Interview Security

Interview - Helmut Leopold, AIT

Paradigmenwechsel

Bild: AIT
DI Helmut Leopold ist Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology.
Bild: AIT

Helmut Leopold beschäftigt sich am AIT Austrian Institute of Technology damit, wie man kritische Infrastrukturen für die Zukunft zuverlässiger und sicherer machen kann.

von: Rudolf Felser

Im Center for Digital Safety & Security des AIT Austrian Institute of Technology werden moderne Systeme entwickelt, um kritische Infrastrukturen im Kontext der umfassenden und globalen Vernetzung und Digitalisierung sicher und zuverlässig zu gestalten. Wir haben mit Helmut Leopold, dem Leiter des Centers, gesprochen.

Herr Leopold, mit der Vernetzung von Systemen in z.B. Industrie oder Verwaltung tun sich auch neue Gefahren auf, die es früher nicht gab. Reichen heutige IT-Security-Ansätze für den Schutz solcher Infrastrukturen aus?

Bisher übliche einfache Maßnahmen wie Virenschutz und Firewalls sind grundlegend wichtig und müssen unbedingt eingesetzt werden, aber um unsere digitalen vernetzten Systeme von morgen entsprechend vor Cyber Kriminalität und Terrorismus zu schützen ist ein grundlegendes Umdenken notwendig. Es braucht einen Paradigmenwechsel für unsere Schutzmaßnahmen, um unsere zukünftigen digitalen Infrastrukturen widerstandsfähig gegen die Bedrohungen von morgen zu machen. 

Gibt es neue Ansätze in der IT-Security für den Schutz dieser Infrastrukturen und wie sehen diese aus?

Um die Widerstandsfähigkeit von IT Systeme wesentlich zu erhöhen, sind vier Maßnahmen grundlegend wichtig:

  • Vorbeugungsmaßnahmen durch "Security by Design"; d.h. Berücksichtigung von Sicherheit und Datenschutz schon bei der Konzeption einer IT-Lösung und der damit verbundenen Geschäftsprozesse. Dabei sind geeignete Maßnahmen zum Schutz von Legacy-Systemen eine grundlegend wichtige Komponente.
  • Harmonisierung der prinzipiell widersprüchlichen Security- und Safety-Anforderungen. Safety-Anforderungen verlangen einen sehr kontrollierten Update-Prozess von SW, welcher im Widerspruch zu raschen SW-Updates aus Security-Anforderungen steht.
  • Neue Ansätze um Cyber-Attacken durch selbstlernende Maschinen (Künstliche Intelligenz) rasch zu erkennen. Durch künstliche Intelligenz kann ein IT-System in die Lage versetzt werden, sein eigenes Verhalten zu prüfen und so unvorhergesehene versteckte Angriffe durch eine Anomalieerkennung zu identifizieren.
  • Durch moderne Test- und Validierungs-Plattformen, sog. Cyber Ranges, können Systeme verifiziert werden aber auch Fähigkeiten von Experten für das System-Design aber auch den Betrieb trainiert und geschult werden.

Oft hört man davon, dass alte Systeme vernetzt ("digitalisiert") werden, die ursprünglich nicht dafür gedacht waren und deswegen Sicherheitslücken entstehen. Lösen sich diese Probleme vielleicht von selbst, wenn solche Systeme in der Industrie durch modernere ersetzt werden?

Die Thematik der Einbindung von existierenden technischen Systemen (sog. Legacy Systeme) in ein digitales, vernetztes aber dennoch hoch gesichertes IT-System ist eine grundlegende Anforderung für jeden Marktbereich. Aus technischen wie auch aus ökonomischen Gründen werden nie nur reine Green-Field-Implementierungen neuer Techniken möglich sein. Eine effektive Realisierung von digitalen industriellen Steuerungssystemen, vernetzte Produktion (Industrie 4.0), Internet der Dinge (IoT), etc. wird grundlegend davon abhängen, wenn wir auch Legacy Systeme in ein modernes Sicherheitskonzept einbinden können. Vor allem hier spielt ein wohl durchdachter "Security by Design"-Ansatz eine wichtige Rolle. Das AIT arbeitet z.B. an speziell entwickelten Security-Gateways um genau dieses Problem zu adressieren.

Auch die Bürgerinnen und Bürger sind immer vernetzter. Der Spagat zwischen dem Recht auf Privatsphäre einerseits und mehr Transparenz gegenüber Staat und Wirtschaft auf der anderen Seite wird immer schwerer. Denken Sie es gibt Wege bzw. wird Wege geben, diese Interessen miteinander zu vereinen? Oder muss der Einzelne sich darauf einstellen, immer "gläserner" zu werden?

Grundsätzlich müssen wir als Bürger damit umgehen lernen, dass wir alle gemeinsam ein viel "öffentlicheres Leben" gestalten müssen. D.h. jeder von uns selber gibt ohne Not und Druck von sich aus recht freizügig viel Privates preis und kommuniziert sehr offen mit vielen Menschen in der Welt. Dieses unbekümmerte Verhalten hat sich in der kurzen Technologieentwicklungszeit der letzten Jahre so entwickelt und passiert sicher auch oft sehr unreflektiert. Hier müssen wir umdenken und eine neue Verantwortung im Umgang mit der neuen Technologie lernen; d.h. eine Kultur der Kommunikation und des Informationsaustausches in unserer Gesellschaft entwickeln. Da ist sicher noch viel Diskussion, Aufklärung und Bewusstseinsbildung von uns allen gefragt – im Geschäftsbereich aber vor allem auch im privaten Lebensbereich.  Aus der Sicht der Technologieentwicklung arbeiten wir am AIT z.B. an neuen smarten Verschlüsselungstechnologien, welche es erlauben dem Benutzer die Hoheit über seine Daten wieder zurückzugeben, um einen selektiven Zugriff auf persönliche Daten in einer umfassend digitalen und vernetzten Welt zu erlauben – unter der Entscheidung jeder und jedes Einzelnen.

Ihre persönliche Einschätzung: Bewegen wir uns in Sachen IT und dem Schutz der Privatsphäre auf eine sicherere oder eine unsicherere Zeit zu?

Die neue Anstrengung der EU mit der Datenschutzrichtlinie und dem damit verbundenen Druck auf Hersteller, Serviceanbieter aber auch Benutzern IT-Systeme, Prozesse und Technik so zu bauen, dass wir wieder die Hoheit der Bestimmung über unsere individuellen Daten erhalten und sicherstellen, ist aus meiner Sicht eine richtige Richtung. Es liegt nun an uns, dass wir dies als Innovationstreiber benutzen, um im globalen Kontext modernste Lösungen und auch Technologien zu entwickeln. Denn am Ende kann es nur eine sich positiv entwickelnde Gesellschaft geben welche auf demokratische Grundprinzipien beruht und da sind die menschlichen Grundwerte auch im vernetzten Datenzeitalter das notwendige Fundament.

Mehr Artikel zum Thema: Interview Security

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Die Digitalisierungs-Reise der SVA

Die Sozialversicherungsanstalt der gewerblichen Wirtschaft...

Weiterlesen

Das Netzwerk sieht alles

Was haben moderne Netzwerke mit Gehirnen, heißen Herdplatten...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Zu viele Angriffspunkte? Veraltete Systeme?

Umfassende Security ist eine große Herausforderung. Dennoch...

Weiterlesen