Experten-Interview mit Felix "FX" Lindner

Sicherheit wird Bequemlichkeit und dem Ego geopfert

Seite: 3/3

Firma zum Thema

Security-Insider.de: Sie haben bei Kunden sicherlich einen guten Überblick: Welche Rolle kommt denn dem Chief Security Officer im Unternehmen zu, wie wandelt sich seine streategische und operative Rolle, sprich sein Aufgabenspektrum zwischen technischem Abwehrspezialist und Generalist, der zunehmend auch als Manager und "Business enabler" auftreten soll?

Felix "FX" Lindner: Das ist sicherlich der Fall. Die Rolle wird mehr und mehr Risiko-zentrisch und weniger technisch. Auch muss der CISO zunehmend die Frage des ROI beantworten, da Sicherheit fast überall erst einmal nur ein Kostenfaktor ist.

Security-Insider.de: Sie haben sich vor allem mit Schwachstellen im Bereich der IT-Infrastrukturen beschäftigt, insbesondere mit Routern. Gibt es hier große Unterschiede in der Anfälligkeit zwischen den Herstellern, oder gibt es relevante Sicherheitslöcher fast überall?

Felix "FX" Lindner: Es gibt tatsächlich größere Unterschiede zwischen den Herstellern. Dies hat mit unterschiedlichen Entwicklungsprozessen und dem Stellenwert von Produktsicherheit beim Hersteller zu tun.

Security-Insider.de: Wie sieht es mit Huawei aus, der Hersteller hat Sie als Experte eingeladen, um den Schutz der eigenen Produkte zu verbessern. Wo sehen Sie hier konkret die Schwachstellen, die es zu beseitigen gilt, natürlich ohne ganz sensible Tipps zu verrraten?

Felix "FX" Lindner: Huawei leidet unter ihrem rasanten Wachstum und einer Entwicklungskultur, die noch aus den 90ern stammt. Sie bemühen sich nun, dies zu ändern und einen modernen Prozess zu etablieren, müssen sich aber auch mit den vielen Geräten auseinandersetzen, die sie schon verkauft und verbaut haben. Da warten noch einige Herausforderungen auf das Unternehmen.

Security-Insider.de: Wie groß sehen Sie denn das Risiko, dass potentielle Sicherheitslücken bei Routern auch konkret ausgenutzt werden, wie sind hier Ihre Erfahrungen?

Felix "FX" Lindner: Früher war, meinen eigenen empirischen Ergebnissen zufolge, das Risiko sehr gering. Mit der Zunahme professioneller staatlicher Akteure wird sich das wahrscheinlich schnell ändern.

Security-Insider.de: Wie stehen Sie zu den gelegentlich fast schon ideologisch ausgefochtenen Grabenkämpfen, dass Open Source sicherer sei als proprietäre Softwareprodukte der Marke Microsoft & Co.?

Felix "FX" Lindner: Agnostisch. Es gibt auf beiden Seiten Beispiele für besonders gute und besonders schlechte Sicherheit. Microsoft ist allerdings zu einem Vorbild für einen guten Produktentwicklungsprozess mit hohen Anforderungen an die Produktsicherheit geworden.

Security-Insider.de: Anders gefragt: Bleibt "Security by Design", angefangen bei der Softwareentwicklung, bis hin zu den Endprodukten und dem richtigen Nutzerverhalten, ein unrealistisches Fernziel oder ist es doch greifbar?

Felix "FX" Lindner: Einige unserer Kunden streben recht erfolgreich danach und haben langfristig damit die Erfahrung gemacht, dass es sich eben doch auszahlt. Andere Hersteller versuchen zur Zeit, ob man Sicherheits-Probleme nicht als PR-Aufgabe sehen kann, bei der es nur um die Begrenzung des Image-Schadens geht. Ich denke nicht, dass die zweite Strategie Erfolg haben wird.

Security-Insider.de: Mit welchen spannenden Entdeckungen dürfen wir Ihrerseits demnächst sonst noch rechnen, wo setzen Sie mit Ihrem Forschungs- und Beratungsunternehmen Recurity Labs den Schwerpunkt?

Felix "FX" Lindner: Das wird nicht verraten.

Security-Insider.de: Und abschließend noch ein Lesetipp: Welche spannenden Security-Blogs und andere informationsangebote frequentieren Sie im Netz gerne, um sich auf dem Laufenden zu halten (auch dunkle Seiten können hier genannt werden)?

Felix "FX" Lindner: Fangen wir mit einem Negativ-Tipp an: Man sollte Hersteller-Publikationen vermeiden, da die Interessenslage dort nicht immer der objektiven Betrachtung förderlich ist. Ich persönlich bevorzuge die hohe Granularität, die Twitter bietet, da man hier nicht nur Organisationen, sondern auch Individuen gezielt aussuchen kann, deren Meinungen einen interessieren.

(ID:37599960)