Interview: Der direkte Draht

0
817
Sprachen in Bonn über Transparenz und Vertrauen als Voraussetzung für digitale Souveränität: (v. l.) R. Uwe Proll, Chefredakteur und Herausgeber des Behörden Spiegel, und Klaus Lenssen, Chief Security Officer von Cisco Deutschland. (Foto: BS/Orth)

2017 hat Cisco ein Security & Trust Office in Deutschland eingerichtet, um die Kommunikation zu Sicherheitsfragen mit den Kunden zu erleichtern. Im Interview mit Uwe Proll sprach der Chief Security Officer von Cisco Deutschland, Klaus Lenssen, über seine Erfahrungen im Rahmen der Initiative und über Transparenz und Sicherheit in Lieferketten und Produktionsprozessen.

Behörden Spiegel: Vor zwei Jahren hat Cisco ein Security & Trust Office in Deutschland eingerichtet. Wie hat sich die Ini­tiative seitdem entwickelt?

Lenssen: Im Sicherheitsbereich kommt es häufig auf den direkten Draht an, das berühmte rote Telefon, das man als Kunde schnell zur Hand hat, um in einem Notfall direkt mit dem Unternehmen sprechen zu können und auch sofort eine kompetente Antwort zu bekommen. Das ist eines der Ziele des Security & Trust Office. Wir haben eine Anlaufstelle für interessierte Parteien geschaffen, seien es Behörden, Unternehmen oder die Presse, die etwas von Cisco zum Thema Sicherheit wissen wollen. Zum Beispiel zur Sicherheit von Produkten, Produktionsprozessen und Verfahren, die wir anwenden. Intern haben wir die Strukturen entsprechend angepasst, unsere Sicherheitsfunktionen zusammengefasst und sie von außen sichtbar und ansprechbar gemacht.

Behörden Spiegel: Das heißt, wenn der Kunde ein Problem hat, kann er über die Ansprechstelle Unterstützung oder Aufklärung erwarten?

Lenssen: Genau. Zunächst gibt es ein Dialoginterface und fallweise bearbeiten wir das Anliegen entweder direkt aus dem Security & Trust Office heraus oder wir vermitteln an die zuständigen Einheiten im Unternehmen. Wenn ein Kunde beispielsweise ein Sicherheitsproblem in einem Cisco-Produkt entdeckt hat, nehmen wir das gern entgegen und helfen, die richtigen Kommunikationskanäle aufzumachen. Die Bearbeitung von Störfällen erfolgt aber nicht durch uns. Dafür gibt ein Incident Response Team (PSIRT) mit 24 / 7-Bereitschaft, das die entsprechenden Kontakte in die Business Units, ins Technical Assistance Center und zu den Entwicklern und Forensikern vorhält.

Behörden Spiegel: Mit welcher Art Anfragen haben Sie am meisten zu tun?

Lenssen: Extrem viele Anfragen hatten wir zum Beispiel im Zuge der Einführung der Datenschutz-grundverordnung. Wie funktionieren die Cloud-Dienste konkret? Welche Daten werden wie und zu welchem Zweck erfasst? Wir nehmen diese Fragen auf und beantworten sie im jeweiligen Kontext. Aus der Summe der Einzelfragen haben wir dann in dem Fall mit unseren Datenschutzexperten sogenannte Privacy Data Maps und Privacy Data Sheets entwickelt. Darin kann man ganz genau sehen, welche Daten jeweils für welchen Zweck erfasst werden und wo sie verarbeitet werden. Nach dem Feedback der Kunden ist das genau die Darstellung, die ihre Fragen am besten beantwortet. Diese Informationen stehen auch unter trust.cisco.com öffentlich zur Verfügung. Dieses Trust Center ist unsere zentrale Anlaufstelle für alles zum Thema Datenschutz und Sicherheit. Dort findet man auch Informationen über Anfragen von Strafverfolgungsbehörden, also wie häufig diese kommen und was herausgegeben wird.

Behörden Spiegel: Und das alles, um es dem Kunden zu ermöglichen, sich selbst datenschutzkonform aufzustellen. Denn am Ende des Tages ist er verantwortlich und nicht Sie, oder?

Lenssen: Ja, genau. Der Kunde muss mit uns rechtssicher abschließen und vereinbaren können. Aber er hat in vielen Fällen selbst nicht das Know-how. Deshalb geben wir die nötige Hilfestellung und die Aufklärung dazu. Man kann einen gewissen kulturellen Wandel beobachten. Der Trend geht dahin, dass nicht mehr nur die Qualität der Produkte entscheidend ist, sondern noch zusätzliche Aspekte darum herum, die viel mit Vertrauen zu tun haben. Man muss den vielen Unsicherheiten, die die Kunden erleben, mit entsprechenden Maßnahmen und Transparenz begegnen. Nur so kann der Kunde das nötige Vertrauen aufbauen, damit es wieder mehr um Fragen wie Störungsfreiheit und Performance gehen kann. Daten zu schützen, ist eine gesetzliche Vorgabe, aber nicht das primäre Ziel. Das primäre Ziel ist es, eine Dienstleistung zu erbringen und Produktivität in Unternehmen oder Behörden zu verbessern.

Behörden Spiegel: Sie sprachen das fehlende Know-how bei der Nutzung von Technologie an. Das hängt eng mit dem Thema digitale Souveränität zusammen. Glauben Sie, dass in der heutigen globalen Situation digitale Souveränität eine Illusion ist?

Lenssen: Nein. Man sollte sich auf die Bedeutung des Wortes besinnen. Souveränität heißt, entscheiden zu können, mit welcher Technik man welche Aufgabe löst und selbstbestimmt Nutzung und Einsatzszenarien zu definieren. Es heißt nicht, dass man alles zwingend selbst machen muss.

Behörden Spiegel: Eine besondere Rolle spielt die Souveränität bei Netzen. In öffentlichen, aber auch in Regierungsnetzen u. a. der Bundeswehr werden ihre Produkte verbaut. Wie können Sie den Betreibern dort Selbstbestimmung ermöglichen?

Lenssen: Der Kunde entscheidet sich für Produkte, die mit Vertrauensangaben geliefert werden. Produkte müssen sicher hergestellt werden, in Prozessen, die nach außen hin nachvollziehbar und transparent sind – Stichwort: Secure Supply Chain. Dazu gehört ebenso die sichere Softwareentwicklung. Damit beschäftigen wir uns seit 15 Jahren und mit der Unterstützung anderer Hersteller ist dafür die ISO-Norm 27034 entstanden. Diese beschreibt, wie schon durch strukturelle Maßnahmen Fehlerquellen im Prozess eliminiert werden.

Letztendlich müssen Prozesse bewusst gestaltet und überwacht werden. Aus welchen Quellen sourced man? Wo wird produziert? Wie wird die Einhaltung der Vorgaben durch die Mitarbeiter überwacht? All diese Aspekte sind bei uns für den Kunden nachvollziehbar. Ganz wichtig ist die sichere Verteilung der Software. Sie sollte vom Unternehmen signiert werden, sodass man verifizieren kann, dass sie aus einer vertrauenswürdigen Quelle stammt. In unseren Produkten der letzten sechs Jahre haben wir sogenannte Trust-Anker-Module integriert. Diese sorgen dafür, dass mithilfe von Secure Boot nur vertrauenswürdige Software beim Gerätestart geladen wird.Heute ist es so, dass Ihnen so gut wie kein Betreiber eines Netzwerkes etwas über den aktuellen Zustand der Geräte und über die Software sagen kann. Bei unseren Produkten wissen Sie wenigstens, ob dort authentische Software aus einer Cisco-Quelle läuft.

Behörden Spiegel: Muss nicht auch die Herkunft der Hardware überprüfbar sein?

Lenssen: Das ist ein guter Punkt. Es hat tatsächlich schon Fälle von gefälschten Produkten gegeben. Die Transparenz darf eben nicht beim Hersteller enden, sondern muss die gesamte Lieferkette umfassen. Wenn der Kunde Produkte außerhalb der von uns autorisierten Kanäle einkauft, verletzt er die von uns aufgebaute Sicherheitskette. Alles, was dann passiert, liegt außerhalb unserer Kontrolle. Über solche Kanäle können gefälschte oder manipulierte Produkte in die Netze geraten und mit ihnen Schwachstellen und Lücken, die ausgenutzt werden können.

Behörden Spiegel: Beim Netzausbau ist immer wieder zu hören, dass ein Verzicht auf Huawei-Produkte technisch und finanziell von Nachteil wäre. Ist in dem Zusammenhang eine Multi-Vendor-Strategie zeitgemäß, also die Minimierung von Risiken durch die Nutzung vieler verschiedener Lieferanten?

Lenssen: Den Ansatz kann man fahren, wenn man bereit ist, die Auswirkungen an anderer Stelle mitzutragen. Die Multi-Vendor-Strategie verschärft zwangsweise den Fachkräfte-Bedarf, was gerade beim Betrieb von Verwaltungsnetzen problematisch wäre, da wir in Deutschland einen signifikanten Fachkräftemangel im IT-Bereich haben. Je mehr Hersteller im Boot sind, desto mehr qualifizierte Kräfte brauchen Sie im Netzbetrieb, die sich in den verschiedenen Welten auskennen. Und sie müssen diese Welten im Gesamtnetz auch wieder organisatorisch und operativ zusammenführen

Digitalisierung im Blick

Deutschlands digitaler Reifegrad ist besser als oft vermutet. Im Cisco Digital Readiness Index liegt Deutschland auf Rang 6 von 118. Mit den USA, der Schweiz, Singapur, den Niederlanden und Großbritannien führt die Bunderepublik damit die Gruppe der hochdigitalisierten Länder an. Gute Werte konnten in dem von Cisco gemeinsam mit Gartner erstellenten Ranking vor allem in den Kategorien Lebensstandards und wirtschaftliche Rahmenbedingungen erzielt werden.

Das vollständige Ranking ist unter www.cisco.de/digitalreadiness-deutschland abrufbar.

Aufschlussreich ist auch der Vergleich mit Ergebnissen der Cisco-Umfrage “So digital ist Deutschland wirklich”, der zufolge mehr als die Hälfte der Deutschen das Ausland bei digitalen Diensten besser aufgestellt sieht.

Weitere Ergebnisse unter: www.cisco.de/so-digital-ist-deutschland

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here