IT Security: Wir müssen das Bewusstsein auf CEO- und Aufsichtsratsebene schaffen

Sprecher: „heise meets …" – Der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen. „heise meets …" zu Gast heute in Frankfurt. Bei mir Holger Hügel von SecurityBridge und Holger Bruchelt von Microsoft.

Sprecher: Holger und Holger, ihr seid heute mein Dream Team. Was macht SecurityBridge mit Microsoft?

Holger Hügel: Im Wesentlichen natürlich ganz spannende Dinge. Zwei Welten zusammenbringen. Die SAP-Welt, die so speziell ist. So eine eigene Welt für sich. Und zu verbinden mit der Microsoft-Welt, die sehr generisch ist, sehr allgemein. Die ganzen Cyber-Security-Themen sind sehr gut in der Microsoft-Welt abgedeckt. Die SAP-Themen sind speziell und da liefern wir quasi den Mehrwert.

Sprecher: Mir würde es erst mal als SAP-Nutzer kalt den Rücken runterlaufen. Jetzt redet ihr mit den Winzigweichen. Bevor ich den zweiten Holger frage: Wie ist es dazu gekommen?

Holger Hügel: Im Prinzip haben wir uns einfach gefunden, wenn man so will, sicherlich auch durch Kunden. Die Kunden, die gesagt haben, liebe Microsoft, so die Standardmitteln einfach nur Daten von A nach B zu schieben, das gefällt uns nicht, das bringt auch nichts. Wir kennen da die SecurityBridge, sprecht doch mal mit denen und die kennen sich in SAP gut aus.

Sprecher: Und dann habt ihr gesagt, ja das machen wir, der zweite Holger:

Holger Bruchelt: ja auf jeden Fall, also wie der Holger gesagt hat, Microsoft ist im Security-Umfeld eigentlich sehr, sehr breit aufgestellt. Also ich würde anfangen mit Identity Management, Entra-ID oder ehemals Azure Active Directory. Ich glaube, da sind wir ein ganz klarer Standard inzwischen, muss man ganz klar sagen. Aber auch im Security-Umfeld, also wie schütze ich die ganze Infrastruktur, die ich habe? Und das fängt natürlich von deinem Windows-Rechner an oder so, in dem du dich anfällst, oder deine Server-Infrastruktur.

Sprecher: Woher weißt du, dass ich einen Windows-Rechner habe?

Holger Bruchelt: Das war ein... Wahrscheinlichkeitsrechnung. Genau, aber selbst mit Mac sind wir gut unterwegs, aber wir haben so einen holistischen Ansatz, Security im Unternehmen zur Verfügung zu stellen oder einzuführen. Natürlich machen wir auch SAP, also wir haben auch SAP-Konnektoren, aber wir greifen einfach generell auf die SAP-Logs zu, die wir zur Verfügung gestellt bekommen. Und das ist natürlich das Tolle mit SecurityBridge, dass wir über SecurityBridge angereicherte Daten bekommen. Und das ist natürlich ein ganz ganz tolles Ding eigentlich, also dass es eben ein Riesenunterschied ist, ob ein Benutzer eine VA02 aufruft oder eine SE16 aufruft im SAP-System. Also macht er was, was er tagtäglich immer seine Business-Arbeit macht oder macht der Benutzer jetzt auf einmal was, wo er Zugriff auf alle Tabellen im SAP-System hat.

Sprecher: Fragen wir mal den Experten, wo ist der Unterschied genau, bevor ich wissen will, welche Daten ihr zur Verfügung stellt. Wo ist dieser Unterschied genau zwischen den beiden Gründen.

Holger Hügel: Also der Unterschied ist im Wesentlichen ein technologischer Unterschied, wie wir integrieren. Das ist weniger spannend, aber im Prinzip geht es darum, wenn man standardmäßig integriert heute in generelle SIEM-Lösungen, ist es so, dass man praktisch durch ein Nadelöhr Informationen durchschiebt. Das haben wir jetzt geändert. Wir haben eine native Integration, beziehungsweise Microsoft hat uns eine neue Möglichkeit zur Verfügung gestellt, dass wir viel mehr Daten in die Microsoft-Welt überführen können. Automatisiert überführen können und so dass Microsoft all diese Zusatzinformationen hat. In der Vergangenheit war es so, wir haben nur ein Minimum an Informationen übertragen und wenn jemand in die Details gehen wollte, musste er immer da reinsteigen, müsste quasi per Link dann zu uns reingehen und da sind die Details drin.

Sprecher: Nach Big Brother kommt jetzt Little Brother oder ist es umgekehrt?

