Security Interview
Bild: RNF
Bei den Eltern von Wieland Alge, EMEA-Chef von Barracuda Networks, fehlte über Jahre das Verständnis dafür, was ihr Sohn beruflich macht. Dank Medienberichten über Botnets, Hacker & Co. ist das Thema aber mittlerweile in der gesellschaftlichen – und familiären – Mitte angekommen.
Bild: RNF

Interview - Wieland Alge, Barracuda Networks

Ischt des was g'hörigs?

Wieland Alge, General Manager EMEA von Barracuda Networks, spricht im Interview über sein "Lieblings-Digitalding", was ebendieses mit Security by Design zu tun hat und wieso Quantenkryptografie Probleme löst, die real nicht existieren.

von: Rudolf Felser

Der aus Vorarlberg stammende Wieland Alge hat an der Universität Innsbruck Physik studiert und im Jahr 2000 mit drei Kommilitonen das IT-Security-Unternehmen phion gegründet. 2009 wurde das Unternehmen an Barracuda Networks verkauft, als General Manager EMEA lenkt er aber weiterhin aus Innsbruck die regionalen Geschicke des Netzwerksicherheits-Spezialisten. Außerdem ist der erklärte Rugby-Fan auch für die Tiroler NEOS politisch aktiv.  

Im Interview mit monitor.at erzählt er unter anderem, wie es zur Unternehmensgründung kam, wie sich das Thema IT-Security technologisch und in der gesellschaftlichen Wahrnehmung in den letzten beiden Jahrzehnten entwickelt hat sowie unter welchen Umständen er postwendend wieder aus einem Spital rausrennen würde.  

Sie haben Physik studiert, dann gemeinsam mit drei anderen Physikern phion gegründet. Wie kommt man von der Physik zur IT-Security?  

Es gibt eine geschönte Version und eine brutale Wahrheit. Die brutale Wahrheit: Es war Hunger. Wir waren auf der Suche nach einer Perspektive. IT-Security hat sich damals eher zufällig ergeben. Wir haben uns auf der Uni mit IT beschäftigt und zum Beispiel aus Budgetgründen aus unseren Arbeitsplatzrechnern einen vernetzten Linux-Großrechner gemacht. Wir konnten uns die großen Rechenkisten nicht leisten und haben uns so unsere Kenntnisse über Netzwerkbetriebssysteme und Security angeeignet. Das daraus so schnell eine IT-Security-Produktfirma geworden ist, war eine Mischung aus Zufall und Notwendigkeit. Das sagen auch die Biologen immer, wenn man sie fragt wie das Leben entstanden ist.  

Hatten Sie in der Physik ein Spezialgebiet?  

Wir haben uns alle vier mit Quantenkryptografie, Quanteninformation, Quantencomputing beschäftigt. Damals war es noch nicht so fortgeschritten, aber es wurden die Grundlagen geschaffen. Eine sehr spannende Zeit.  

In den letzten 20 Jahren hat sich in der IT viel getan. Wie hat sich das Thema Security seit damals entwickelt?  

Netzwerksecurity und Infrastruktursecurity haben sich massiv entwickelt. Einerseits technologisch, andererseits aber auch aus gesellschaftlicher Sicht. Es war lange Zeit so, dass man kaum jemandem erklären konnte, was man tut. Meine Eltern haben es bis vor wenigen Jahren kaum verstanden und schon gar nicht ihren Freundinnen und Freunden erzählen können – was den Statusabgleich mehrerer Kinder schwierig macht. "Was macht der Wieland in diesem Tirol?" Aus Vorarlberger Sicht war ich ja quasi im Ausland. Meine Eltern hatten, weil ich ja "etwas mit Internet" gemacht habe, ein bisschen Angst, dass das nicht anständig ist. "Ischt des was g'hörigs?", haben sie gefragt. Das hat sich in den letzten sechs Jahren dramatisch geändert. Inzwischen kommen IT-Security-Probleme nicht mehr nur in irgendwelchen Nischenportalen vor, sondern sind normale Headlines bei orf.at und sogar bei krone.at. Das Thema hat Interesse und Eingang in ganz normale Alltagskonversationen gefunden, mit denen sich alle Menschen beschäftigen.  

Das war der gesellschaftliche Aspekt. Der technologische Aspekt ist, dass es damals sehr klar war, was wir schützen und auch wo das stattfindet. Es war lange Zeit so, dass es von vornherein klar war, wo Security-Systeme hinzustellen sind, es war klar wo IT-Systeme überhaupt stehen. Das hat sich mit der Zeit dramatisch geändert. Durch die massive Digitalisierungswelle, die gerade rollt, dringt IT in Bereiche vor, bei denen wir nicht gedacht hätten, dass dort jemals IT stattfinden wird. Ich bin ein bisschen verschrien, immer schon wilde Visionen gehabt zu haben, aber das Firewalls in Bussen zu finden sein werden, habe ich nicht vorhergesehen. Heute ist es normal, dass in Bussen vernetzte Komponenten eingesetzt werden, die selbstverständlich geschützt werden müssen. Noch vor wenigen Jahren war das ganz anders. Die Diskussion hat sich jahrelang um das selbe gedreht, die Technologieentwicklung war eindimensional: immer tiefere Analysemöglichkeiten des Verkehrs, der durch die Geräte geht. Das war spannend und interessant, aber vor ein paar Jahren habe ich mir gedacht, ich muss irgendwann etwas anderes machen. Wenn ich mich noch 10 bis 15 Jahre ausschließlich mit Analysemöglichkeiten von Protokollen beschäftigen muss, drehe ich durch.   

Wie wird sich das weiterentwickeln? Sind alte Securitykonzepte für eine vernetzte Welt ausreichend? Kann man einfach eine Firewall "hinklatschen" und sich sicher fühlen?  

Ja man kann, aber nicht nur eine, sondern tausende. Für kleinere Gemeinden wird es normal sein, mehr Firewalls als Einwohner zu haben, ein Spital wird mehr Firewalls als Patienten haben, in Supermarktfilialen wird es mehr Firewalls als Mitarbeiter geben. Man kann die Technologie "hinklatschen" und ist sicher, man muss aber wissen wo und wie viel. Alles deutet darauf hin, dass es sehr viel sein wird. Wir kommen immer wieder in Projekte, die in den nächsten zwei bis drei Jahren umgesetzt werden, wo 10.000 bis 20.000 Firewalls ganz normale Zahlen sind.  

Reden wir hier von einzelnen Firewalls?  

Es geht um sehr kleine Geräte. Die derzeitigen Trendsetter sind Retail-Ketten, speziell solche mit kleinen Filialen, wie zum Beispiel Calzedonia mit 4.000 Filialen und je einer Firewall. Bei der nächsten Welle kommen pro Filiale noch einige Firewalls dazu, beispielsweise für Kassasysteme, die in sich sehr viel intelligenter werden. Der Bankomat und die Kassa wachsen zusammen. Ein Riesenproblem für Banken ist, dass Bankomaten richtig teuer sind: Man muss Bargeld hinkarren, es dort sicher verwahren und es immer wieder nachfüllen. Es gibt heute die Möglichkeit, zum Beispiel an der Tankstelle auch Geld abzuheben. Dort steht ein Kassaautomat, bei dem die einen mit Bargeld bezahlen, so den Bankomaten befüllen und gleichzeitig das Verantwortungsproblem und Sicherheitsproblem der Tankstellen mitlösen. Tankstellen haben nach wie vor einen riesigen Bargeldbestand und ein Transportproblem. Solange das Geld nicht in der Bank ist, sind die Tankstellen verantwortlich, und werden darum auch gerne überfallen. Aber die großen Automaten, die im Beton verankert sind, zu überfallen ist weniger attraktiv. Sobald das Geld in dem Automaten steckt, ist die Bank dafür verantwortlich.  

Aber dieses System ist so komplex und auch durch Regularien gebunden, weil auch beispielsweise Kreditkartendaten gespeichert sein können, dass für spezielle Security gesorgt werden muss. Deshalb ist da eine Firewall drin. Das könnte in jeder Supermarktkassa auch der Fall sein. Die Regularien sehen vor, dass dann jede einzelne Kassa mit einer Firewall ausgestattet sein muss. Es gibt ein paar Treiber in der Digitalisierung, die einen ganzen Rattenschwanz an Dingen nach sich ziehen. Wo immer IT stattfindet, muss auch IT-Security stattfinden. Was man sieht ist eine massive Einzelvernetzung. Früher ist man davon ausgegangen, dass man in einem Supermarkt nicht acht Firewalls in einem gemeinsamen Netz braucht. Aber die vielen verschiedenen Geräte in einem Supermarkt müssen nicht notwendigerweise zusammengehören. Die Software-Defined-Backbox und der Software-Defined-Tiefkühlschrank werden nicht vom Supermarktbetreiber gemanagt, sondern vom jeweiligen Anbieter. Die haben nichts miteinander zu tun. Das sind die fundamentalen Treiber, an die sich Firewalls in dieser Welt anpassen müssen.  

Die Frage lautet nicht, ob Firewalls grundsätzlich Dinge und Menschen beschützen können, sondern ob meine Managementsysteme und Betriebskonzepte stabil und skalierbar genug sind.  

Berühren wir damit nicht schon das Thema Security by Design?  

Es gibt Security by Design und Security by Architecture. Security by Design ist unausweichlich, wenn es um kleine Dinge geht. Mein "Lieblings-Digitalding" in letzter Zeit ist die digitale Mausefalle. Die wird über ein Low-Power-Funknetz angebunden, die Batterie hält ein Jahr. Ich habe das erst für eine Spielerei gehalten. Warum will jemand eine digitale Mausefalle? Ist das für den Heimanwender interessant? Nein. Aber in Wien gibt es tausende Mausefallen, die von professionellen Kammerjägern ausgelegt werden. Wenn die Falle zuschnappt, muss das Tier aus Seuchenschutzgründen innerhalb einer bestimmten Zeit entfernt werden. Deshalb fährt ein Haufen Leute herum, um Mausefallen zu kontrollieren, die die meiste Zeit leer sind. Eigentlich wären sie da, um Mäuse einzusammeln. Wäre es nicht toll, wenn die Mäusefallen selbst sagen würden, welche abgefahren werden müssen? Da passt eine Firewall nicht rein. Es gibt viele solche Geräte, die eine Miniaturisierung des Designs erreicht haben, bei der sie selbst sicher sein müssen und vor allem auch in einem sicheren Betriebskonzept, Lifecycle-Management und Patch-Management eingebunden sein müssen.  

Es gibt natürlich auch eine große andere Klasse, bei der Security nicht so einfach ist und die Möglichkeit die Geräte upzudaten nur sehr eingeschränkt ist. Bei Industriekontrollsystemen oder auch bei der bereits erwähnten Software-Defined-Tiefkühltruhe ist es nicht so klar, ob und wann ein Update gemacht wird, wenn die nächsten Schwachstellen in der SSL-Implementierung auftauchen sollten. Da heißt es dann: "Moment, bevor wir unsere Tiefkühltruhen updaten, brauchen wir noch unseren Qualitätssicherungs-Zyklus. Wir haben da draußen 27 verschiedene Modellgenerationen." Bevor dort etwas Neues freigegeben wird, kann es durchaus 30 bis 60 Tage dauern. Das ist keine Kategorie eines sicheren Betriebskonzeptes. Also muss man ein Element hinzufügen, dass dieses sichere Betriebskonzept für den eigentlich gefährdeten Teil übernimmt. Deswegen Security by Design und Security by Architecture. Was ganz schlimm ist, sind die kleinen Dinge, die schon draußen sind. Fernseher zum Beispiel. Wenn solche Dinge nicht by Design sicher gemacht worden sind, sind sie by Design unsicher. Nicht nur gefährdet, sondern auch gefährlich. Das hat man mit Mirai und anderen Botnetzen bereits gesehen.  

Sie haben gerade über den Industriebereich gesprochen. Ist es im Medizinbereich nicht noch schwerer? Wegen der vielen Bestimmungen und notwendigen Zertifizierungen für Medizinsoftware sind Updates ja nahezu unmöglich.  

Da gibt es Geräte, die ihre Steuerungspulte mit WLAN zum eigentlichen Gerät verbinden – unverschlüsselt. Wenn ich in zwei Jahren in ein Krankenhaus komme und die haben nicht mehr Firewalls als Patientenbetten, renne ich wieder raus. Dort will ich nicht geröntgt werden. Da kommt dann der Physiker durch. Das Problem ist: Wenn der Röntgenapparat sabotiert wurde, merkt man das nicht so schnell.   

Sie haben sich an der Universität mit Quantentechnologie beschäftigt. Finden Sie Quantenkryptografie immer noch spannend – auch aus beruflicher Sicht?  

Ja und nein. Einerseits ist es wahnsinnig interessant, aber aus merkwürdigen Gründen ist Quantenkryptografie nie wichtig geworden. Einerseits ist die Schwergewichtigkeit der tatsächlichen Implementierungen noch gewaltig. Manche meiner Studienkollegen sind jetzt Uni-Professoren und erklären mir oft, dass sie kurz vor dem Durchbruch stehen und dass das die Welt verändern wird. Aber es wartet niemand darauf. Wir haben uns vor zehn Jahren überlegt, ob wir dieses Geschäftsfeld beackern sollen, weil wir uns auskennen, haben aber dann die Finger davon gelassen. Es löst nämlich Probleme, die real kaum existieren. Es ist zwar wahnsinnig interessant, aber kaum wichtig. Die etablierte Kryptografie ist so unsichtbar und gut genug für alle praktischen Anwendungen. Ein kommerzieller Pull für Quantenkryptografie und Quantencomputer in der Breite ist nicht da. Microsoft, Google und Amazon investieren sehr wohl substanzielle Summen in Quantencomputer, das hat aber weniger kryptografische Gründe. Es ist nicht der Shor-Algorithmus, der Primzahl-Faktorisierungsvorteil, der Quantencomputer wirklich vorwärtsbringt. Wenn der Quantencomputer tatsächlich die Primzahl-Faktorisierung zustande brächte, müsste man Quantenkryptografie einsetzen um das zu überwinden. Das sieht aber nicht gut aus. Die Anzahl von Qubits, die man kohärent kontrollieren muss, um substanziell große Zahlen zu faktorisieren, ist substanziell groß. Nicht wahnsinnig groß, aber für die derzeitigen Ideen und Möglichkeiten zu groß. Es gibt aber ein paar andere Algorithmen, die der Quantencomputer kann, die sehr viel naheliegender sind. Einerseits gibt es Sortieralgorithmen, Suchalgorithmen die schneller sein können, aber der wahrscheinlich große Anwendungsfall wird Quantensimulation sein, konkret vermutlich in der Pharmazie: Wirkstoffanalysen und Wirkstoffdesign. Wie schnell kann man feststellen, ob ein gewisses Molekül tatsächlich gewisse Eigenschaften hat? Interagiert es mit gewissen Neurotransmittern und Enzymen oder nicht und wie kann man es herstellen? Diese Dinge können Quantencomputer simulieren. In dieses Feld massiv zu investieren rentiert sich – vor allem für Microsoft, Google oder Amazon. Solche Dinge anbieten zu können, kann massive Konkurrenzvorteile beim Kampf um die Hegemonie der Cloudplattformen schaffen.

Mehr Artikel zum Thema: Security Interview

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

Digitalisierung ohne Open Source wäre nicht denkbar

"Wenn Sie sich die modernen Komponenten etwa im...

Weiterlesen

Auswirkungen der KI auf die Arbeitswelt

Die Digitalisierung und die neuen technologischen...

Weiterlesen

Eine der spannendsten Kombinationen der IT-Branche

Johannes Kreiner, Geschäftsführer der Sage GmbH, spricht im...

Weiterlesen

Snor neuer Director Security von A1 Digital

Ab sofort übernimmt Thomas Snor den neuen Security-Bereich...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

Die Wolken-Expertin von SAP

SAP hat kürzlich seine S/4HANA Cloud in Österreich gelauncht...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen