IT Security Summit: Allgemein gesprochen: Wie bewertest Du die aktuelle Lage im Bereich der IT Security für das Jahr 2021? Sind wir gegen die allgegenwärtigen Bedrohungen und Attacken ausreichend geschützt oder gibt es Grund zur Sorge?
Cedric Mössner: Allgemein gesprochen tut sich gerade enorm viel im Bereich Cyber-Security. Da ich ja auch viel Öffentlichkeitsarbeit mache, merke ich, dass immer mehr Menschen sich mit den Problemen beschäftigen und sich absichern möchten. Da das eigentlich das größte Problem der Security ist, ist das ein großer Schritt. Gleichzeitig merken wir, dass trotz allem immer größere, staatliche Akteure eine Rolle spielen. Die Exploitchains werden komplexer und länger, die Angriffe schwerer zu bemerken. Doch das Bewusstsein ist allmählich vorhanden – das ist einer der wichtigsten Punkte.
IT Security Summit: Gerade mit Hinblick auf die Pandemie: Welche Sektoren sind im Moment besonders gefährdet und Angriffen ausgesetzt? Was muss getan werden, um hier für die nötige Sicherheit zu sorgen?
Cedric Mössner: Besonders in der Pandemie wird immer mehr online erledigt. Das fördert zum einen das Bewusstsein, zum anderen werden die Angriffe auch seit Beginn zahlenmäßig deutlich mehr.
Was die Benutzer angeht, erleben wir gerade immer mehr Verständnis – und trotzdem reicht es nicht aus. Social Engineering wird immer wichtiger und noch mehr eingesetzt als bisher. Dazu sind Technologien wie Zoom und Co. noch nicht auf die Art und Weise geprüft, wie es bei internen Firmennetzwerke der Fall ist. Daher lassen sich hier immer wieder Schwachstellen finden, die zu Leaks führen. Und das wiederum führt zu mehr Social Engineering. Alles in allem also mehr von allem.
IT Security Summit: Welche Skill Sets werden in Zukunft wichtig werden? Was muss ein Security Expert können, um bei den aktuellen Bedrohungen up to date zu bleiben?
Cedric Mössner: IT-Infrastrukturen werden immer komplexer. Diese alle zu verstehen und zu überwachen ist nicht wirklich möglich, vor allem auf den kritischen Leveln, wie der IT-Sicherheit. Daher denke ich, dass wir in Zukunft eher unterteilen müssen, wo genau in der IT-Sicherheit man sich befindet. Einen Überblick zu haben kann helfen. Einen Pentester wird man aber niemals durch einen DevSecOps-Spezialisten ersetzen können, da die Qualifikationen enorm unterschiedlich sind und man beides brauchen wird. Dazu kommen noch viele andere Rollen, die ich hier nicht mal erwähnt habe.
IT Security Summit: Wie könnten mögliche Strategien bei Attacken aussehen, die auf schlecht gesicherte IoT-Devices abzielen (Stichwort SmartHome)?
Cedric Mössner: Ich bin ja ein Freund davon, möglichst wenig erreichbar zu haben, wenn es denn geht. Und ich sehe nicht den Sinn hinter hunderten Geräten, die alle erreichbar sind, wenn man eine gut geschützte Middleware haben kann, die alles verwaltet und zudem noch sicher ist. Trotzdem brauchen wir natürlich die Updates für die Geräte. Und hier sind sowohl Hersteller als auch die Politik gefragt.
IT Security Summit: Wie ist deine Meinung zu dem gerade aufkommenden DevSecOps-Ansatz?
Cedric Mössner: Grundsätzlich ist es wichtig, in jedem Projekt IT-Sicherheit zu etablieren. Ob das jetzt direkt in Form eines dedizierten Mitglieds sein muss, weiß ich nicht. Aber faktisch wird so zumindest für etwas Kontrolle gesorgt. An sich also hilfreich, aber nur eine Lösung für die Sache. Es gibt auch andere valide Ansätze.
Vielen Dank für das Interview!
Cedric Mössner ist Informatiker und Dozent für Cyber Security. Er empfindet es als als wichtig, dass das Wissen für alle zugänglich ist, weshalb er seit 9 Jahren einen Youtube-Kanal betreibt, auf dem er diese Themen für ein Millionenpublikum aufbereitet und vermittelt:
https://youtube.com/c/TheMorpheusVlogs
https://youtube.com/c/TheMorpheus407