David Francis: Don't blame the guy in the IT department!

Huawei, 1987 im chinesischen Shenzhen gegründet und heute mit 170'000 Mitarbeiterinnen und Mitarbeitern in 170 Ländern tätig, ist einer der Giganten im IT-Bereich. Wie geht ein solches Unternehmen mit dem Thema Cybersecurity um? Mit sehr viel britischem Humor erklärte David Francis, der europäische Cyber Security Officer von Huawei, was Sicherheit im Zeitalter der Digitalisierung bedeutet.

Die Zukunft und ihre Versprechen seien fantastisch, begann Francis seinen Vortrag, schade nur, dass niemand wisse, was sie bringe. Er gab dieser ungewissen Zukunft dann doch ziemlich genaue Konturen: «In der Welt von morgen ist alles und jedes ein Sensor, ist jeder Gegenstand immer und jederzeit vernetzt und jedes Ding mobil und intelligent», sagte er. Die neue Mobilfunk-Generation 5G, die Virtualisierung, die Cloud und die künstliche Intelligenz – das alles sei erst der Anfang der nächsten grossen Digitalisierungswelle, da seien sich alle Studien einig. Ungewiss sei hingegen, wer in der nächsten Zukunft die grossen Player oder welches die unschlagbaren Innovationsideen sein würden.

Immer kürzere Innovationszyklen, immer mehr Internetnutzer und Apps, immer mehr online verbrachte Zeit, vor allem aber intelligente anstelle von smarten Devices, Geräte also, die uns in- und auswendig kennen, beispielsweise unsere Gesundheit überwachen und Daten über uns sammeln. Um dieser immer rasanteren Entwicklung überhaupt noch Herr zu bleiben, müsse sich auch die Sicherheit drastisch verändern, sagte Francis. Und weil jedes Unternehmen, selbst ein grosser Player wie Huawei von der gleichen globalen Lieferkette abhängig sei, sei die ganze Kette nur so sicher wie ihr schwächstes Glied. Dazu komme, dass die «Bad Guys» genauso kreativ seien, wie die Sicherheitsindustrie und ihr lukratives Business immer dreister ausübten.

Was tun? Es gebe, so Francis, zwei Möglichkeiten. Die erste sei, sich zu sagen, man habe es hier mit einem äusserst komplexen Problem zu tun, das eine äusserst komplexe Lösung voraussetze und den Einbezug eines externen Experten: «Erfolg wird man so nicht haben – das Problem und die Verantwortung dafür lassen sich sich nicht einfach auslagern», betonte Francis. Ehrlicher und auf die Länge auch effizienter sei es, sich bewusst zu werden, dass es eigentlich nur «eine Handvoll von Dingen sind, die wir besser machen sollten», um die Cybersicherheit zu verbessern.

Was dazu gehört? Alle Netzwerke bestehen aus drei Elementen, erklärt Davis. Aus den Endgeräten, den «Blechschachteln», die wir nutzen. Aus der Architektur, das heisst wie diese Blechschachteln untereinander verbunden sind. Und aus den Menschen, die die Netzwerke unterhalten. Das wichtigste dieser drei Elemente sind für Davis die Menschen – weil sie Fehler machen. Selbst die Profis, selbst die Cracks. Und ganz ungeachtet dessen, wie oft etwas kontrolliert worden sei.

Sicherheit müsse deshalb ganzheitlich angegangen werden, als ein Prozess, der so einfach wie möglich aufgebaut ist und zu dem jeder seinen Anteil beisteuert: «Sicherheit geht uns alle etwas an. Sicherheit ist ein Prozess, bei dem alle Stakeholder ihren Anteil an Verantwortung tragen. Und wenn der Mann oder die Frau an der Spitze nicht glaubhaft vorlebt, dass er oder sie die Sicherheit ernst nimmt, dann wird es im ganzen Unternehmen, der ganzen Organisation auch niemand sonst tun.» Das setzt Governance voraus, ein unternehmensweite Strategie, standardisierte Prozesse, Regeln und Richtlinien, eine sicherheitsspezifisches Training für alle Angestellten. Es setzt aber auch R&D-Konzepte voraus, in denen Sicherheitsaspekte von Anfang integriert und nicht erst im Nachhinein hinzugefügt worden sind. Es bedeutet Kontrolle der Lieferkette, der ausgelagerten Dienste. Es setzt Pläne für Krisen und Notfälle voraus und externe Audits. Und schliesslich gilt die ABC-Regel: Assume nothing, believe nothing, check everything – nichts als gegeben hinnehmen, nichts und niemandem glauben uns alles immer nachkontrollieren.

 

David Francis: Don't blame the guy in the IT department!

Huawei, 1987 im chinesischen Shenzhen gegründet und heute mit 170'000 Mitarbeiterinnen und Mitarbeitern in 170 Ländern tätig, ist einer der Giganten im IT-Bereich. Wie geht ein solches Unternehmen mit dem Thema Cybersecurity um? Mit sehr viel britischem Humor erklärte David Francis, der europäische Cyber Security Officer von Huawei, was Sicherheit im Zeitalter der Digitalisierung bedeutet.

Die Zukunft und ihre Versprechen seien fantastisch, begann Francis seinen Vortrag, schade nur, dass niemand wisse, was sie bringe. Er gab dieser ungewissen Zukunft dann doch ziemlich genaue Konturen: «In der Welt von morgen ist alles und jedes ein Sensor, ist jeder Gegenstand immer und jederzeit vernetzt und jedes Ding mobil und intelligent», sagte er. Die neue Mobilfunk-Generation 5G, die Virtualisierung, die Cloud und die künstliche Intelligenz – das alles sei erst der Anfang der nächsten grossen Digitalisierungswelle, da seien sich alle Studien einig. Ungewiss sei hingegen, wer in der nächsten Zukunft die grossen Player oder welches die unschlagbaren Innovationsideen sein würden.

Immer kürzere Innovationszyklen, immer mehr Internetnutzer und Apps, immer mehr online verbrachte Zeit, vor allem aber intelligente anstelle von smarten Devices, Geräte also, die uns in- und auswendig kennen, beispielsweise unsere Gesundheit überwachen und Daten über uns sammeln. Um dieser immer rasanteren Entwicklung überhaupt noch Herr zu bleiben, müsse sich auch die Sicherheit drastisch verändern, sagte Francis. Und weil jedes Unternehmen, selbst ein grosser Player wie Huawei von der gleichen globalen Lieferkette abhängig sei, sei die ganze Kette nur so sicher wie ihr schwächstes Glied. Dazu komme, dass die «Bad Guys» genauso kreativ seien, wie die Sicherheitsindustrie und ihr lukratives Business immer dreister ausübten.

Was tun? Es gebe, so Francis, zwei Möglichkeiten. Die erste sei, sich zu sagen, man habe es hier mit einem äusserst komplexen Problem zu tun, das eine äusserst komplexe Lösung voraussetze und den Einbezug eines externen Experten: «Erfolg wird man so nicht haben – das Problem und die Verantwortung dafür lassen sich sich nicht einfach auslagern», betonte Francis. Ehrlicher und auf die Länge auch effizienter sei es, sich bewusst zu werden, dass es eigentlich nur «eine Handvoll von Dingen sind, die wir besser machen sollten», um die Cybersicherheit zu verbessern.

Was dazu gehört? Alle Netzwerke bestehen aus drei Elementen, erklärt Davis. Aus den Endgeräten, den «Blechschachteln», die wir nutzen. Aus der Architektur, das heisst wie diese Blechschachteln untereinander verbunden sind. Und aus den Menschen, die die Netzwerke unterhalten. Das wichtigste dieser drei Elemente sind für Davis die Menschen – weil sie Fehler machen. Selbst die Profis, selbst die Cracks. Und ganz ungeachtet dessen, wie oft etwas kontrolliert worden sei.

Sicherheit müsse deshalb ganzheitlich angegangen werden, als ein Prozess, der so einfach wie möglich aufgebaut ist und zu dem jeder seinen Anteil beisteuert: «Sicherheit geht uns alle etwas an. Sicherheit ist ein Prozess, bei dem alle Stakeholder ihren Anteil an Verantwortung tragen. Und wenn der Mann oder die Frau an der Spitze nicht glaubhaft vorlebt, dass er oder sie die Sicherheit ernst nimmt, dann wird es im ganzen Unternehmen, der ganzen Organisation auch niemand sonst tun.» Das setzt Governance voraus, ein unternehmensweite Strategie, standardisierte Prozesse, Regeln und Richtlinien, eine sicherheitsspezifisches Training für alle Angestellten. Es setzt aber auch R&D-Konzepte voraus, in denen Sicherheitsaspekte von Anfang integriert und nicht erst im Nachhinein hinzugefügt worden sind. Es bedeutet Kontrolle der Lieferkette, der ausgelagerten Dienste. Es setzt Pläne für Krisen und Notfälle voraus und externe Audits. Und schliesslich gilt die ABC-Regel: Assume nothing, believe nothing, check everything – nichts als gegeben hinnehmen, nichts und niemandem glauben uns alles immer nachkontrollieren.