Holger Hügel: Ich denke mal, es ist eine gute Synergie in beiden Richtungen, weil wir wollen ja in Zukunft ja auch selber davon profitieren von dieser Integration, indem wir beispielsweise die Identity, was praktisch ein Hoheitsgebiet der Microsoft Entry, wurde ja schon erwähnt, dass wir die Informationen, die dahinter liegen, auch bei uns nutzen. Weil man kann ja in beiden Richtungen manchmal sehr interessante Use Cases abbilden. Man denke auch nur an das Thema sogenanntes Step-out Authentication oder Step-up MFE. Was heißt das? Das ist, dass man nur dann aufgerufen wird, quasi sich zusätzlich zu authentifizieren, wenn kritische Dinge passiert sind oder man versucht, kritische Dinge zu machen, so wie gerade erwähnt, kritische Transaktionen aufzurufen, oder ungewöhnliche Transaktionen. Und was ist ungewöhnlich?

Sprecher: Eben, was ist ungewöhnlich? Was ist ungewöhnlich?

Holger Hügel: Und dafür braucht es Daten. Damit ich ungewöhnlich erkennen kann, muss ich wissen, was normal ist.

Sprecher: Das bringt mich zu der Frage, was stellt ihr jetzt zur Verfügung? Was sind diese ungewöhnlichen Daten? Wie unterscheidet ihr die von möglicherweise gewöhnlichen?

Holger Hügel: Die Unterscheidung passiert erstmal aufgrund von Regeln. Das ist nicht unbedingt KI, braucht es auch nicht, weil jeder SAP-Security-Experte weiß, was kritisch ist und erkennt auch die Zusammenhänge zwischen verschiedenen Schritten. Das ist bei uns eigentlich schon immer abgebildet gewesen. Wir stellen das jetzt nur in einem größeren Kontext her und wir sehen zum Beispiel nicht, dass derselbe User vorher per E-Mail schon kompromittiert wurde. Diese Information haben wir nicht, die Information hat aber Microsoft und wenn man natürlich aus dem SAP-Kontext plus den Microsoft-Kontext zusammenstellt und zusammenlege, wird ein Schuh draus und dann kann ich auch jemanden identifizieren und das Schwierigste ist, den sozusagen missbrauchten User zu identifizieren. Also jemand operiert mit meinen Credentials sozusagen in einem SAP-System und keiner merkt das, weil ich habe ja alle Rechte, ich verhalte mich ja normal.

Sprecher: Holger, müssen die SAP-Jungs jetzt dazulernen, weil sie immer gedacht haben, hey, in unserem Kosmos sind wir so schön sicher und jetzt kommst du und sagst, Freunde, das ist nicht so, ich erkenne die Mail, die der vorher schon gekriegt hat, die kompromittiert ist?

Holger Bruchelt: Also meiner Meinung nach ist das genau der Punkt, weil der Hacker, der fängt ja nicht im SAP GUI an, also in den wenigsten Fällen oder im SAP Fiori Screen, in den wenigsten Fällen ist das ja der Einstiegspunkt, sondern der Hacker hat ja davor schon unheimlich viel gemacht. Und wenn ich jetzt nur Security im SAP-Kontext anschaue, ja, dann ist das sicher gut und irgendwann mal erkenne ich sicherlich auch, dass jetzt jemand da war. Aber viel spannender ist doch, wenn ich schon den Weg dahin erkenne, wenn ich sehe, oh, da kam eine Phishing-Email rein und eben ein schönes Beispiel ist, eine Phishing-Email kommt ins Unternehmen rein und 100 Leute klicken nicht drauf, aber der eine, der klickt drauf.

Sprecher: Der Depp nutzt Outlook.

Holger Bruchelt: Das hat nichts mit Outlook zu tun und Depp würde ich auch nicht sagen, sondern ganz im Gegenteil, die Phishing-Emails sind inzwischen so, so gut, also dank AI oder unglücklicherweise dank AI sind die E-Mails, die Phishing-Emails inzwischen so so gut, dass es wirklich schwer ist, die zu erkennen. Und dann macht es keinen Unterschied, ob ich das mit Outlook oder mit irgendwelchen anderen E-Mail-Clients mache. Irgendeiner im Unternehmen klickt versehentlich drauf. So und jetzt ist er im Unternehmen. Das heißt ja noch nicht mal, dass er jetzt im SAP ist, sondern jetzt fängt er an und geht vielleicht über irgendwelche Fall-Shares oder so oder holt sich über irgendwelche anderen Informationen immer mehr Wissen und irgendwann mal geht er jetzt ins SAP-System. Und wenn ich jetzt aber über sowas wie Sentinel eben diesen ganzen Attack-Vektor schon mitverfolgen konnte, dann kann ich viel viel schneller reagieren und kann an ihm sehen, oh jetzt hat er im SAP-System eine Transaktion aufgerufen, die er sonst nie aufgerufen hat. Und jetzt schalte ich ihn dann sofort still. Jetzt starte ich sofort eine Aktion, dass ich den User sperre oder dass ich ihn auch im Entra sperre oder was auch immer, dass ich jetzt Gegenmaßnahmen einleite.

