Interview Security

Interview - Helmut Leopold, AIT

Paradigmenwechsel

Bild: AIT
DI Helmut Leopold ist Head of Center for Digital Safety & Security am AIT Austrian Institute of Technology.
Bild: AIT

Helmut Leopold beschäftigt sich am AIT Austrian Institute of Technology damit, wie man kritische Infrastrukturen für die Zukunft zuverlässiger und sicherer machen kann.

von: Rudolf Felser

Im Center for Digital Safety & Security des AIT Austrian Institute of Technology werden moderne Systeme entwickelt, um kritische Infrastrukturen im Kontext der umfassenden und globalen Vernetzung und Digitalisierung sicher und zuverlässig zu gestalten. Wir haben mit Helmut Leopold, dem Leiter des Centers, gesprochen.

Herr Leopold, mit der Vernetzung von Systemen in z.B. Industrie oder Verwaltung tun sich auch neue Gefahren auf, die es früher nicht gab. Reichen heutige IT-Security-Ansätze für den Schutz solcher Infrastrukturen aus?

Bisher übliche einfache Maßnahmen wie Virenschutz und Firewalls sind grundlegend wichtig und müssen unbedingt eingesetzt werden, aber um unsere digitalen vernetzten Systeme von morgen entsprechend vor Cyber Kriminalität und Terrorismus zu schützen ist ein grundlegendes Umdenken notwendig. Es braucht einen Paradigmenwechsel für unsere Schutzmaßnahmen, um unsere zukünftigen digitalen Infrastrukturen widerstandsfähig gegen die Bedrohungen von morgen zu machen. 

Gibt es neue Ansätze in der IT-Security für den Schutz dieser Infrastrukturen und wie sehen diese aus?

Um die Widerstandsfähigkeit von IT Systeme wesentlich zu erhöhen, sind vier Maßnahmen grundlegend wichtig:

  • Vorbeugungsmaßnahmen durch "Security by Design"; d.h. Berücksichtigung von Sicherheit und Datenschutz schon bei der Konzeption einer IT-Lösung und der damit verbundenen Geschäftsprozesse. Dabei sind geeignete Maßnahmen zum Schutz von Legacy-Systemen eine grundlegend wichtige Komponente.
  • Harmonisierung der prinzipiell widersprüchlichen Security- und Safety-Anforderungen. Safety-Anforderungen verlangen einen sehr kontrollierten Update-Prozess von SW, welcher im Widerspruch zu raschen SW-Updates aus Security-Anforderungen steht.
  • Neue Ansätze um Cyber-Attacken durch selbstlernende Maschinen (Künstliche Intelligenz) rasch zu erkennen. Durch künstliche Intelligenz kann ein IT-System in die Lage versetzt werden, sein eigenes Verhalten zu prüfen und so unvorhergesehene versteckte Angriffe durch eine Anomalieerkennung zu identifizieren.
  • Durch moderne Test- und Validierungs-Plattformen, sog. Cyber Ranges, können Systeme verifiziert werden aber auch Fähigkeiten von Experten für das System-Design aber auch den Betrieb trainiert und geschult werden.

Oft hört man davon, dass alte Systeme vernetzt ("digitalisiert") werden, die ursprünglich nicht dafür gedacht waren und deswegen Sicherheitslücken entstehen. Lösen sich diese Probleme vielleicht von selbst, wenn solche Systeme in der Industrie durch modernere ersetzt werden?

Die Thematik der Einbindung von existierenden technischen Systemen (sog. Legacy Systeme) in ein digitales, vernetztes aber dennoch hoch gesichertes IT-System ist eine grundlegende Anforderung für jeden Marktbereich. Aus technischen wie auch aus ökonomischen Gründen werden nie nur reine Green-Field-Implementierungen neuer Techniken möglich sein. Eine effektive Realisierung von digitalen industriellen Steuerungssystemen, vernetzte Produktion (Industrie 4.0), Internet der Dinge (IoT), etc. wird grundlegend davon abhängen, wenn wir auch Legacy Systeme in ein modernes Sicherheitskonzept einbinden können. Vor allem hier spielt ein wohl durchdachter "Security by Design"-Ansatz eine wichtige Rolle. Das AIT arbeitet z.B. an speziell entwickelten Security-Gateways um genau dieses Problem zu adressieren.

