IT Security Summit: Allgemein gesprochen: Wie bewertest du die aktuelle Lage im Bereich der IT Security für das Jahr 2021? Sind wir gegen die allgegenwärtigen Bedrohungen und Attacken ausreichend geschützt oder gibt es Grund zur Sorge?
Matteo Emili: Die COVID-19-Pandemie hat gezeigt, dass wir auch auf das Unvorhersehbare vorbereitet sein müssen – und die IT-Sicherheit steht dabei immer an vorderster Front, wenn es um Prävention geht. Wird dürfen nicht aufhören, nach verschiedenen Präventionsmaßnahmen zu suchen, insbesondere wenn es um die Codequalität geht. Je mehr wir in die Prävention investieren, desto mehr wird sich dies am Ende auch auszahlen. Angreifer sind immer auf der Suche nach Fehlern und Schwachstellen. Unsere Produkte müssen diesen Aufgaben gewachsen sein. Sie müssen so robust wie möglich zu sein, kombiniert mit einem guten Lösungsdesign, das die Stärken der von uns verwendeten Technologien nutzt.
IT Security Summit: Gerade mit Hinblick auf die Pandemie: Welche Sektoren sind im Moment besonders gefährdet und Angriffen ausgesetzt? Was muss getan werden, um hier für die nötige Sicherheit zu sorgen?
Matteo Emili: Der öffentliche Sektor ist immer das Angriffsziel Nummer 1 – er ist in der Regel technologisch im Rückstand und besitzt im Vergleich zu privaten Unternehmen andere Prioritäten. Es sind die Daten, die zählen. Und die Daten des öffentlichen Sektors sind extrem wertvoll. Eine langfristige Ausrichtung mit Fokus auf Qualität und Sicherheit innerhalb der IT-Abteilung wird sich auch hier auszahlen.
IT Security Summit: Immer wieder wurde die zu geringe Anzahl an Security Experts bemängelt. Wie ist hier die aktuelle Lage einzuschätzen? Was muss getan werden, um die vielen offenen Stellen auf dem Arbeitsmarkt besetzen zu können?
Matteo Emili: Ich kenne den deutschen Markt nicht gut genug, um eine für ihn maßgeschneiderte Antwort zu geben, aber ich bin mir ziemlich sicher, dass wir alle mit einem gemeinsamen Problem konfrontiert sind: Sicherheit sollte keine Aufgabe sein, die erst im Nachhinein überdacht und angegangen wird. Die Berücksichtigung von Sicherheitsaspekten in jedem Schritt eines Projekts sowie in jedem Deployment und die Auslebung einer “Security as a first class citizen”-Mentalität ist das, was uns aus den kritischen Situationen herauslotsen wird.
IT Security Summit: Welche Skill Sets werden in Zukunft wichtig werden? Was muss ein Security Expert können, um bei den aktuellen Bedrohungen up to date zu bleiben?
Matteo Emili: In dem Moment, in dem Sicherheit zu einem grundlegenden Thema in jedem Softwareentwicklungsteam wird, sind Sie bereits 50 % des Weges zum Ziel gegangen. Secure Design (inspiriert von SDL) ist etwas, mit dem viele Entwicklungsteams immer noch kämpfen und es ist ein wichtiger Grundbaustein für jeden Sicherheitsexperten. Eine schlecht konzipierte Software oder Infrastruktur zu sperren, wird keinen Wert generieren. Sie von Anfang an mit Blick auf die Sicherheit zu konzipieren hingegen schon.
IT Security Summit: Wie könnten mögliche Strategien bei Attacken aussehen, die auf schlecht gesicherte IoT-Devices abzielen (Stichwort SmartHome)?
Matteo Emili: Einige einfache Prinzipien bei der Bereitstellung der Geräte können bereits viel erreichen: Netzwerksegmentierung zum Beispiel. Manchmal vergessen wir die Grundlagen, wenn wir einer trendigen Technologie folgen. Dabei sollten wir immer zu den grundlegenden Prinzipien zurückkehren.
IT Security Summit: Wie ist deine Meinung zu dem gerade aufkommenden DevSecOps-Ansatz?
Matteo Emili: Ich bin sowohl ein großer Befürworter als auch ein Kritiker von DevSecOps. Warum nennt man es DevSecOps? Es ist diese Bezeichnung, die ich kritisch sehe – wir brauchen kein weiteres Akronym, sondern müssen die Best Practices teilen. Was kommt als nächstes, DevSecBizTestOps? Alles was wir brauchen ist die Berücksichtigung von Sicherheit in DevOps – und ich glaube, das ist etwas, das in jedem Entwicklungsteam der Standard sein sollte. Unabhängig von Größe und Branche.
Bei DevOps geht es darum, Menschen in die Lage zu versetzen, mit einem guten Prozess und soliden Tools zur Beschleunigung des Prozesses beizutragen sowie einen signifikanten Mehrwert zu liefern. In diesem Sinne ist Sicherheit in DevOps genauso wichtig wie die Automatisierung und sollte Teil der Teamkultur sein, um alle Best Practices zu verankern. Die Prozesse sollten dies erleichtern, indem sie den Menschen Raum lassen, ihr Potenzial bestmöglich zu entfalten. Ein sicherheitsbewusster Entwickler kann definitiv mehr sein als die Summe aus einem Entwickler und einem Sicherheitsspezialisten.
IT Security Summit: Vielen Dank für das Interview!
Matteo Emili ist seit 2010 ein Microsoft MVP. Seine Leidenschaft gilt der Technologie, aber das ist nicht sein einziges Interesse – was ihn wirklich antreibt, ist, wie Technologie als Werkzeug zur Lösung eines komplexen Geschäftsproblems fungiert und letztendlich Vorteile für das Unternehmen bringt. Als regelmäßiger Redner auf Konferenzen und Meetups teilt er gerne seine Erfahrungen mit den weltweiten technischen Communities – insbesondere über ALM, Agile und DevOps.