Sprecher: Dann sagt der eine Holger zum anderen Holger, juhu jetzt habe ich die Daten und was machst du jetzt damit, Holger Hügel?

Holger Hügel: Ich kann ja auch auf SAP-Ebene einen Benutzer sperren. Also es ist jetzt immer die Frage, wer erfasst das als erstes und wer kann sofort reagieren, weil das trotzdem, es ist ja asynchron, also das Thema Realtime, das existiert in der SAP-Welt nicht. Es passiert alles asynchron und dann muss ich einfach schnell sein und dann zählt jede Sekunde und derjenige, der am schnellsten dran ist, macht es halt. Und es ist völlig egal, man muss das Ganze vom Prozess her dann überlegen, wie man das Ganze steuern möchte. Es kommt jeder Kunde, der SAP Schwerpunkt, die anderen weniger, je nachdem, aber entscheidend ist, der User ist momentan, wenn man so will, wenn man sich überlegt, wo kommen die Schwachstellen her, der User ist die größte Schwachstelle in einem Unternehmen und ich glaube gerade im aktuellen globalen Kontext hat man gesehen, wie User leichtfertig mit sehr kritischen Informationen, auch geheimdienstlichen Informationen über irgendwelche komischen Kanäle austauschen.

Den User kann man nicht trauen und wenn man überlegt, auch das war ein klassisches Prinzip oder klassische Regel, die schon seit Jahren gilt, Zero Trust. Und Zero Trust bedeutet im täglichen Umgehen zwischen Menschen und Maschine, heißt, dass ich eben Multi-Factor-Authentication habe, das ist ein wichtiger Schritt. Aber damit belästige ich ja wieder die Leute, wie jeder weiß, ich muss jetzt mich jedes Mal überall anmelden. Kann ich das auch smart machen? Kann ich auch von der Softwareseite erkennen? Ja, er macht nur das Normale. Man muss jetzt nicht noch einmal den Authenticator aufmachen und sich dann noch einmal bestätigen. Aber in dem Augenblick, wo er das schon noch nie gemacht hat oder wo andere Signale, zum Beispiel dieser User ist gar frisch angelegt, der hat noch nie was vorher gemacht. Da müssen die Alarmglocken sofort...

Sprecher: Auf einmal meldet er sich nachts um drei in Singapur an.

Holger Hügel: Genau, genau, genau. Oder es meldet sich jemand in Singapur in dem eigenen Namen, bei irgendeinem anderen. Man denke nur an den MGM-Fall, der vor eineinhalb Jahren da war. Das war ein Mensch, der einen Fehler gemacht hat. Nicht eine Maschine, sonst gar nicht. Jemand hat einem Fake-Anruf getraut und alles andere waren Folgefehler. Der hat plötzlich die Identity gehabt und danach durfte er machen, was er will. Und das ist ja auch trotzdem spannend für uns. SAP Security ist da, um den Schaden auch zu minimieren. Also geht man davon aus, dass es trotzdem erfolgreich war der Angriff. SAP Security sorgt dafür, dass der Schaden auch dann minimal ist. Überhärtung, über sonstige Maßnahmen mache ich sozusagen die Schleusen dicht.

Also ähnlich wie bei der Titanic, eigentlich quasi unsinkbar. Dummerweise wurden viele, viele solcher Shots dann geflutet und das hat man heute, wenn man kein SAP Security einführt. Die Shots sind immer alle offen und das Wasser geht dann einfach komplett durch. Mit SAP Security minimiere ich den Schaden und erkenne möglichst schnell den Angreifer und ich kann ihn eliminieren, ob ich ihn sperre, ob ich seine IP-Adresse zumache auf der Firewall, all diese Dinge können dann passieren und diese Dinge müssen maschinell gemacht werden. Es darf kein Mensch dazwischen, der wäre viel zu langsam.

