Security Interview
Bild: RNF
Bei den Eltern von Wieland Alge, EMEA-Chef von Barracuda Networks, fehlte über Jahre das Verständnis dafür, was ihr Sohn beruflich macht. Dank Medienberichten über Botnets, Hacker & Co. ist das Thema aber mittlerweile in der gesellschaftlichen – und familiären – Mitte angekommen.
Bild: RNF

Interview - Wieland Alge, Barracuda Networks

Ischt des was g'hörigs?

Wieland Alge, General Manager EMEA von Barracuda Networks, spricht im Interview über sein "Lieblings-Digitalding", was ebendieses mit Security by Design zu tun hat und wieso Quantenkryptografie Probleme löst, die real nicht existieren.

von: Rudolf Felser

Der aus Vorarlberg stammende Wieland Alge hat an der Universität Innsbruck Physik studiert und im Jahr 2000 mit drei Kommilitonen das IT-Security-Unternehmen phion gegründet. 2009 wurde das Unternehmen an Barracuda Networks verkauft, als General Manager EMEA lenkt er aber weiterhin aus Innsbruck die regionalen Geschicke des Netzwerksicherheits-Spezialisten. Außerdem ist der erklärte Rugby-Fan auch für die Tiroler NEOS politisch aktiv.  

Im Interview mit monitor.at erzählt er unter anderem, wie es zur Unternehmensgründung kam, wie sich das Thema IT-Security technologisch und in der gesellschaftlichen Wahrnehmung in den letzten beiden Jahrzehnten entwickelt hat sowie unter welchen Umständen er postwendend wieder aus einem Spital rausrennen würde.  

Sie haben Physik studiert, dann gemeinsam mit drei anderen Physikern phion gegründet. Wie kommt man von der Physik zur IT-Security?  

Es gibt eine geschönte Version und eine brutale Wahrheit. Die brutale Wahrheit: Es war Hunger. Wir waren auf der Suche nach einer Perspektive. IT-Security hat sich damals eher zufällig ergeben. Wir haben uns auf der Uni mit IT beschäftigt und zum Beispiel aus Budgetgründen aus unseren Arbeitsplatzrechnern einen vernetzten Linux-Großrechner gemacht. Wir konnten uns die großen Rechenkisten nicht leisten und haben uns so unsere Kenntnisse über Netzwerkbetriebssysteme und Security angeeignet. Das daraus so schnell eine IT-Security-Produktfirma geworden ist, war eine Mischung aus Zufall und Notwendigkeit. Das sagen auch die Biologen immer, wenn man sie fragt wie das Leben entstanden ist.  

Hatten Sie in der Physik ein Spezialgebiet?  

Wir haben uns alle vier mit Quantenkryptografie, Quanteninformation, Quantencomputing beschäftigt. Damals war es noch nicht so fortgeschritten, aber es wurden die Grundlagen geschaffen. Eine sehr spannende Zeit.  

In den letzten 20 Jahren hat sich in der IT viel getan. Wie hat sich das Thema Security seit damals entwickelt?  

Netzwerksecurity und Infrastruktursecurity haben sich massiv entwickelt. Einerseits technologisch, andererseits aber auch aus gesellschaftlicher Sicht. Es war lange Zeit so, dass man kaum jemandem erklären konnte, was man tut. Meine Eltern haben es bis vor wenigen Jahren kaum verstanden und schon gar nicht ihren Freundinnen und Freunden erzählen können – was den Statusabgleich mehrerer Kinder schwierig macht. "Was macht der Wieland in diesem Tirol?" Aus Vorarlberger Sicht war ich ja quasi im Ausland. Meine Eltern hatten, weil ich ja "etwas mit Internet" gemacht habe, ein bisschen Angst, dass das nicht anständig ist. "Ischt des was g'hörigs?", haben sie gefragt. Das hat sich in den letzten sechs Jahren dramatisch geändert. Inzwischen kommen IT-Security-Probleme nicht mehr nur in irgendwelchen Nischenportalen vor, sondern sind normale Headlines bei orf.at und sogar bei krone.at. Das Thema hat Interesse und Eingang in ganz normale Alltagskonversationen gefunden, mit denen sich alle Menschen beschäftigen.  

