Impulse & Perspektiven in der Krise - DIKT Experten-Talk mit Dr. Nikolai A. Behr

Transkript

Zurück zur Episode

00:00:00: impulse und perspektiven in der krise der DIKT experten talk mit dr nikolai behr

00:00:08: hallo und herzlich willkommen zu einer neuen ausgabe von impulse und

00:00:12: perspektiven heute mit dr andreas hausotter herzlich willkommen

00:00:17: Dr. hausotter ist nicht nur luft und raumfahrtexperte sondern auch

00:00:22: experte für cyber security wie passen die zwei themen denn zusammen

00:00:26: herr dr hausotter ja wir arbeit langjährig im bereich luft- und

00:00:31: raumfahrt und entwickeln für satelliten elektronik das herzstück des satelliten

00:00:38: der sogenannte on board computer dort im bereich software und hardware und wie

00:00:43: man sich leicht vorstellen kann spielte im bereich der satelliten das thema

00:00:48: security & safety also auch cyber security immer schon eine erhebliche

00:00:55: rolle weil man eben den satelliten nicht

00:00:58: zurückholen kann und dann mal entsprechende kleinere reparaturen oder

00:01:04: änderungen am soft und hardware vorzunehmen und deswegen waren eben die

00:01:09: satelliten auch aufgrund des hohen preises eines satelliten

00:01:13: schon immer relativ sensibel im bereich cyber security und über dieses thema der

00:01:19: entwicklung der server security für satelliten sind wir dann eben noch in

00:01:24: die breite gegangen und das angebot dann für alle industrien angeboten

00:01:30: sie hatten es gerade eigentlich von safety & security diese begriffe werden

00:01:35: ja teilweise bisschen vermischt im deutschen hat man das wort sicherheit

00:01:38: wie ist denn die unterscheidung in ihrer branche für die beiden begriffe wenn sie

00:01:44: sich ein flugzeug vorstellen dann ist der ganze bereich safety

00:01:50: betrifft die sicherheit des fluges sodass praktisch sämtliche

00:01:57: sicherheitsvorkehrungen getroffen werden damit ein flugzeug nicht abstürzen kann

00:02:03: der bereich security da geht es dann im wesentlichen um die datensicherheit des

00:02:08: ganzen dass die funkkommunikation sicher ist dass die daten sicher verarbeitet

00:02:13: werden das immer verfügbar sind dass sie integer sind und das ist der bereich

00:02:19: security deshalb heißt es auch wahrscheinlich

00:02:23: cyber security da geht's auch eben hauptsächlich um daten was müssen

00:02:27: unternehmen denn gerade in dieser corona krise beachten wenn es um den begriff

00:02:32: cyber security geht ja wir haben natürlich jetzt eine ganz

00:02:37: besondere situation in der krise wie die meisten jahr sich selbst schon erfahren

00:02:44: haben spielt das thema home office jetzt eine sehr große rolle wir müssen alle

00:02:49: sollen alle zu hause bleiben viele und in dem bereich ist es dann ebenso das

00:02:56: arbeiten im home office natürlich andere it cyber security herausforderungen

00:03:04: erfordern als normalerweise im büro in einer häufig geschützten umgebung der

00:03:09: fall ist insofern sind natürlich jetzt bezüglich

00:03:14: der laptops pcs die zu hause eingesetzt werden und der zugänge in die firma

00:03:20: hinein sind andere herausforderungen zu berücksichtigen

00:03:26: diese digitalisierung hat natürlich auch zwei seiten einerseits wird für die

00:03:30: unternehmen dadurch teilweise günstiger weil prozesse einfach kosten sparen

00:03:35: andererseits steigt der aufwand für die it sicherheit wie hält man da die

00:03:40: balance wie weiß ich als unternehmenslenker welche entscheidungen

00:03:46: nicht treffen muss was den bereich angeht wie groß ist die gefahr denn

00:03:49: wirklich erst inhalt immer zwei seiten der medaille die eine seite ist man will

00:03:54: durch digitalisierung prozesse optimieren

00:03:57: auch kosten einsparen und man denkt immer nur die eine seite dass man immer

00:04:02: nur die kosten der digitalisierung einspart aber die medaille hat eben auch

00:04:06: eine andere seite und die andere seite bedeutet eben mit der digitalisierung

00:04:11: gehen zusätzliche herausforderungen einher was die sicherheit angeht

00:04:17: die verursacht natürlich einen gewissen aufwand und auch kosten für weitere

00:04:22: tools und das ganze ist eher eine balance zu bringen so dass die

00:04:27: digitalisierung wirklich vorteilhafte effekte hat und nicht die scheibe

00:04:32: risiken signifikant erhöht ist trifft insbesondere nicht nur für die office