Sprecher: Liebe Freunde des gehobenen Geschmacks, bis dahin gehe ich mit euch mit. Aber wir reden ja schon länger darüber, dass der Fehler, die Hauptfehlerquelle an der Tastatur sitzt. Wie schnell könnt ihr sein, in Bruchteilen von Sekunden, in mehreren Minuten, wie schnell könnt ihr sein, um den Fehler vor der Tastatur auszunutzen? Microsoft, Holger.

Holger Bruchelt: Also wir müssen natürlich die Logs erstmal haben, dann müssen wir das entsprechend klassen. Vergehen ein paar Minuten. Kann sein, ja, also durchaus. Also ja, es gibt den Real-Time-Access, aber kann trotzdem natürlich manchmal eine gewisse Zeit vergehen, bis ich dann die Information habe und daraus die entsprechenden Schlüsse ziehen kann. Also wir versuchen es möglichst Real-Time, aber wenn was passiert, das ist immer besser, du hast vorhin von Zero-Trust gesprochen, wenn ich das schaffen kann, also zum Beispiel ich bei Microsoft, ich habe keine Ahnung mehr, wie mein Passwort heißt.

Sprecher: Ich kenne deins auch nicht, guck mich nicht so Fragen an.

Holger Bruchelt: Aber das ist doch das Tolle, ich weiß nicht mehr, wie mein Passwort ist, weil ich mich eben mit anderen Mitteln inzwischen an meinem Rechner anmelde. Und je mehr wir über Passkey und diese ganzen Mechanismen reden, desto sicherer werden die Systeme. Ich sage nicht hundertprozentig sicher, aber sie werden sicherer und das ist natürlich der erste Schritt, den wir mehr und mehr versuchen müssen, wirklich dieses Zero-Trust-Prinzip nicht nur bei Windows und sonst, sondern eben auch in die hinterliegenden Systeme mit rein zu bringen.

Wenn dann was passiert, dann haben wir die Möglichkeit jetzt bei uns speziell im Sentinel-Umfeld über Runbooks automatisiert gewisse Prozesse sofort zu triggern. Also wenn wir sagen können, nee dieses Login ist so unwahrscheinlich, dann können wir den Benutzer zum Beispiel automatisiert, also wenn der Kunde das will, sofort sperren. Und dann sperren wir ihn im EntraID, dann sperren wir im SAP-System, sodass er dann sich nicht mehr weiter bewegen kann. Natürlich kann es dann sein, dass es ein false positive war. Okay, dann ist es ein bisschen ärgerlich, dann müssen wir den Benutzer wieder entsperren, aber wenn wir einfach gewisse Schwellen sagen, ne, bei dem glauben wir, es ist so, dann können wir automatisiert reagieren.

Das ist genau, was der Holger gesagt hat. Dann ist der Mensch nicht mehr drin. Das heißt, dieser menschliche Faktor, der noch mal eine Stunde braucht oder sowas, bis er reagieren kann, das ist weg. Aber ganz 100 Prozent Real-Time und ganz sicher wird es nie sein. Also da ist immer ein gewisser Delay dahinter.

Sprecher: Wird es nie sein? Oder seid ihr optimistisch, dass wenn wir dieses Gespräch beispielsweise in zwei, drei, vier Jahren führen, dann sind wir schon so nah dran an dem, was wir wollen? Also Bruchteile von Sekunden?

Holger Hügel: Das ist auch nicht unbedingt unser Ziel, möglichst nah an die 100% sein. Unser Ziel ist möglichst die Vielfalt, also SAP Security heißt nicht nur Monitoring. SAP Security heißt, ich muss auch schauen, dass ich Patches, die monatlich von der SAP kommen, rechtzeitig einspiele. Ich muss auch schauen, dass ich in meinen eigenen Entwicklungen, das ist typisch für SAP, keine, nicht im Code, Schwachstellen habe und diese beseitige. Ich muss auch gucken, SAP hat Tausende von Parametern, dass die alle sicher eingestellt sind.

Auf all diesen Ebenen muss ich Sicherheit herstellen und das Niveau erhöhen. Wenn ich das gemacht habe, kann ich auch ein System gut verteidigen, weil es sind so viele Hürden, die einer nehmen müsste und es ist einfach unwahrscheinlich. Also die Wahrscheinlichkeit für einen erfolgreichen Angriff habe ich minimiert. Du hast ja das Beispiel gebracht, wir kennen die Passwörter heute gar nicht mehr. Das ist gut so. Ich kann sie auch nirgends eingeben. Ich würde auch nicht auf die Idee kommen, es irgendwo einzugeben, weil mich sonst das System niemals fragt. Das andere, wir haben auch ein Thema bei uns, das nennt sich Privileged Access Management. Das heißt, ich sollte auch nie mit höchsten Privilegien dauernd aktiv und unterwegs sein in meinem SAP-System.

Als Administrator bin ich ja exponiert. Es ist so leicht herauszufinden, wer Administrator in einem Unternehmen ist. Ich muss nur auf LinkedIn gehen und ich finde es heraus. Und dann habe ich schon ein Ziel und dann kann ich Phishing E-Mails gegen einzelne Personen und einmal in 10.000 Fällen wird er schon draufklicken, ich habe ihn schon dann irgendwie erwischt. Das sind die Fantasien ja grenzenlos.

Aber wenn ich als Administrator im Normalfall gar nicht die Rechte habe, sondern normaler User bin, bin ich harmlos und wenn ich schon kritische Dinge machen will, muss ich durch einen kompletten Prozess durch, also ich brauche zusätzliche Genehmigungen, ich kann das unterschiedlich gestalten. Ich habe zumindest noch wenigstens noch jemand anderes, der drauf schaut oder ich habe Systeme dann scharf geschaltet, sprich, wenn der Administrator sich einloggt, ist die Granularität der Meldungen gleich viel höher und ich protokolliere alles, was er macht, ich habe viel stärkere Einsicht.

Ich kann das nicht für 10.000 User gleichzeitig machen, da würde das SAP-System in die Knie gehen. Aber ich kann für ein paar User, die gerade aktiv sind, kann ich das sehr wohl machen. Und wenn ich jetzt auch noch den Bogen zurück spanne spielen und in Richtung Sentinel auch noch diese Daten reinbringen kann, dann habe ich natürlich noch viel mehr Möglichkeiten der Sichtbarkeit.

Sprecher: So wie du das eben beschrieben hast, wird sich die Rolle des Admins gravierend verändern? Holger Hügel, der SAP SecurityBridge Holger?

Holger Hügel: Ich hoffe, weil die Rolle heute eines SAP Admins ist nur bedingt mit SAP Security gefüllt. Die wenigsten verstehen das. Deswegen Teil unseres Ansatzes ist auch das Know-how zu übertragen, auch zusammen mit unseren Partnern von Schulungen, aber auch in der Software selber ist praktisch das Know-how in Form einer Knowledge Base und so weiter da drin. Das ist uns ganz wichtig.

Ob es der eine SAP-Administer dann Security-Spezialist wird oder Firmen eine eigene Abteilung dafür aufbauen, das bleibt den Firmen überlassen. Wichtig ist nur, dass sie verstehen, dass Security im SAP-Umfeld speziell ist, braucht extra Aufmerksamkeit und da gehören Projekte dahinter mit Budgets, damit das Ganze auch funktioniert. Es ist nicht einfach damit getan, dass man Firewall in meinem SAP-System drumherum schnallt. Damit ist kein SAP-System sicher.

Sprecher: Bis hierhin vielen Dank, meine Herren. Wir schauen mal, was Teilnehmer sagen und was denen so in der alltäglichen Praxis unter Nägeln brennt.

Teilnehmer 1: Man muss sich, glaube ich, bewusst machen, dass die Künstliche Intelligenz nicht nur den guten Menschen auf dieser Welt zur Verfügung steht, sondern auch die Bösen und die wissen auch gezielt, wie sie diese nutzen können, um dann entsprechenden Schaden anstellen zu können.

Teilnehmer 2: Wir müssen ja auch immer ein paar Jahre in die Zukunft blicken, was uns erwartet und wie wir uns darauf einstellen müssen und ganz tolle Informationen, die wir heute erhalten und wir werden einiges mitnehmen und unsere eigene roadmap packen.

Teilnehmer 3: Gerade in dieser SIEM-Geschichte, letztendlich die Analyse der Logs, die eingespielt werden, wo wir manuell oder beziehungsweise mit der SIEM-Geschichte zusammenarbeiten hinterherkommen, das mit AI abzufrühstücken, das ist auf jeden Fall interessant.

Teilnehmer 4: Virenschutz ist für uns auch nichts Neues an der Stelle, den gibt es natürlich, aber wie man auf aktive Elemente und so weiter reagiert und auch dynamisch vielleicht nicht bekannte, mit Signatur erkennbaren Viren erkennen kann, das sind natürlich Punkte, da denke ich, da ist noch Ausbaupotenzial da.

Sprecher: Dankeschön und weiter mit Holger und Holger, meine Herren. Was glaubt ihr, sind die Herausforderungen der Zukunft? Und sind die schon bei allen angekommen? Wir haben fast täglich mittlerweile Schlagzeilen, da ist was gehackt und so weiter. Ist das Thema Sicherheit generell nach eurer Einschätzung schon da, wo es hin muss?

Holger Bruchl: Nein, auf keinen Fall, glaube ich nicht. Also ich denke, es gibt diesen schönen Spruch „there is no glory in prevention“. Leider ist es bei ganz vielen Firmen so, dass Investitionen in Security gar nicht stattfinden oder erst dann stattfinden, wenn was passiert ist. Ganz, ganz schöner Fall bei uns gerade jetzt hier in der Schule. Hackerangriff, die Schule ist lahmgelegt im Prinzip. Ja, davor wurde nie in Security rein investiert. Klar, das sind Kosten, da muss man was machen, aber es ist leider, leider sieht man die Kosten, die man reinsteckt, den Mehrwert ganz häufig nicht, weil eben nichts passiert. Und dann, wenn es passiert, ja, dann…

Sprecher: Dann sind die Kosten exorbitant höher.

Holger Hügel: Exakt, ja. Und das ist leider ein ganz großes Problem. Ich habe ja vor ein paar Statistiken auch gezeigt. Also Security ist schon ein ganz ganz wichtiges Thema, aber leider fehlt häufig auch das Budget, da irgendwas zu machen. Wenn man sich mal beschäftigt, wie leicht es ist, eine Phishing-E-Mail zu schreiben oder wie leicht es ist, über irgendwelche Toolkits Exploits rauszukriegen. Das ist schockierend, wie schlimm das ist, wie einfach schlimm das ist und das wird nur noch intensiver werden.

Dass also jeder x-beliebige, also nochmal dieses Beispiel bei uns an der Schule zum Beispiel. Ich glaube nicht, dass da ein Hacker explizit diese Schule treffen wollte, sondern es war einfach, ja, wir probieren es einfach mal auf, wo finden wir was. Und da ging es rein. Und wenn ich jetzt noch sage, jetzt habe ich wirklich vielleicht eine Hackergruppe, die mein Unternehmen attackiert, da gibt es so viele Möglichkeiten inzwischen.

Und wir haben vorhin über den menschlichen Faktor gesprochen. Das ist leider meistens das Problem, dass halt doch irgendjemand dann doch irgendwann mal auf den Link klickt oder doch irgendeine Webseite klickt oder wie auch immer. Und dann ist es passiert. Und deswegen glaube ich, dass das Security, das ist immer so ein Katz-und-Maus-Spiel. Also wir versuchen immer besser zu werden, aber die Hacker werden auch immer besser.

Sprecher: Holger, du hast mir vorher erzählt, dass bei vielen Techies ist das Thema Sicherheit präsenter als bei denen, die über die Budgets verfügen, die letztlich investieren müssen. Eigentlich ein bisschen kurz gedacht, aber hast du eine Ahnung, warum das so ist?

Holger Hügel: Ja, vielleicht so ein schönes Beispiel, auch eine Anekdote aus meinem eigenen Leben, als meine Kinder gefragt wurden, was ihr Vater macht. Beruflich haben sie in der Grundschule geschrieben, er sitzt vor dem Bildschirm und macht den ganzen Tag gar nichts. IT ist ja virtuell.

Sprecher: Tolles Beispiel.

Holger Hügel: Ja, ja, weil aus ihrer Perspektive stimmt es ja. Und ich glaube, aus der Perspektive eines CEOs stimmt es auch, dass was die IT-Leute machen, die sitzen den ganzen Tag nur rum, gucken auf einen Bildschirm. Und dann verstehen sie nicht, warum sie Millionen investieren müssen, weil sie wollen den Betrieb typischerweise sehr kostengünstig haben. Also vergleichen sie Betriebskosten versus Sicherheitsaufwände oder Kosten, das ist das Falsche, was man machen kann. Man muss ja gucken, was ist mein Risiko? Mein Risiko ist in der heute digitalisierten Welt, ist mein Geschäft, mein gesamter Umsatz kann wegbrechen von einem Tag auf den anderen, wenn ich so einen erfolgreichen Angriff sehe.

Es gibt genügend Beispiele, nur weil sie in der Presse nicht sind, weil keiner möchte in der Presse mit so einer Katastrophe stehen. Aber es gibt, wir kennen genügend Beispiele, wo es am Tag danach Stillstand gab, über Wochen hinweg. Und jetzt kann sich jeder mal fragen, wenn seine Geschäftsapplikation über Wochen steht, wie viel Geschäft hätte er noch nach einem Monat.

Sprecher: Das heißt, ihr müsst eigentlich nicht nur darüber reden, wie kriegt Microsoft die SAP-Daten und umgekehrt, ihr müsst eigentlich noch viel mehr in die Öffentlichkeit gehen, oder?

Holger Hügel: Ja, aber ich glaube…Wir von SecurityBridge

Sprecher: Ihr seid die Rufer in der Wüste.

Holger Hügel: Ich glaube, wir reden aktiv drüber. Also das sind ganz, ganz wichtige Themen. Und wie der Holger auch gesagt hat, es gibt ganz viele Bereiche, die das sofort verstehen. Aber es ist natürlich auch eine Budgetfrage. Und ob ich Geld in was investiere, wo ich nicht direkt den Mehrwert sehe, weil es vielleicht eben auch geschützt wird. Oder ich investiere lieber in, was weiß ich, ein neues Warehouse oder so. Ja, dann gehe ich halt lieber da rein wahrscheinlich.

Sprecher: Habt ihr beide einen Tipp, wie man beispielsweise als Admin seinen Chef überzeugen kann? Hey, mach mal!

Holger Bruchelt: Ja, ich würde erstmal schon von der Microsoft-Ecke erstmal das Ganze herstricken, weil man muss generisch generell daran gehen. Es hilft ja nicht nur SAP das zu machen. Also Multifaktor-Authentifizierung ist sicherlich, also es war schon vor vielen Jahren, war ganz klar, wenn ich das aktiviere, habe ich 80 Prozent weniger Probleme. Dann habe ich einen großen Cut weggedrückt.

Sprecher: Aber wenn ich einen CEO habe, der selber sagt, jetzt muss ich hier noch drücken und da noch drücken, dann finde ich nicht, meine Sekretärin ist auch nicht da.

Holger Hügel: Genau, dann ist es spannend und das wird so ein bisschen ein kleiner Ausblick, was wir machen wollen ist quasi Smart MFA oder Step-up MFA oder Authentication, da gibt es unterschiedliche Begriffe dafür.

Die Idee dahinter ist, dass ich diesen zweiten Knopf nur dann drücken muss, wenn ich kritische Dinge mache. Wenn ich als CEO normalerweise nur E-Mails beantworte, da muss ich gar nichts tun. Dann reicht es einmal die Woche oder einmal am Tag, je nachdem, wie ich das hochschrauben möchte, dass ich das einmal gemacht habe und dann bin ich authentifiziert durch die gesamten Applikationen.

Aber wenn ich auf einmal Finanzdaten mir anschauen will, dann bitte nochmal nachschauen. Wenn ich auf einmal Dinge mache, die ich sonst nie gemacht habe, dann wird das System zuschlagen. Und das ist das Spannende, weil wir diese Daten ja haben. Wir müssen sie nur richtig ansetzen und mit den anderen Technologien, mit MFA und sonstigen Dingen eben verknüpfen. Und das ist das Neue.

Sprecher: Microsoft-Holger hat genickt.

Holger Bruchelt: Wenn man dem CIO zeigen kann, wie einfach es ist, ihn auszutricksen, zum Beispiel. Also, dass er selber merkt, oh, wenn ich nur mein Passwort habe oder so, das kann gefährlich werden. Dass man ihm dann sagt, so, und jetzt, wie einfach könnten wir jetzt Sachen ändern?

Und die einfachste Sache ist, wie der Holger gesagt hat, Multifaktor-Authentifizierung sozusagen. Also, dass ich nicht nur mein Passwort eingebe, sondern dass ich vielleicht mein Handy rausholen muss und genehmigen muss.

Klar, das ist ärgerlich, aber dafür gibt es ja dann zum Beispiel auch Sachen, dass ich sagen kann, gut, wenn du von deinem Trusted Device das machst, dann ist die Wahrscheinlichkeit, dass das wirklich du bist, weil du dich vielleicht mit Windows Hello authentifiziert hast oder so, vertrauen wir dir schon mal eine Stufe eher. Also, wie du gesagt hast, E-Mails kannst du schon mal lesen.

Wenn du dann aber auf einen Power BI-Bericht klickst, der dann eben irgendwelche Finanzdaten anzeigt, dann prompten wir dich noch mal. Dann musst du vielleicht dein Handy rausziehen und musst vielleicht eine Zahl eingeben, die wir dir gerade darstellen.

Aber ich glaube, wieder zu unserem Bewusstsein, das ist halt das ganz, ganz Entscheidende. Wir müssen den Benutzern klar machen, dass diese Umständlichkeit, die sie jetzt haben, dass das mit einem riesen Mehrwert daherkommt. Nur weil wir diese Multifaktor-Authentifizierung haben, bist du deutlich sicherer. Sicherer wie gesagt, also noch nicht hundertprozentig sicher, aber du bist auf jeden Fall sicherer.

Sprecher: Also lieber Admins, macht einen Termin bei eurem CEO zum Kaffee trinken, eine halbe Stunde, nimmt sein Handy und zeigt ihm das?

Holger Bruchelt: Warum nicht? Wir haben diese Hacker in a Day, wo wir den Anwendern zeigen, wie einfach man Passwörter austricksen kann. Wo ich eben über eine toll AI-generierte Phishing-E-Mail den Benutzer so hinters Licht führe, dass er halt doch auf diesen Link klickt. Und dann sind wir drin, dann haben wir das Token, dann können wir uns damit anmelden.

Wenn man sowas den Leuten zeigt, was wir wirklich in unseren Workshops sehen ist, obwohl wir das im Enterprise-Kontext machen, also wie schützt ihr euer SAP-System, kommen dann ganz viele Teilnehmer auf, die sagen, oh, weißt du was, dann mache ich bei web.de jetzt auch meine Zwei-Faktor-Authentifizierung, auch im privaten Umfeld, weil ich einfach sehe, ah nee, meine E-Mail sollte ich vielleicht doch ein bisschen besser schützen. Und bei den meisten Anbietern ist es ja auch sogar kostenlos. Also es ist wirklich nur die persönliche Bequemlichkeit, dahin zu gehen, diesen Haken zu setzen, das Handy zu registrieren und dann halt, ja, hin und wieder die Anmeldung über mein Handy genehmigen zu müssen. Aber der Mehrwert an Security, den ich dadurch kriege, ist einfach enorm.

Sprecher: Ihr habt jetzt beide die Chance, die abschließenden Worte in diesem „heise meets … – Der Entscheider-Talk" Podcast zu sagen. Was brennt euch am meisten unter den Nägeln? Ist es das Technische oder die Kohle, das Bewusstsein, dass Security eine größere Rolle spielen muss? Was brennt euch am meisten unter den Nägeln?

Holger Hügel: Also ich denke, wenn ich wählen muss zwischen... Es sind eigentlich alle drei Sachen, aber Bewusstsein ist ganz wichtig. Wenn ich nicht das Bewusstsein habe, wie risikoreich ich unterwegs bin, dann kann ich auch keine Budgets hinstellen, dann kann ich auch nichts tun.

Und das sehe ich in den meisten Unternehmen, die ein Bewusstsein haben, dann passieren die Dinge auch. Dann hat der CSO das Budget, dann geht er auf die SAP-Abteilung zu, dann macht er ein Projekt, da passieren Dinge. Aber ohne Bewusstsein ist alles nichts und das muss ganz oben sein.

Also ich würde sagen, Bewusstsein auf CEO-Ebene, ganz weit oben, da muss es sein. Wenn das nicht gleich auch beim Aufsichtsrat ist, gerade bei den aktienorientierten Unternehmen, dort muss das Bewusstsein sein, dass man praktisch auf ganz dünnem Eis fährt, ohne sich dessen bewusst zu sein und da muss man eben gegensteuern.

Sprecher: Da sagt der Holger von SecurityBridge, der Holger von Microsoft hat genickt. Wie ist dein Fazit, dein Schlusswort quasi?

Holger Bruchelt: Also ich würde auch sagen, Bewusstsein ist das A und O, mit dem fängt alles an, weil ich glaube, die Technologie, wir haben unheimlich viel, was vorhanden ist. Also, dass wir wirklich auf die SAP-Systeme zugreifen können, dass wir da Security machen können, dass wir mit SecurityBridge eine tolle Integration haben. Die Technologie ist da, was für mich ganz spannend ist.

Und wenn dieses Bewusstsein da ist, dann ist man viel eher bereit auch zu schauen, oh, wie sieht es denn bei mir im eigenen Unternehmen aus? Was kann ich denn machen? Haben wir wirklich alle Security-Sachen, die es teilweise auch in Anführungszeichen kostenlos gibt, also wo ich es nur aktivieren muss? Habe ich das schon drin?

Und ja, dann gibt es natürlich noch kostenpflichtigere Sachen drauf, wo ich dann eben Budget anfordern muss. Aber das allererste ist das Bewusstsein, was da sein muss.

Sprecher: Herzlichen Dank. Zwei Holgers bei „heise meets …". Holger Hügel von SecurityBridge, Holger Bruchelt von Microsoft. Meine Herren, herzlichen Dank und eure Worte in Gottes Gehörgang, oder?

Holger Hügel und Holger Bruchelt: Vielen Dank.

Sprecher:Das war „heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise.de. Wir freuen uns auf Sie!