Gesprächsverlauf
Wie können sich Hersteller vor Datenicherheits-Risiken schützen, damit sie das Versprechen der Digitalisierung nutzen können, ihre Kosten zu senken und ihre Innovation zu fördern? Mein heutiger Gast ist ein Experte auf dem Gebiet der Cybersicherheit. Mike Crones war über ein Jahrzehnt bei MIT Lincoln Labs, einem Auftragnehmer im Verteidigungsbereich, tätig, wo er stellvertretender Chief Information Officer war. Er war Chief Information Officer bei Draper, einem Unternehmen, das Software für autonome Systeme entwickelt, die mit hochsensiblen Daten arbeiten. Und jetzt ist er CIO bei aPriori, wo er die Daten der Hersteller schützt, während sie in die und aus der Cloud und in die Hände von autorisierten Entscheidungsträgern gelangen. Er wird heute mit uns über die Sicherheitsbedrohungen sprechen, mit denen Hersteller konfrontiert sind, und darüber, was sie dagegen tun können. Mike Crones, herzlich willkommen zum Podcast.
Mike Crones: Danke, Leah. Ich weiß es wirklich zu schätzen, dass Sie sich heute Zeit für mich nehmen. Ich danke Ihnen.
Wer sind Sicherheitsbedrohungen?
Leah Archibald: Wenn ich mir Sicherheitshacker vorstelle, habe ich das Bild eines ruchlosen Taugenichts in einem schwarzen Kapuzenpulli im Kopf, der im Schatten steht. Aber wer ist es wirklich? Wer sind unsere Feinde, die es auf das produzierende Gewerbe abgesehen haben, und wonach suchen sie?
Mike Crones: Das ist eine gute Frage. Unsere Gegner in diesem Bereich sind vielfältig. Sie könnten vom Standpunkt des Wettbewerbsvorteils aus agieren und andere Unternehmen mit ähnlichen Produkten ins Visier nehmen – Marktführer, die dort bleiben wollen. Aber es könnten auch Nationalstaaten sein. Ein großer Teil der Produktion und der Technologie, die in diesem Bereich zum Einsatz kommt, mag zwar nicht als geheim eingestuft sein, kommt aber ausländischen Staatsangehörigen und Gegnern in aller Welt zugute. Die Möglichkeit, sich in die Lieferkette einzuschleichen und entweder Daten zu stehlen oder diese Daten so zu verändern, dass sie die Herstellbarkeit beeinträchtigen, ist ein großes Risiko.
Leah Archibald: Okay, wir betrachten also Bedrohungen innerhalb unserer Grenzen, vielleicht von Konkurrenten, und wir betrachten Bedrohungen außerhalb unserer Grenzen, vielleicht aus Gründen der nationalen Verteidigung. Und welche Art von Sicherheitslücken versuchen diese Leute auszunutzen?
Mike Crones: Die Lücken, die in der Regel am häufigsten ausgenutzt werden, sind auf einige der Grundlagen zurückzuführen. Der Mensch, ich sage es nur ungern, ist das schwächste Glied.
Leah Archibald: Oh-oh. Ich hatte gehofft, Sie würden jetzt sagen: „Hier ist ein Patch. Ich lade ihn auf Ihr System hoch und das war’s.“ Aber nein, Sie sagen mir, dass ich etwas tun muss.
Mike Crones: Ich denke, dass die technischen Aspekte am Ende des Tages eigentlich die einfachsten sind. Es sind wirklich das Verhalten und die Sorgfalt des Einzelnen in den Unternehmen, die enorm helfen oder schaden. Wenn Sie an Phishing-Angriffe denken, an den Erhalt einer gefälschten E-Mail und das Anklicken eines Links, der dann Ihr internes System kompromittiert und es einem Angreifer ermöglicht, in Ihr System einzudringen oder Malware einzuschleusen, dann hängt das alles miteinander zusammen. Wenn die Angreifer Sie persönlich dazu bringen, auf etwas zu reagieren und Sie zu einer Aktion zu bewegen, gelangen sie tatsächlich hinter diesen Vorhang.
Cyberangriffe, auf die Hersteller achten sollten
Leah Archibald: Phishing ist also eine der größten Bedrohungen für die Cybersicherheit. Worauf müssen Sie noch achten?
Mike Crones: Nun, Phishing führt zu Dingen wie der Kompromittierung von Konten und der Beschaffung bestimmter Arten von Informationen. Darüber hinaus gibt es Ransomware, bei der Leute eindringen, Konten kompromittieren und dann Daten verschlüsseln. Stellen Sie sich vor, dass dies in einem Unternehmen System für System geschieht. Dann wird es wirklich real. Die durchschnittlichen Kosten für die Behebung von Ransomware-Angriffen liegen heute zwischen drei und fünf Millionen Dollar. Das ist ziemlich billig. Die Behebung einer Sicherheitsverletzung, bei der es zu einem Datenverlust kommt, liegt wahrscheinlich im Bereich von 9 bis 10 Millionen Dollar. Sie müssen sich auch fragen, wenn Sie einen Ransomware-Angriff haben und ein Lösegeld zahlen und Ihre Daten zurückbekommen, was hat der Gegner mit den Daten gemacht? Und übrigens, sind sie immer noch in Ihrer Umgebung? Sind Sie bereit, das in zwei Wochen wieder zu tun?
Leah Archibald: Das sind Bedrohungen, mit denen jedes Unternehmen konfrontiert ist, unabhängig davon, ob es in der Produktion tätig ist oder nicht. Jedes Unternehmen, das Daten hat, macht sich Sorgen über die Bedrohungen durch Phishing und Ransomware. Aber für Hersteller gibt es eine zusätzliche Ebene der Sorge, wenn sie einen digitalen Zwilling erstellen, wenn sie eine digitale Produktionsumgebung haben und wenn sie sensible Geschäftsgeheimnisse in die Cloud stellen. Wie können sie diese Daten schützen? Ist das eine zusätzliche Sicherheitsebene?
Mike Crones: Ich denke, Compliance-Rahmenwerke sind großartig, aber sie sind nur der Anfang. Sie sorgen nicht dafür, dass man sicher ist, sondern dafür, dass man die Vorschriften einhält. Sie sorgen lediglich dafür, dass man die Vorschriften einhält. Man muss also zusätzliche Maßnahmen ergreifen, um den böswilligen Akteuren und den Bedrohungen, die es heute gibt, wirklich Einhalt zu gebieten. Ehrlich gesagt, betrachte ich die Einhaltung der Vorschriften als Grundlage und Fundament. Das sind die Grundpfeiler. Jetzt muss ich noch eine geheime Sauce darauf setzen – eine weitere Sicherheitsebene. Wie kann ich meinen Sicherheitsstapel und meine Haltung über die Konformitätsanforderungen hinaus differenzieren, so dass es für jeden Angreifer schwieriger wird, sie zu überprüfen? Ich denke, dass es erstens eine Kultur und eine Ausbildung in Sachen Sicherheit geben muss. Ich sage immer, dass Sicherheit ein Teamsport ist. Wir alle tragen die Last der Sicherheit.
Leah Archibald: Wir alle sind für die Verteidigung zuständig – nicht nur einer.
Mike Crones: Es sind alle. Wir haben heute diese Unternehmenskulturen: Wo endet die Arbeit und wo beginnt das Persönliche? Oder wo fängt das Persönliche an und wo hört die Arbeit auf? Man muss sicherstellen, dass sogar die eigene Sicherheitshygiene einwandfrei ist. Denn das ist ein interessanter Weg, wie das auch in ein Unternehmen einfließen kann.
Leah Archibald: Das ist wirklich interessant, denn eine der größten Innovationen in dieser Zeit des digitalen Wandels ist der verstärkte Zugriff der Arbeitnehmer auf sensible Daten. Wenn Daten in der Cloud gespeichert werden können, wenn sie zwischen Herstellern und Zulieferern ausgetauscht werden können, führt das zu einer Menge Innovation. Aber auch der Einzelne hat im Büro und zu Hause sowie in der Freizeit auf seinem Bürocomputer und im Büro auf seinem Privatcomputer Zugang zu sensiblen Daten. Sowohl die Vorteile als auch die Herausforderungen dieser neuen Umgebung wirken sich also auf das Sicherheitsrisiko aus.
Mike Crones: Ganz genau. Und deshalb muss es wieder auf den Mannschaftssport hinauslaufen. Bildung und Kultur sind also zwei der wichtigsten Dinge, um ein gutes Programm aufrechtzuerhalten und das Bewusstsein zu fördern. Man muss über die Grundlagen verfügen. Selbst wenn Sie ein kleines Unternehmen mit 20 Mitarbeitern sind, das einen Teil seines IT-Supports auslagert, sollten Sie sicherstellen, dass die Mitarbeiter die Grundlagen der besten Sicherheitsverfahren beherrschen. Scannen, Patchen, das sind die Grundlagen, die jeder tun sollte.
Wie man digitale Threads sicher hält
Leah Archibald: Ich kann mir vorstellen, dass Sie mit vielen Herstellern sprechen, die gerade erst anfangen, sich mit der digitalen Transformation zu beschäftigen. Sie fangen an, darüber nachzudenken, ihre Infrastruktur in die Cloud zu verlagern und sind verständlicherweise nervös dabei. Wie können Sie ihnen die Gewissheit geben, dass ihre Daten sicher sind und sie die Vorteile der digitalen Transformation nutzen können, ohne den ganzen Korb mit Eiern aufs Spiel zu setzen?
Mike Crones: Für mich ist es sehr wichtig, unseren Kunden gegenüber transparent zu sein und sicherzustellen, dass ich sie über potenzielle Risiken aufkläre, sie aber auch über die besten Praktiken und den Ansatz, den wir als Team bei aPriori verfolgen, um sie zu unterstützen und kontinuierlich zu verbessern, informieren kann. Sicherheit ist nie fertig. Sie ist eine sich ständig weiterentwickelnde Kunstform. Wir versuchen also sicherzustellen, dass unsere Grundlagen vorhanden sind, dass unsere Grundpfeiler fertig sind. Danach kommt es darauf an: Was machen wir, das uns ein bisschen anders macht? Was sind die Unterscheidungsmerkmale bei der Datensicherheit, bei der Sicherung unserer Anwendungen und unserer Infrastruktur, die uns so viel besser machen? Unser Fundament basiert auf den NIST-Richtlinien: National Institute of Standards and Technology. Wir stellen sicher, dass wir uns an Konformitätsrichtlinien wie SOC2, ISO 27001 und CMMC orientieren, um eine Roadmap und eine Plattform zu entwickeln, die unsere Kunden heute zufrieden stellt, aber auch sicherstellt, dass wir flexibel genug sind, um sie in die Zukunft mitzunehmen.
Leah Archibald: Und es ist ein bewegliches Ziel. Ich kann mir allerdings vorstellen, dass ein Unternehmen, das sich auf die digitale Transformation einlässt und einen Großteil seiner Prozesse in der Cloud abwickelt, flexibler mit Sicherheitsrisiken umgehen kann, als dies der Fall ist, wenn sich die Daten nur vor Ort befinden.
Mike Crones: Das ist wirklich interessant. Die Cloud hilft tatsächlich dabei, einen Teil dieser Automatisierung zu erleichtern. Aus der Perspektive der Cybersicherheit und der Einhaltung von Vorschriften gibt es wirklich großartige Firmen, die Ihnen dabei helfen können, die Grundlinien zu erreichen, egal ob Sie ein kleines oder ein großes Unternehmen sind. Es gibt viele großartige Ressourcen in der Branche, die Ihnen dabei helfen können.
Leah Archibald: Und ich kann mir vorstellen, dass, wenn man sich erst einmal die Mühe gemacht hat, einen Rahmen zu schaffen, der nicht nur die Einhaltung von Vorschriften, sondern auch die Sicherheit gewährleistet, dieser Rahmen skalierbar wird.
Mike Crones: Es wird modular. Wenn man kein Framework hat, spielt man die ganze Zeit Whack-a-Mole. Mit einem Rahmenwerk ist die Modularität gegeben, so dass man sich weiter entwickeln kann.
Leah Archibald: Ich sehe, dass Sicherheit und Rentabilität in Zukunft Hand in Hand gehen werden, so wie die laufende Überprüfung der Kosten Hand in Hand mit der Rentabilität geht.
Mike Crones: Das sind heute die Grundpfeiler. Es ist nicht länger eine optionale Sache oder etwas, das das Problem von jemand anderem ist.
Leah Archibald: Mike Crones, vielen Dank, dass Sie heute zu uns gekommen sind und uns ein wenig mehr Licht in die Sicherheitsbedrohungen bringen, denen die Hersteller ausgesetzt sind, und was wir dagegen tun können.
Mike Crones: Leah, ich danke Ihnen vielmals. Das war großartig, und ich weiß es wirklich zu schätzen, dass Sie sich heute Zeit genommen haben. Ich danke Ihnen.