Interview mit Pascal Kocher, Auditron
21.11.2018, 06:03 Uhr
«CIO und CISO müssen an einem Strang ziehen»
Trotz immer neuer Attacken habe sich der IT-Grundschutz von Schweizer Firmen in letzter Zeit verbessert, meint Pascal Kocher, Gründer und CEO von Auditron. Aufatmen dürfen sie und deren CISOs aber nicht.
Pascal Kocher ist Gründer, CEO und «Chief Hacking Officer» von Auditron
(Quelle: Jens Stark / NMGZ)
Schweizer Unternehmen, ob gross oder klein, werden zunehmend von Hackern und Cyberspionen ins Visier genommen. Wie sollen sie sich nur schützen? Im Computerworld-Interview erklärt Pascal Kocher, Gründer, CEO und «Chief Hacking Officer», der in Düdingen im Kanton Fribourg beheimateten IT-Security-Audit-Spezialistin Auditron GmbH, worauf es beim Schutz der «Kronjuwelen» einer Firma ankommt. Da Kocher auch immer wieder in die Rolle des CISO (Chief Information Security Officer) schlüpft, erläutert er die wichtige Funktion des IT-Security-Chefs in Unternehmen sowie dessen Verhältnis zu CEO, CFO und CIO.
Computerworld: Täglich hören wir von Cyber-Attacken. Trotzdem gaben von Computerworld befragte Schweizer CIOs mehrheitlich an, dass ihre IT sicher sei. Wiegen sich hiesige Firmen in trügerischer Sicherheit?
Pascal Kocher: Das glaube ich weniger. Trügerische Sicherheit gibt es in diesem Sinne nicht. Viele Unternehmen kennen noch nicht alle Angriffsformen, die es gibt. Das können sie auch nicht, denn die Szene wechselt sehr rasch. Ich muss nur eine Woche in die Ferien und wenn ich zurückkomme, gibt es neue Attacken. Hier den Überblick zu behalten ist schwierig. Firmen sollten eigentlich immer damit rechnen, dass sie gehackt und angegriffen werden.
Computerworld: Sie sind unter anderem auch als Penetration-Tester tätig. Wann werden Sie in der Regel gerufen? Wenn die Firmen schon angegriffen wurden oder davor?
Kocher: Grundsätzlich kommt beides vor. Wir haben viele Kunden, die uns konsultieren, bevor etwas passiert ist. Das geschieht beispielsweise dann, wenn sie eine neue Webapplikation implementieren wollen, und diese von uns in Sachen IT-Security getestet werden soll. Dann gibt es natürlich auch den anderen Fall: Wir werden aufgeboten, wenn ein Angriff stattgefunden hat. Das ist dann für uns oftmals stressiger und komplexer, gerade wenn jemand das erste Mal auf uns zukommt. Es gilt nämlich, sich erst einmal einen Überblick über die IT-Infrastruktur zu verschaffen. Das ist nicht so einfach, wenn eine Attacke gerade am Laufen ist. Daher ist eine gute Vorsorge auch so wichtig.
Computerworld: Und wie gehen Sie vor, um Firmen im Vorfeld abzusichern?
Kocher: Generell analysieren wir, welche Assets besonders schützenswert sind. Diese Core Assets oder Kronjuwelen zu identifizieren ist somit sehr wichtig. Dabei müssen wir den Informationsfluss in einem Unternehmen sehr gut kennenlernen, also über welche Schnittstellen und durch welche Programme die Daten laufen. Wir sind somit bestrebt, den sogenannten kritischen Pfad im Griff zu haben. Natürlich werden wir daneben auch konsultiert, um einzelne Applikationen zu testen. Wenn es aber darum geht, den Sicherheits-Level in der Firma zu heben, müssen wir eine Gesamtanalyse über alle Assets vornehmen. Schliesslich kann ich nur etwas schützen, wenn ich weiss, was es zu schützen gilt. Das zu erkennen, ist in der virtuellen Welt oft schwierig, weil die Einfallswege nicht gleich offenkundig werden. Bestes Beispiel sind WLAN-Installationen. Kein Unternehmen käme auf die Idee, seine LAN-Steckdosen an der Aussenwand des Firmengebäudes anzubringen. Bei Wifi ist das anders, dessen Signale sind auch draussen empfangbar.
