Hr. Steffen Siguda
CISO, Osram Licht AG
Hr. Steffen Siguda
CISO, Osram Licht AG
Hr. Steffen Siguda präsentiert auf der Rethink! IT Security 2018 das World Café:
„You can’t tweak the cloud – the cloud tweaks you – Können wir trotzdem die Vision einer sicheren IT erreichen?“
Nach dem Informatik-Studium an der TU München hat Herr Siguda am Aufbau eines unternehmensweiten Netzwerks und dem Einstieg in die SAP CRM Welt mitgewirkt. Schon Anfang der 2000er Jahre kam dabei das Thema IT Sicherheit in den Fokus als über Firewalls ein sicheres Extranet aufgebaut werden sollte.
Mit zunehmenden Anforderungen an sichere, globale Unternehmensnetze übernahm Herr Siguda die Verantwortung zuerst für die technische IT Sicherheit (Firewall, Virenschutz, Hackerabwehr), später als CISO auch für die organisatorischen Sicherheitsaspekte. Ein Schwerpunkt war dabei immer der menschliche Faktor; in diesem Bereich konnten mit diversen globalen Awareness-Test messbare Erfolge erzielt werden.2014/15 hat OSRAM in Rekordzeit im Zuge eines Company-Splits seine gesamte Zentral-IT in die Cloud transferiert, Herr Siguda begleitete dieses Projekt im Bereich Netzwerk, Informationssicherheit und teilweise auch Datenschutz.
Steffen Siguda: OSRAM hat im Jahr 2016 seine komplette zentrale IT in die Cloud verlagert und besitzt kein eigenes Rechenzentrum mehr.
Steffen Siguda: Netzwerk-Connectivity ist der Schlüssel zur Akzeptanz. Ein stabiles, schnelles Netzwerk und die Nutzung globaler Optimierungsmöglichkeiten sind zwingend.
Steffen Siguda: Das ist eine Vision, von der wir noch relativ weit entfernt sind. Insbesondere das Thema „Identität“ muss sehr viel verlässlicher gelöst sein, damit wirklich belastbar Zugriff gewährt werden kann. Dann kann prinzipiell von jedem Endgerät Information abgerufen werden, die optimalerweise dort gar nicht mehr verbleibt oder z.B. mittels Digital Rights Management geschützt ist.
Steffen Siguda: Der Datenschutz stützt sich auf „technisch-organisatorische“ Maßnahmen und damit kann das Thema auch als Treiber für Verbesserungen im Sicherheitsbereich genutzt werden. Spezielle Gesetze wie das IT Sicherheitsgesetz sind hier natürlich noch direkter, da sie konkrete Aktivitäten erfordern, die sinnvoll in die bestehende Landschaft integriert werden müssen. Da kann es sich lohnen, nicht nur den Minimalumfang zu bearbeiten, sondern auch grundlegende Verbesserungen in nicht direkt betroffenen Bereichen anzugehen.
Für das World-Café schlage ich aber vor, diesmal einen anderen Aspekt anzusprechen: „Passworte sind 20. Jahrhundert – wie werden wir die endlich los?“
Steffen Siguda: Die Angriffsszenarien werden immer breiter werden, z.B. werden Designfehler in Komponenten und Prozessen (wie Flaws in Prozessor-Code) die gewohnten Security-Patchprozesse mindestens komplizierter machen. Damit muss auch die Verteidigung immer vielschichtiger werden, was irgendwann zu dem Punkt führt, dass ich bestimmte Bereiche (z.B. Endgeräte) mangels Ressource aus der „Pflege“ entlassen muss und nur noch zentrale Bereiche hoch sicher und vertrauenswürdig vorhalte.
Da die Verbreiterung der Schwachstellen auf tiefere Ebenen auch das Modell der Separierung in shared Environments angreifen, könnte die Tendenz wieder zum private Cloud / dedicated Cloudsevcie geben, denn ich weiß ja nie, ob das nächste Problem nicht schon beim Nachbarn schlummert.
Die Komplexität der Cloud-Services (z.B. Office365) erschwert eine sichere Konfiguration, viele Nutzungsmöglichkeiten werden erst durch den Angreifer entdeckt. Externe Consultants konfigurieren teilweise Services, ohne das gesamte Spektrum zu überblicken und schaffen unbemerkt Hintertürchen.