressieren. Er sieht die Chance, einen strategischen Mehrwert als Brückenbauer zwischen IT, Compliance und Business zu liefern. Dazu kann er auf sein technisches Wissen und seine Erfahrung aus unterschiedlichen Kundenengagements zurückgreifen.

Hinterlasse eine Antwort

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.