00:04:37: infrastruktur und server infrastruktur zu sondern auch insbesondere das ganze

00:04:41: thema okay also internet of things das heißt da reden wir von den ganzen

00:04:45: sensoren in der produktion und der logistik und auch in der entwicklung

00:04:50: als unternehmensrisiko wird cyber security natürlich schon berücksichtigt

00:04:55: aber wenn sie jetzt die erfahrung haben in der beratung von kunden wie ernst

00:05:00: nehmen die unternehmen cyber security wird da schon genug darauf geachtet und

00:05:05: gibt es auch viele fälle von gelungenen angriffen schon im moment fakt ist dass

00:05:12: die frage nicht ist ob man irgendwann mal dazugehört und gehackt wird sondern

00:05:18: es ist eine frage des zeitpunktes wann und unternehmen die schon selbst

00:05:22: unternehmer die gehackt wurden und die dann alle maßnahmen unternommen haben um

00:05:28: diese risiken zu reduzieren sagen die wahrscheinlichkeit dass wir wieder

00:05:32: gehackt werden ist sehr hoch nun ist es ja häufig so dass die firmen die gehackt

00:05:38: werden auch noch erpresst werden ich glaube das heißt ransom angriff oder

00:05:42: sowas haben wir ja angriff ja wohl wie wahrscheinlich ist das denn oder kommt

00:05:48: das schon häufig vor oder ist das eher selten

00:05:51: die rennjury angriffe ist der klassiker zur zeit damit lässt sich geld verdienen

00:05:57: die zeiten wo hacker nur anderen schaden wollte hacker nur halt dann schaden

00:06:02: wollten es sind schon lange vorbei hacker wollen damit geld verdienen und

00:06:08: suchen sich auch teilweise nicht spezielle firmen raus dies jetzt

00:06:12: angreifen sondern gehen mit der gießkanne drüber und verbreiten ihre

00:06:16: schadsoftware im internet und derjenige der eben von der

00:06:21: angriffswelle am niedrigsten aufgestellt ist dabei dem ist eben die

00:06:26: wahrscheinlichkeit am größten dass es ihn als nächsten erwischt und wir reden

00:06:30: über beträge nicht mehr im sechsstelligen bereich sondern wir reden

00:06:35: aber beträge im 7 stelligen niedrigen siebenstelligen bereich der heutzutage

00:06:40: aufgerufen werden die da ein sehr kurzer zeit auch beigebracht werden müssen über

00:06:46: bitcoin und selbst das ist schon eine große herausforderung diese beträge

00:06:51: überhaupt im bitcoin zu generieren in deutschland ist das zum beispiel gar

00:06:55: nicht natürlich was was heißt es dann kann man diese hacker dann auch dingfest

00:07:01: machen oder verfolgen oder hat als sicherheitsbehörde überhaupt keine

00:07:07: chance im moment also ich würde ich sagen dass es überhaupt keine chance

00:07:12: gibt aber die chancen sind relativ gering weil diese hecke sitzen weltweit

00:07:16: in irgendwelchen ländern auf die man rechtlich keinen zugriff hat und es

00:07:22: gehen ja nicht nur private hacker dieser branche unterwegs sondern es sind ja

00:07:26: auch geheimdienste unterwegs industriespionage

00:07:31: deutschland ist besonders betroffen durch diese vielen so genannten hidden

00:07:35: champions die wir deutschland haben diese weltmarktführer im

00:07:41: mittelständischen bereich die ein know how haben was eben häufig führend ist

00:07:47: und dieses know how an dieses know-how anzukommen oder diese firmen zu

00:07:52: beschädigen ist natürlich sehr attraktiv das heißt also deutsche unternehmen

00:07:58: wären gut beraten wenn sie sich da sehr sicher aufstellen wenn sie alles machen

00:08:03: um so ein angriff unmöglich zu machen wenn ich mich nun als unternehmer dafür

00:08:07: entscheide mein unternehmen abzusichern wie gehe ich davor was muss ich da

00:08:11: machen welche tools wende ich an ja zunächst mal bevor ich auf die tools

00:08:18: eingehen möchte ich noch erwähnen es gibt ja risiko strategien in der

00:08:23: unternehmen insbesondere auch etwas größeren unternehmen

00:08:26: und dort ist es eben wichtig dass das thema cyber security und dort alle

00:08:32: aspekte der cyber security also verfügbarkeit vertraulichkeit integrität

00:08:37: dass diese aspekte in der in der risikostrategie enthalten sind insofern

00:08:43: ist es da sicherlich ratsam mit erfahrenen beratern zusammen zu arbeiten

00:08:47: die hier konzepte aus einem guss generieren und sich selbst anzufangen

00:08:53: ihr das rad neu zu erfinden es gibt auch eine tendenz das ist

00:08:59: natürlich für die für viele unternehmen eine immer größere herausforderung wird