Auch die Bürgerinnen und Bürger sind immer vernetzter. Der Spagat zwischen dem Recht auf Privatsphäre einerseits und mehr Transparenz gegenüber Staat und Wirtschaft auf der anderen Seite wird immer schwerer. Denken Sie es gibt Wege bzw. wird Wege geben, diese Interessen miteinander zu vereinen? Oder muss der Einzelne sich darauf einstellen, immer "gläserner" zu werden?

Grundsätzlich müssen wir als Bürger damit umgehen lernen, dass wir alle gemeinsam ein viel "öffentlicheres Leben" gestalten müssen. D.h. jeder von uns selber gibt ohne Not und Druck von sich aus recht freizügig viel Privates preis und kommuniziert sehr offen mit vielen Menschen in der Welt. Dieses unbekümmerte Verhalten hat sich in der kurzen Technologieentwicklungszeit der letzten Jahre so entwickelt und passiert sicher auch oft sehr unreflektiert. Hier müssen wir umdenken und eine neue Verantwortung im Umgang mit der neuen Technologie lernen; d.h. eine Kultur der Kommunikation und des Informationsaustausches in unserer Gesellschaft entwickeln. Da ist sicher noch viel Diskussion, Aufklärung und Bewusstseinsbildung von uns allen gefragt – im Geschäftsbereich aber vor allem auch im privaten Lebensbereich.  Aus der Sicht der Technologieentwicklung arbeiten wir am AIT z.B. an neuen smarten Verschlüsselungstechnologien, welche es erlauben dem Benutzer die Hoheit über seine Daten wieder zurückzugeben, um einen selektiven Zugriff auf persönliche Daten in einer umfassend digitalen und vernetzten Welt zu erlauben – unter der Entscheidung jeder und jedes Einzelnen.

Ihre persönliche Einschätzung: Bewegen wir uns in Sachen IT und dem Schutz der Privatsphäre auf eine sicherere oder eine unsicherere Zeit zu?

Die neue Anstrengung der EU mit der Datenschutzrichtlinie und dem damit verbundenen Druck auf Hersteller, Serviceanbieter aber auch Benutzern IT-Systeme, Prozesse und Technik so zu bauen, dass wir wieder die Hoheit der Bestimmung über unsere individuellen Daten erhalten und sicherstellen, ist aus meiner Sicht eine richtige Richtung. Es liegt nun an uns, dass wir dies als Innovationstreiber benutzen, um im globalen Kontext modernste Lösungen und auch Technologien zu entwickeln. Denn am Ende kann es nur eine sich positiv entwickelnde Gesellschaft geben welche auf demokratische Grundprinzipien beruht und da sind die menschlichen Grundwerte auch im vernetzten Datenzeitalter das notwendige Fundament.

Mehr Artikel zum Thema: Interview Security

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Was können Unternehmen von der Tour de France lernen?

Während der 21 Etappen des Radrennens wurden laufend...

Weiterlesen

SEC Consult goes Silicon Valley

Das auf IT-Security spezialisierte IT-Beratungsunternehmen...

Weiterlesen

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

Digitalisierung ohne Open Source wäre nicht denkbar

"Wenn Sie sich die modernen Komponenten etwa im...

Weiterlesen

Auswirkungen der KI auf die Arbeitswelt

Die Digitalisierung und die neuen technologischen...

Weiterlesen

Eine der spannendsten Kombinationen der IT-Branche

Johannes Kreiner, Geschäftsführer der Sage GmbH, spricht im...

Weiterlesen

Snor neuer Director Security von A1 Digital

Ab sofort übernimmt Thomas Snor den neuen Security-Bereich...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

Die Wolken-Expertin von SAP

SAP hat kürzlich seine S/4HANA Cloud in Österreich gelauncht...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen