Interview Security

Interview - Helmut Leopold, AIT

Paradigmenwechsel

Bild: AIT
DI Helmut Leopold ist Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology.
Bild: AIT

Helmut Leopold beschäftigt sich am AIT Austrian Institute of Technology damit, wie man kritische Infrastrukturen für die Zukunft zuverlässiger und sicherer machen kann.

von: Rudolf Felser

Im Center for Digital Safety & Security des AIT Austrian Institute of Technology werden moderne Systeme entwickelt, um kritische Infrastrukturen im Kontext der umfassenden und globalen Vernetzung und Digitalisierung sicher und zuverlässig zu gestalten. Wir haben mit Helmut Leopold, dem Leiter des Centers, gesprochen.

Herr Leopold, mit der Vernetzung von Systemen in z.B. Industrie oder Verwaltung tun sich auch neue Gefahren auf, die es früher nicht gab. Reichen heutige IT-Security-Ansätze für den Schutz solcher Infrastrukturen aus?

Bisher übliche einfache Maßnahmen wie Virenschutz und Firewalls sind grundlegend wichtig und müssen unbedingt eingesetzt werden, aber um unsere digitalen vernetzten Systeme von morgen entsprechend vor Cyber Kriminalität und Terrorismus zu schützen ist ein grundlegendes Umdenken notwendig. Es braucht einen Paradigmenwechsel für unsere Schutzmaßnahmen, um unsere zukünftigen digitalen Infrastrukturen widerstandsfähig gegen die Bedrohungen von morgen zu machen. 

Gibt es neue Ansätze in der IT-Security für den Schutz dieser Infrastrukturen und wie sehen diese aus?

Um die Widerstandsfähigkeit von IT Systeme wesentlich zu erhöhen, sind vier Maßnahmen grundlegend wichtig:

  • Vorbeugungsmaßnahmen durch "Security by Design"; d.h. Berücksichtigung von Sicherheit und Datenschutz schon bei der Konzeption einer IT-Lösung und der damit verbundenen Geschäftsprozesse. Dabei sind geeignete Maßnahmen zum Schutz von Legacy-Systemen eine grundlegend wichtige Komponente.
  • Harmonisierung der prinzipiell widersprüchlichen Security- und Safety-Anforderungen. Safety-Anforderungen verlangen einen sehr kontrollierten Update-Prozess von SW, welcher im Widerspruch zu raschen SW-Updates aus Security-Anforderungen steht.
  • Neue Ansätze um Cyber-Attacken durch selbstlernende Maschinen (Künstliche Intelligenz) rasch zu erkennen. Durch künstliche Intelligenz kann ein IT-System in die Lage versetzt werden, sein eigenes Verhalten zu prüfen und so unvorhergesehene versteckte Angriffe durch eine Anomalieerkennung zu identifizieren.
  • Durch moderne Test- und Validierungs-Plattformen, sog. Cyber Ranges, können Systeme verifiziert werden aber auch Fähigkeiten von Experten für das System-Design aber auch den Betrieb trainiert und geschult werden.

Oft hört man davon, dass alte Systeme vernetzt ("digitalisiert") werden, die ursprünglich nicht dafür gedacht waren und deswegen Sicherheitslücken entstehen. Lösen sich diese Probleme vielleicht von selbst, wenn solche Systeme in der Industrie durch modernere ersetzt werden?

Die Thematik der Einbindung von existierenden technischen Systemen (sog. Legacy Systeme) in ein digitales, vernetztes aber dennoch hoch gesichertes IT-System ist eine grundlegende Anforderung für jeden Marktbereich. Aus technischen wie auch aus ökonomischen Gründen werden nie nur reine Green-Field-Implementierungen neuer Techniken möglich sein. Eine effektive Realisierung von digitalen industriellen Steuerungssystemen, vernetzte Produktion (Industrie 4.0), Internet der Dinge (IoT), etc. wird grundlegend davon abhängen, wenn wir auch Legacy Systeme in ein modernes Sicherheitskonzept einbinden können. Vor allem hier spielt ein wohl durchdachter "Security by Design"-Ansatz eine wichtige Rolle. Das AIT arbeitet z.B. an speziell entwickelten Security-Gateways um genau dieses Problem zu adressieren.

Auch die Bürgerinnen und Bürger sind immer vernetzter. Der Spagat zwischen dem Recht auf Privatsphäre einerseits und mehr Transparenz gegenüber Staat und Wirtschaft auf der anderen Seite wird immer schwerer. Denken Sie es gibt Wege bzw. wird Wege geben, diese Interessen miteinander zu vereinen? Oder muss der Einzelne sich darauf einstellen, immer "gläserner" zu werden?

Grundsätzlich müssen wir als Bürger damit umgehen lernen, dass wir alle gemeinsam ein viel "öffentlicheres Leben" gestalten müssen. D.h. jeder von uns selber gibt ohne Not und Druck von sich aus recht freizügig viel Privates preis und kommuniziert sehr offen mit vielen Menschen in der Welt. Dieses unbekümmerte Verhalten hat sich in der kurzen Technologieentwicklungszeit der letzten Jahre so entwickelt und passiert sicher auch oft sehr unreflektiert. Hier müssen wir umdenken und eine neue Verantwortung im Umgang mit der neuen Technologie lernen; d.h. eine Kultur der Kommunikation und des Informationsaustausches in unserer Gesellschaft entwickeln. Da ist sicher noch viel Diskussion, Aufklärung und Bewusstseinsbildung von uns allen gefragt – im Geschäftsbereich aber vor allem auch im privaten Lebensbereich.  Aus der Sicht der Technologieentwicklung arbeiten wir am AIT z.B. an neuen smarten Verschlüsselungstechnologien, welche es erlauben dem Benutzer die Hoheit über seine Daten wieder zurückzugeben, um einen selektiven Zugriff auf persönliche Daten in einer umfassend digitalen und vernetzten Welt zu erlauben – unter der Entscheidung jeder und jedes Einzelnen.

Ihre persönliche Einschätzung: Bewegen wir uns in Sachen IT und dem Schutz der Privatsphäre auf eine sicherere oder eine unsicherere Zeit zu?

Die neue Anstrengung der EU mit der Datenschutzrichtlinie und dem damit verbundenen Druck auf Hersteller, Serviceanbieter aber auch Benutzern IT-Systeme, Prozesse und Technik so zu bauen, dass wir wieder die Hoheit der Bestimmung über unsere individuellen Daten erhalten und sicherstellen, ist aus meiner Sicht eine richtige Richtung. Es liegt nun an uns, dass wir dies als Innovationstreiber benutzen, um im globalen Kontext modernste Lösungen und auch Technologien zu entwickeln. Denn am Ende kann es nur eine sich positiv entwickelnde Gesellschaft geben welche auf demokratische Grundprinzipien beruht und da sind die menschlichen Grundwerte auch im vernetzten Datenzeitalter das notwendige Fundament.

Mehr Artikel zum Thema: Interview Security

Doppelt gemoppelt schützt besser

Die neue Datenschutzgrundverordnung kennt kein Pardon: Neben...

Weiterlesen

Cyberangriffs-Simulation aus der Cloud

BreakingPoint Cloud ist eine SaaS-Lösung, mit der man seine...

Weiterlesen

Sicherheitsrisiko Fachkräftemangel

Die Bekämpfung von Wirtschaftskriminalität im digitalen...

Weiterlesen

Atos will Gemalto

Insgesamt würde sich der IT-Dienstleister den...

Weiterlesen

Sicherheit bleibt bei der Digitalen Transformation nahezu unberücksichtigt

Eine Vielzahl von Unternehmen beschäftigt sich momentan mit...

Weiterlesen

CA und Automic sind zusammengewachsen

Wir haben uns mit Günther Flamm, VP Area Services, seit 1999...

Weiterlesen

Digitalisierung darf kein Selbstzweck sein

Unter dem Motto "Wir machen das jetzt" erarbeitet adesso mit...

Weiterlesen

Hacking-Angriffe auf Flugzeuge

Wie vor kurzem bekannt wurde, hat es ein Team von...

Weiterlesen

5 Mythen der Datenverschlüsselung

Unternehmen sehnen sich nach Lösungen interne Daten so...

Weiterlesen

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

Sicherheit beginnt mit dem richtigen Passwort

Wie ein sicheres Passwort aussehen sollte, hat jeder schon...

Weiterlesen

Mitarbeiter sind Sicherheitsrisiko Nummer eins

Die größte Gefahr für die IT-Sicherheit eines Unternehmens...

Weiterlesen

Urbanski wechselt zu ESET

Der europäische IT-Security Hersteller ESET begrüßt einen...

Weiterlesen

Grois leitet Sophos-Niederlassung

Sophos hat Wolfgang Grois zum Country Manager für Österreich...

Weiterlesen

"Das Wichtigste ist: Probier‘s aus!"

Wie so oft stand am Anfang eine Entscheidung: Praktikum bei...

Weiterlesen

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen