Charl van der Walt von Orange Cyberdefense im Gespräch

Warum es gefährlich ist, zu schnell zu digitalisieren

Uhr
von Rodolphe Koller und Übersetzung: René Jaun, ahu

Charl van der Walt leitet den Bereich Security Research von Orange Cyberdefense. Im Gespräch am Rande des Insomni'hack sagt der ausgewiesene Experte, wie sich Cyberbedrohungen in den letzten Jahren entwickelten und warum er sich eine Verlangsamung bei der Digitalisierung wünscht.

Charl van der Walt, Head of Security Research bei Orange Cyberdefense, an der Veranstaltung Insomni'hack in Lausanne. (Source: Netzmedien)
Charl van der Walt, Head of Security Research bei Orange Cyberdefense, an der Veranstaltung Insomni'hack in Lausanne. (Source: Netzmedien)

Sie sind Head of Security Research bei Orange Cyberdefense. Was machen Sie konkret?

Wir sind ein Team von sechs Forschenden, die über verschiedene Länder verteilt sind. Ich selbst bin in Kapstadt, Südafrika, ansässig. Wir übernehmen eine globale Unterstützungsfunktion, indem wir Produktmanager über die Entwicklungen im Cyberbereich und die Bedrohungslage informieren, Inhalte für das Marketing bereitstellen und an Konferenzen teilnehmen. Wir forschen auf eigene Initiative, erhalten aber auch Aufträge von unseren Kollegen auf der Geschäftsseite, die etwa verstehen wollen, wie sich der Krieg in der Ukraine oder die künstliche Intelligenz auf die Bedrohungslage auswirken. Wir sind in der glücklichen Lage, über eine enorme Menge an Daten zu verfügen. Diese werden insbesondere durch Scans, Pen-Tests und andere Aktivitäten von Orange Cyberdefense auf der ganzen Welt gewonnen. Ein wichtiger Teil der Arbeit meines Teams besteht darin, diese Daten zu sammeln und Plattformen zu entwickeln, um sie zu organisieren und zu verstehen.

Basierend auf Ihren Daten und Erkenntnissen, was hat sich im Bereich der Cybersicherheit in den letzten fünf Jahren verändert?

Es gibt meines Erachtens mehrere wichtige Aspekte. Zunächst einmal hat sich die Wirkung geändert: Schwachstellen und Verwundbarkeiten haben echte Folgen. Was früher Teil der Fantasie war, ist heute Realität. Die Zahl der Vorfälle steigt rasant an. Früher konnten wir dies nachverfolgen, heute ist das nicht mehr möglich. Abgesehen vom Volumen der Angriffe ist auch das Ökosystem bösartiger Akteure gewachsen und stärker geworden. Diese Entwicklungen haben nicht nur finanzielle Folgen. Auch die Gesellschaft und jeder Einzelne sind davon betroffen. Es ist ein gewaltiger Wandel, der immer schneller vonstattengeht. Ich treffe IT-Fachleute und denke mir: Gestern noch verwalteten diese Leute Exchange-Server und ihr grösstes Risiko bestand darin, dass ihr CEO keinen Zugriff auf seine E-Mails hatte. Morgen schon ist das Schlimmste, dass ein Roboter mit einem Schneidbrenner auf einer Baustelle Amok läuft.

Zweitens hat sich die Innovationsfähigkeit bösartiger Akteure verändert. Damit meine ich nicht technologische Aspekte wie Malware oder Schwachstellen, sondern die kriminelle Innovationsfähigkeit. Neu ist die Art und Weise, wie Kriminelle ihre Aktivitäten monetarisieren, insbesondere die Erpressung. Die ganze Raffinesse dieses Geschäftsmodells besteht darin, Ihnen etwas wegzunehmen und es dann weiterzuverkaufen. Es ist ein äusserst mächtiges Modell, das echte Ökosysteme hervorbringt, die in grossem Massstab agieren können.

Drittens findet eine Militarisierung des Cyberbereichs statt. In allen Aspekten der Cybersicherheit finden sich heute die Spuren von Regierungsmassnahmen. Ich bemerkte dies erstmals, als einige bekannte Spezialisten nicht mehr an Konferenzen anzutreffen waren. Sie sind aus der akademischen Forschung oder der Industrie verschwunden und arbeiten nun irgendwo in einem Bunker. Viele der Cyber-Aktivitäten entwickeln sich derzeit im Untergrund, mit staatlicher Unterstützung und schwer vorstellbaren Budgets. Heute ist man bereit, 2,5 Millionen US-Dollar für eine einzige ausnutzbare Zero-Day-Lücke in Smartphones zu zahlen. Das sind Beträge, die die Spielregeln verändern. Sie führen dazu, dass ein ganzes Ökosystem an der Entdeckung von Schwachstellen arbeitet.

Eine vierte wichtige Veränderung schliesslich liegt in der Dynamik des Marktes mit dem Aufkommen von Tech-Riesen und einer Art Feudalisierung der Sicherheit, wie Bruce Schneier es ausdrückt. Anstatt selbst für unsere Sicherheit zu sorgen, beziehen wir sie von irgendeinem Tech-Giganten wie Google oder Microsoft. Im Gegenzug büssen wir Kontrolle, Autonomie und Privatsphäre ein.

Sie haben die zunehmenden Auswirkungen von Cyberangriffen auf die reale Welt angesprochen. Finden Sie, dass wir zu viel digitalisieren?

Ja, das finde ich tatsächlich. Dan Geer, ein brillanter Kopf und CISO bei In-Q-Tel, dem Cyber-Arm der CIA, erklärte einmal, dass er statt eines Smartphones ein klassisches Festnetztelefon benutze. Er findet, dass wir gewissermassen zu sehr von der Digitalisierung abhängig sind und wir darauf achten sollten, uns Optionen offenzuhalten, falls die digitalen Systeme versagen sollten. Wir sehen die Digitalisierung als Fortschritt, ohne die Richtung dieses Fortschritts zu hinterfragen.

Wie meinen Sie das?

Wenn ich mit unseren Kunden über die Risiken dieser Technologie spreche, antworten sie mir, dass das grösste Risiko darin bestehe, sie nicht einzuführen. Als ob die Technologie alles lösen würde und wir keine andere Wahl hätten, als uns zu fügen und sie schnell einzusetzen. Ich dagegen bin der Meinung, dass wir abwarten sollten und es viele gute Gründe für eine Verlangsamung gibt. Wenn man eine neue Technologie einsetzt, schafft man nicht nur technische Schulden, sondern investiert auch in eine bestimmte Richtung, und es ist dann sehr schwer, diese Richtung zu ändern. Dasselbe könnte ich übrigens auch über generative künstliche Intelligenz (GenAI) und ihr Produktivitätsversprechen sagen: Produktivität in welche Richtung? Wir müssen uns der Entscheidungen, die wir treffen, bewusst sein und manchmal auch schwierige Entscheidungen wagen. Ein Beispiel dafür ist, wenn man sich als Einzelperson entscheidet, nicht in sozialen Netzwerken aktiv zu sein.

Viele Sicherheitsvorfälle werden auf menschliches Versagen zurückgeführt: ein Benutzer, der auf einen Link klickt oder ein Administrator, der ein System falsch konfiguriert. Was halten Sie davon?

Man muss zwischen diesen beiden Fällen unterscheiden. Bei Konfigurationsfehlern ist es wichtig, dass diejenigen, die die Systeme verwalten, mit den Auswirkungen der Fehler konfrontiert werden, sodass sie "mehr um ihre Haut spielen", wie es jemand aus dem Publikum auf der Konferenz ausdrückte.

Anders verhält es sich mit dem Fehler des Benutzers: Hier setzt man vielerorts aktuell darauf, die User zu schulen, um ihre Fähigkeit zu verbessern, einen Phishing-Versuch zu erkennen. Dies führt letztlich dazu, dass Usern die Schuld gegeben wird und sie verantwortlich gemacht werden. Dies halte ich für weder ausreichend noch angemessen. Stattdessen sollten User mit Tools ausgerüstet werden, die ihnen helfen, Bedrohungen zu erkennen und Voreingenommenheit entgegenzuwirken.

Ein Beispiel findet sich in Microsoft Outlook. Es bietet ein Tool, das meine Nachricht fünf Minuten lang speichert, bevor sie gesendet wird. Das ist ein wirksames Mittel gegen voreiligen Reaktionismus.

Die Forschung im Bereich der Social-Engineering-Angriffe zeigt, dass wir ein Plateau erreicht haben bei dem, was wir selbst bewältigen können. Gleichzeitig stehen wir noch jeder Menge Vorfällen hilflos gegenüber. Oft ereignen sich diese im Kontext von Angst, Ablenkung oder Stress. Ich denke, es gibt andere Hebel, um die Sicherheit zu verbessern, als die Nutzer jedes Mal zu trainieren, wenn eine neue Betrugsmethode auftaucht.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

 

 

 

Webcode
CtM44Twc

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter

Passende Jobs