Das war der gesellschaftliche Aspekt. Der technologische Aspekt ist, dass es damals sehr klar war, was wir schützen und auch wo das stattfindet. Es war lange Zeit so, dass es von vornherein klar war, wo Security-Systeme hinzustellen sind, es war klar wo IT-Systeme überhaupt stehen. Das hat sich mit der Zeit dramatisch geändert. Durch die massive Digitalisierungswelle, die gerade rollt, dringt IT in Bereiche vor, bei denen wir nicht gedacht hätten, dass dort jemals IT stattfinden wird. Ich bin ein bisschen verschrien, immer schon wilde Visionen gehabt zu haben, aber das Firewalls in Bussen zu finden sein werden, habe ich nicht vorhergesehen. Heute ist es normal, dass in Bussen vernetzte Komponenten eingesetzt werden, die selbstverständlich geschützt werden müssen. Noch vor wenigen Jahren war das ganz anders. Die Diskussion hat sich jahrelang um das selbe gedreht, die Technologieentwicklung war eindimensional: immer tiefere Analysemöglichkeiten des Verkehrs, der durch die Geräte geht. Das war spannend und interessant, aber vor ein paar Jahren habe ich mir gedacht, ich muss irgendwann etwas anderes machen. Wenn ich mich noch 10 bis 15 Jahre ausschließlich mit Analysemöglichkeiten von Protokollen beschäftigen muss, drehe ich durch.   

Wie wird sich das weiterentwickeln? Sind alte Securitykonzepte für eine vernetzte Welt ausreichend? Kann man einfach eine Firewall "hinklatschen" und sich sicher fühlen?  

Ja man kann, aber nicht nur eine, sondern tausende. Für kleinere Gemeinden wird es normal sein, mehr Firewalls als Einwohner zu haben, ein Spital wird mehr Firewalls als Patienten haben, in Supermarktfilialen wird es mehr Firewalls als Mitarbeiter geben. Man kann die Technologie "hinklatschen" und ist sicher, man muss aber wissen wo und wie viel. Alles deutet darauf hin, dass es sehr viel sein wird. Wir kommen immer wieder in Projekte, die in den nächsten zwei bis drei Jahren umgesetzt werden, wo 10.000 bis 20.000 Firewalls ganz normale Zahlen sind.  

Reden wir hier von einzelnen Firewalls?  

Es geht um sehr kleine Geräte. Die derzeitigen Trendsetter sind Retail-Ketten, speziell solche mit kleinen Filialen, wie zum Beispiel Calzedonia mit 4.000 Filialen und je einer Firewall. Bei der nächsten Welle kommen pro Filiale noch einige Firewalls dazu, beispielsweise für Kassasysteme, die in sich sehr viel intelligenter werden. Der Bankomat und die Kassa wachsen zusammen. Ein Riesenproblem für Banken ist, dass Bankomaten richtig teuer sind: Man muss Bargeld hinkarren, es dort sicher verwahren und es immer wieder nachfüllen. Es gibt heute die Möglichkeit, zum Beispiel an der Tankstelle auch Geld abzuheben. Dort steht ein Kassaautomat, bei dem die einen mit Bargeld bezahlen, so den Bankomaten befüllen und gleichzeitig das Verantwortungsproblem und Sicherheitsproblem der Tankstellen mitlösen. Tankstellen haben nach wie vor einen riesigen Bargeldbestand und ein Transportproblem. Solange das Geld nicht in der Bank ist, sind die Tankstellen verantwortlich, und werden darum auch gerne überfallen. Aber die großen Automaten, die im Beton verankert sind, zu überfallen ist weniger attraktiv. Sobald das Geld in dem Automaten steckt, ist die Bank dafür verantwortlich.  

Aber dieses System ist so komplex und auch durch Regularien gebunden, weil auch beispielsweise Kreditkartendaten gespeichert sein können, dass für spezielle Security gesorgt werden muss. Deshalb ist da eine Firewall drin. Das könnte in jeder Supermarktkassa auch der Fall sein. Die Regularien sehen vor, dass dann jede einzelne Kassa mit einer Firewall ausgestattet sein muss. Es gibt ein paar Treiber in der Digitalisierung, die einen ganzen Rattenschwanz an Dingen nach sich ziehen. Wo immer IT stattfindet, muss auch IT-Security stattfinden. Was man sieht ist eine massive Einzelvernetzung. Früher ist man davon ausgegangen, dass man in einem Supermarkt nicht acht Firewalls in einem gemeinsamen Netz braucht. Aber die vielen verschiedenen Geräte in einem Supermarkt müssen nicht notwendigerweise zusammengehören. Die Software-Defined-Backbox und der Software-Defined-Tiefkühlschrank werden nicht vom Supermarktbetreiber gemanagt, sondern vom jeweiligen Anbieter. Die haben nichts miteinander zu tun. Das sind die fundamentalen Treiber, an die sich Firewalls in dieser Welt anpassen müssen.  

Die Frage lautet nicht, ob Firewalls grundsätzlich Dinge und Menschen beschützen können, sondern ob meine Managementsysteme und Betriebskonzepte stabil und skalierbar genug sind.  

Berühren wir damit nicht schon das Thema Security by Design?  

Es gibt Security by Design und Security by Architecture. Security by Design ist unausweichlich, wenn es um kleine Dinge geht. Mein "Lieblings-Digitalding" in letzter Zeit ist die digitale Mausefalle. Die wird über ein Low-Power-Funknetz angebunden, die Batterie hält ein Jahr. Ich habe das erst für eine Spielerei gehalten. Warum will jemand eine digitale Mausefalle? Ist das für den Heimanwender interessant? Nein. Aber in Wien gibt es tausende Mausefallen, die von professionellen Kammerjägern ausgelegt werden. Wenn die Falle zuschnappt, muss das Tier aus Seuchenschutzgründen innerhalb einer bestimmten Zeit entfernt werden. Deshalb fährt ein Haufen Leute herum, um Mausefallen zu kontrollieren, die die meiste Zeit leer sind. Eigentlich wären sie da, um Mäuse einzusammeln. Wäre es nicht toll, wenn die Mäusefallen selbst sagen würden, welche abgefahren werden müssen? Da passt eine Firewall nicht rein. Es gibt viele solche Geräte, die eine Miniaturisierung des Designs erreicht haben, bei der sie selbst sicher sein müssen und vor allem auch in einem sicheren Betriebskonzept, Lifecycle-Management und Patch-Management eingebunden sein müssen.  

Es gibt natürlich auch eine große andere Klasse, bei der Security nicht so einfach ist und die Möglichkeit die Geräte upzudaten nur sehr eingeschränkt ist. Bei Industriekontrollsystemen oder auch bei der bereits erwähnten Software-Defined-Tiefkühltruhe ist es nicht so klar, ob und wann ein Update gemacht wird, wenn die nächsten Schwachstellen in der SSL-Implementierung auftauchen sollten. Da heißt es dann: "Moment, bevor wir unsere Tiefkühltruhen updaten, brauchen wir noch unseren Qualitätssicherungs-Zyklus. Wir haben da draußen 27 verschiedene Modellgenerationen." Bevor dort etwas Neues freigegeben wird, kann es durchaus 30 bis 60 Tage dauern. Das ist keine Kategorie eines sicheren Betriebskonzeptes. Also muss man ein Element hinzufügen, dass dieses sichere Betriebskonzept für den eigentlich gefährdeten Teil übernimmt. Deswegen Security by Design und Security by Architecture. Was ganz schlimm ist, sind die kleinen Dinge, die schon draußen sind. Fernseher zum Beispiel. Wenn solche Dinge nicht by Design sicher gemacht worden sind, sind sie by Design unsicher. Nicht nur gefährdet, sondern auch gefährlich. Das hat man mit Mirai und anderen Botnetzen bereits gesehen.  

Sie haben gerade über den Industriebereich gesprochen. Ist es im Medizinbereich nicht noch schwerer? Wegen der vielen Bestimmungen und notwendigen Zertifizierungen für Medizinsoftware sind Updates ja nahezu unmöglich.  

Da gibt es Geräte, die ihre Steuerungspulte mit WLAN zum eigentlichen Gerät verbinden – unverschlüsselt. Wenn ich in zwei Jahren in ein Krankenhaus komme und die haben nicht mehr Firewalls als Patientenbetten, renne ich wieder raus. Dort will ich nicht geröntgt werden. Da kommt dann der Physiker durch. Das Problem ist: Wenn der Röntgenapparat sabotiert wurde, merkt man das nicht so schnell.   

Sie haben sich an der Universität mit Quantentechnologie beschäftigt. Finden Sie Quantenkryptografie immer noch spannend – auch aus beruflicher Sicht?  

Ja und nein. Einerseits ist es wahnsinnig interessant, aber aus merkwürdigen Gründen ist Quantenkryptografie nie wichtig geworden. Einerseits ist die Schwergewichtigkeit der tatsächlichen Implementierungen noch gewaltig. Manche meiner Studienkollegen sind jetzt Uni-Professoren und erklären mir oft, dass sie kurz vor dem Durchbruch stehen und dass das die Welt verändern wird. Aber es wartet niemand darauf. Wir haben uns vor zehn Jahren überlegt, ob wir dieses Geschäftsfeld beackern sollen, weil wir uns auskennen, haben aber dann die Finger davon gelassen. Es löst nämlich Probleme, die real kaum existieren. Es ist zwar wahnsinnig interessant, aber kaum wichtig. Die etablierte Kryptografie ist so unsichtbar und gut genug für alle praktischen Anwendungen. Ein kommerzieller Pull für Quantenkryptografie und Quantencomputer in der Breite ist nicht da. Microsoft, Google und Amazon investieren sehr wohl substanzielle Summen in Quantencomputer, das hat aber weniger kryptografische Gründe. Es ist nicht der Shor-Algorithmus, der Primzahl-Faktorisierungsvorteil, der Quantencomputer wirklich vorwärtsbringt. Wenn der Quantencomputer tatsächlich die Primzahl-Faktorisierung zustande brächte, müsste man Quantenkryptografie einsetzen um das zu überwinden. Das sieht aber nicht gut aus. Die Anzahl von Qubits, die man kohärent kontrollieren muss, um substanziell große Zahlen zu faktorisieren, ist substanziell groß. Nicht wahnsinnig groß, aber für die derzeitigen Ideen und Möglichkeiten zu groß. Es gibt aber ein paar andere Algorithmen, die der Quantencomputer kann, die sehr viel naheliegender sind. Einerseits gibt es Sortieralgorithmen, Suchalgorithmen die schneller sein können, aber der wahrscheinlich große Anwendungsfall wird Quantensimulation sein, konkret vermutlich in der Pharmazie: Wirkstoffanalysen und Wirkstoffdesign. Wie schnell kann man feststellen, ob ein gewisses Molekül tatsächlich gewisse Eigenschaften hat? Interagiert es mit gewissen Neurotransmittern und Enzymen oder nicht und wie kann man es herstellen? Diese Dinge können Quantencomputer simulieren. In dieses Feld massiv zu investieren rentiert sich – vor allem für Microsoft, Google oder Amazon. Solche Dinge anbieten zu können, kann massive Konkurrenzvorteile beim Kampf um die Hegemonie der Cloudplattformen schaffen.

Mehr Artikel zum Thema: Security Interview

Barmherzige Brüder auf neuestem Stand der Technik

In den Datacentern der Barmherzigen Brüder wurde eine neue...

Weiterlesen

NIS: Im Schatten der DSGVO

Auch wenn in der öffentlichen Wahrnehmung derzeit die...

Weiterlesen

NTT Security und ThreatQuotient kooperieren

NTT Security, das auf Cyber-Sicherheit spezialisierte...

Weiterlesen

Für einen "IoT-Security-Standard"

Für die IT war es ein Schock, als Ende 2016 massive Angriffe...

Weiterlesen

10 Sicherheitstipps für die Public Cloud

Palo Alto Networks hat zehn Sicherheitstipps...

Weiterlesen

Google Glass: Auf den Kopf gestellt

Mit der Enterprise Edition von Google Glass wagt das...

Weiterlesen

Know-how vom Wiener Rennweg ist extrem gefragt

Letztes Jahr wechselte Peter Lenz von der ÖBB in die...

Weiterlesen

Change Your Password Day

Am 1. Februar ist "Change Your Password Day": Ein guter...

Weiterlesen

it-sa 2018 mit neuen Partnern

2018 erweitern das Sicherheitsnetzwerk München und die...

Weiterlesen

"Schirm-Herrschaft" in Österreich

Marco Zaia-Eichberger ist Head of Technics, IT & Scheduling...

Weiterlesen

Keine IT-Sicherheitsstrategien in Österreich

Laut einer Studie von PwC haben 84 Prozent der...

Weiterlesen

7 goldene Regeln für Sicherheit auf Mobile Devices

Es ist ohne großen Aufwand möglich, mobile Geräte im...

Weiterlesen

Der Versuch, den Menschen nachzubauen

Schahram Dustdar ist Professor der Informatik an der TU Wien...

Weiterlesen

Trend Micro: Unterschweiger ist ACH-Chef

Michael Unterschweiger verantwortet seit Beginn des Jahres...

Weiterlesen

Aus der Schule direkt auf den Arbeitsmarkt

Mit dem Programm Fortinet Network Security Academy (FNSA)...

Weiterlesen

Prozessorlücken: Wer ist betroffen und was ist zu tun?

"Meltdown" und "Spectre" sorgen für Ratlosigkeit bei...

Weiterlesen

Alle Jahre wieder – kommt der DR-Test

Die Zeit zwischen Weihnachten und Neujahr ist für manche...

Weiterlesen

Gute Security-Vorsätze für 2018

Security-Hersteller ESET lenkt die Aufmerksamkeit auf drei...

Weiterlesen

Weihnachten - auch ein Fest für Hacker

Die Weihnachtsfeiertage sind auch für die IT-Security eine...

Weiterlesen