00:09:03: überhaupt diese aufwendige noch zustimmen weil sie sehr komplex sind und

00:09:08: deswegen gibt es die tendenz dass in der zukunft von alles mehr in die cloud

00:09:12: gehen wird zu cloud anbietern die sich tag und nacht professionell mit diesem

00:09:17: thema cyber security beschäftigen und dort quasi eine relativ große sicherheit

00:09:24: bieten auf der anderen seite sehen wir natürlich die nebenwirkung dass es zu

00:09:31: einer extremen konzentration von diesen risiken auf wenige anbieter dann kommen

00:09:36: wird welche bedeutung sollten denn die it

00:09:42: sicherheitsrisiken haben für den c level ja also für die geschäftsführung ja also

00:09:49: wir sehen das thema cyber security und da kann man auch um fragen von mckinsey

00:09:56: und in etlichen anderen beratern boston consulting usw nachlesen dass die cyber

00:10:03: risiko inzwischen nach den marktrisiken mit zum größten risiken mit an erster

00:10:11: stelle der risiken steht der mit existenziellen bedrohung für unternehmen

00:10:16: und insofern ist es für sie lieber ins kino und tv insbesondere sollte es an

00:10:24: ganz oberster stelle stehen sich diesem risiko zu widmen weil keines der anderen

00:10:31: unternehmerischen risiken von heute auf morgen die existenz eines unternehmens

00:10:35: komplett gefährden wie sicher kann ich denn mein

00:10:40: unternehmen überhaupt machen wenn ich daran denke dass das web ja ursprünglich

00:10:45: mal in den usa auch vom militär mitgegründet wurde von wissenschaftlern

00:10:49: militärs und ich natürlich davon ausgehen muss dass sie sprachen für die

00:10:53: geheimdienste an dass zumindest die amerikaner die chinesen wahrscheinlich

00:10:57: genauso überall mit drin sind und mit höheren und die meisten tools und firmen

00:11:02: kommen ja aus den vereinigten staaten was bedeutet das für mich als deutsches

00:11:07: unternehmen gibt es cyber security made in germany ja es gibt lösungen made in

00:11:14: germany will jetzt keine firmennamen nennen oder empfehlen

00:11:18: aber es gibt rein deutsche lösungen man wendet sich da am besten an das bsi hat

00:11:23: die bundesanstalt für sicherheit in der

00:11:28: informationstechnik sich dort nach rein deutschen anbietern und ja diese

00:11:34: anbieter sind durchaus qualitativ sehr hochwertig und sehr empfehlenswert

00:11:38: inwieweit spielt denn ein technischer know how schutz bei der übernahme von

00:11:43: firmen also bei einem prozess eine rolle wir haben zwei seiten im emmental

00:11:49: prozess zum einen haben wir den die firma die quasi gekauft werden soll und

00:11:56: auf der anderen seite haben wir den käufer diese firma für beide spielt das

00:12:00: thema know how schutz nach unserer einschätzung an erhebliche rolle in der

00:12:06: ein heutzutage findet das thema cyber security im bereich der due dilligence

00:12:13: ja quasi nicht statt und das ist für beide seiten sehr

00:12:18: nachteilig also ist unsere meinung nach gehört auf jeden fall das thema cyber

00:12:23: security neben nigl utilities financial utilities

00:12:28: und und anderen jüdischen sollte da unbedingt untersucht werden

00:12:33: für die firma die verkaufen will und er an einem hohen preis interessiert ist

00:12:41: es ist natürlich sehr wertvoll dem käufer nachweisen zu können dass das

00:12:47: know how von vornherein schon immer sehr umfangreich geschützt wurden war das

00:12:54: kann man insbesondere mit technischen lösungen zur datenintegrität

00:12:58: gewährleisten und auf der anderen seite ist es natürlich für den käufer ein

00:13:03: hohes risiko unter umständen eine firma zu kaufen wo das know-how schon jemand

00:13:09: anderes sich kopiert hat und ich kenne einen fall wo eine firma gekauft wurde

00:13:14: wo nachweislich dann herausgekommen ist dass sämtliches know how dieser firma

00:13:19: schon ein anderer hat das problem dieses know-how diebstahls ist häufig dass sie

00:13:25: es gar nicht sofort feststellen dass ihr ganzes knowhow weg ist das merken sie

00:13:30: erst nach ein zwei drei jahren wenn plötzlich sehr ähnliche produkte auf

00:13:37: messen oder anderweitig auftauchen die ihrem produkt fast identisch sind zu

00:13:45: wesentlich günstigeren preisen und daneben ist es eigentlich schon zu spät

00:13:52: das ist ja auch nach diesen neuen geschäftsgeheimnis schutzgesetz das seit

00:13:57: letztem jahr gilt schwierig für die vorstände und aufsichtsräte oder ja das

00:14:04: neue geschäftsgeheimnis schutzgesetz gilt seit mitte letzten jahres ist

00:14:10: bisher maximal unterschätzt und nicht beachtet von vielen es sagt aus dass in

00:14:16: zukunft geschäftsgeheimnisse von die gestohlen werden strafrechtlich und

00:14:23: zivilrechtlich von dem unternehmen besser verfolgt werden können

00:14:31: allerdings sagt es eben auch aus geschäftsgeheimnisse können nur dann

00:14:35: rechtlich verfolgt werden wenn sie entsprechend angemessen geschützt waren

00:14:40: und das ist der knackpunkt des ganzen gesetz ist sie müssen quasi nachweisen

00:14:45: dass die geschäftsgeheimnisse angemessen nach dem stand der technik geschützt

00:14:52: waren um zivilrechtliche und strafrechtliche diese diesen diebstahl

00:14:57: verfolgen zu können und da ist bei den x bei vielen

00:15:01: unternehmen fehlt dieser know how schutz komplett sodass praktisch

00:15:06: geschäftsgeheimnisse ohne strafrechtliche oder zivilrechtliche

00:15:10: verfolgung mitgenommen werden können von mitarbeitern

00:15:14: egal was auch immer im arbeitsvertrag steht

00:15:17: aber wie kann ich denn als unternehmen meine geschäftsgeheimnisse wirklich

00:15:22: schützen ich meine in dem moment wo ich sie irgendwo digital auf einem rechner

00:15:26: habe kann ich sie ja fast nicht mehr schützen weil ich außer ich limitiere

00:15:31: den zugriff der leute die das die das anschauen können aber im nachhinein das

00:15:35: zu beweisen wie wie soll das funktionieren

00:15:39: ja das kann es ja so machen dass ich einfach sagen okay ich schreib die

00:15:43: formel sozusagen oder die konstruktionszeichnungen auf papier und

00:15:46: schließt einen tresor und digitalisiert nicht es gibt möglichkeiten

00:15:51: geschäftsgeheimnis ist sehr umfangreich zu schützen

00:15:54: es gibt ja 3 die drei schutzziele der informationssicherheit vertraulichkeit

00:15:59: verfügbarkeit und integrität und anhand der datenintegrität kann ich

00:16:04: geschäftsgeheimnisse sehr umfangreich schützen indem ich sämtliche dateien und

00:16:12: dateisysteme bezüglich datenintegrität schützen indem ich eben die metadaten

00:16:20: einer datei und von dateisystemen ständig überwacht und so weiß wann hat

00:16:27: wer auf welche datei zugegriffen und das voll automatisiert und forensisch ist

00:16:36: sicher so dass es auch dann gerichtsfest ist

00:16:40: kosten diese lösungen sehr sehr viel geld wie viel geld muss ich da als

00:16:45: mittelständisches unternehmen einplanen kann man das in prozent vom umsatz

00:16:51: angeben oder in absoluten zahlen ja es habe ich relativ schwierige zu

00:16:56: pauschal zu sagen aber ich sage es mal so im verhältnis zu den schäden die

00:17:01: entstehen können durch cyber security sei es ratsam sei es know how diebstahl

00:17:07: oder sei es darüber haben wir noch gar nicht gesprochen manipulation von

00:17:11: dateien das ist eigentlich der der der übelste

00:17:15: aller aller angriffe wenn zb bei einem fahrzeug automobilindustrie plötzlich

00:17:21: die schweißpunkte vom industrieroboter verändert werden

00:17:25: und dieses war diese diese fahrzeuge damit den falschen schweiß punkten

00:17:30: produziert werden und das über große stückzahlen und sie müssen dann tausende

00:17:35: hunderttausende fahrzeuge zurückrufen weil die schweißpunkte nicht richtig

00:17:39: sind dann wirds halt richtig unangenehm und im verhältnis zu diesen schäden die

00:17:45: dort entstehen können sind die maßnahmen und die it kosten relativ überschaubar

00:17:53: hätte vielen herzlichen dank wir haben

00:17:56: erfahren dass die deutschen unternehmen sich besser schützen müssen besser auf

00:18:00: ihr know-how aufpassen müssen und sich mehr wappnen müssen gegen leute die

00:18:05: gegen ihre cyber security angehen die sie versuchen zu erpressen oder das know

00:18:10: how zu stehlen herzlichen dank für die erläuterungen alles gute für sie und

00:18:15: bleiben sie gesund bleibt es ja auch gesund vielen dank für das spannende

00:18:19: interviews wenn sie den dikt expertentalk

00:18:24: regelmäßig hören möchten abonnieren sie bitte unseren youtube kanal