Fatih Denizdas, Head of Automation Cyber Security bei Yokogawa Deutschland, verfügt über 25 Jahre IT- und OT-Expertise mit Schwerpunkt auf weltweiten Cyber Security-Projekten. Seit Oktober 2019 leitet er die Automation Cyber Security Abteilung in Deutschland. Als zertifizierter Global Industrial Cyber Security Professional, kurz (GICSP), und Certified Ethical Hacker (CEH) beherrscht er souverän die umfangreichen und sich stetig im Wandel befindenden Security-Instrumentarien. Zudem verfügt er über die Zertifizierungen als Cisco Security Expert, Microsoft Professional und Virtualization Hyper-V | Vmware. Nun nahm sich Denizdas Zeit für ein Gespräch.
Hallo Fatih, was waren zurückblickend Deine ersten Berührungspunkte mit dem Thema Cyber Security? Wieso hast Du Dich dazu entschlossen, Deinen beruflichen und fachlichen Schwerpunkt auf dieses Thema zu legen?
Fatih Denzidas: 1986 wurde der erste Hackerangriff aufgedeckt und im Laufe der Jahre nahmen die Bedrohungen durch von Cyberkriminellen entwickelte Viren, Trojaner und ähnliche Dinge zu. Die Möglichkeiten der fortschreitenden digitalen Transformation sind immens. Sie sind eine Bereicherung in jeglicher Hinsicht. Gleichzeitig bieten sie bei unzureichendem Schutz ein Eintrittstor für Individuen mit kriminellen Intentionen. Mit Hilfe der digitalen Transformation lassen sich beispielsweise ganze Städte steuern, sogenannte „Smart Cities“, die man aber auch entsprechend lahm legen könnte. Ich bin fest davon überzeugt, dass Technik in allen Bereichen unser Leben im beruflichen wie auch im privaten Bereich erleichtern wird.
Mit meiner täglichen Arbeit möchte ich die Grundpfeiler für eine sichere Umsetzung der digitalen Transformation schaffen. Mit Hilfe von Cyber Security bin ich in der Lage, mich aktiv an einer besseren, sicheren Zukunft zu beteiligen und dadurch das Leben und die Arbeit von Millionen von Menschen zu schützen.
Du hast zahlreiche Zusatzqualifikationen. So bist Du unter anderem zertifizierter Global Industrial Cyber Security Professional, kurz GICSP. Warum hast Du Dich gerade für diese Zertifizierung entschieden?
Denizdas: In den vergangenen fünf Jahren ist die Besorgnis über die Security industrieller Steuerungssysteme (ICS) enorm gestiegen. Auslöser verstärkter Aktivitäten rund um die Security von industriellen Steuerungen war der Cyberangriff auf die iranische Urananreicherungsanlage in Natanz im Jahr 2010. Der Wurm Stuxnet manipulierte letztlich die Zentrifugen der Anlage. Seitdem ist auch das Bewusstsein für die Gefahren aus der Cyber-Welt in der sogenannten kritischen Infrastruktur gestiegen.
Natürlich gibt es viele Security-Experten mit Erfahrung und Zertifizierungen in IT-Sicherheit. Aber es gibt nur sehr wenige Fachkräfte, die Erfahrungen und Kenntnisse im Bereich Cyber Security speziell für den OT-Bereich haben. Für Spezialisten, die sich auf die Security von industriellen Steuerungssystemen fokussieren wollen, ist der Erwerb dieses Zertifikats obligatorisch. Daher habe ich die Zertifizierung zum Global Industrial Cyber Security Professional absolviert.
Inwieweit profitierst Du im operativen und strategischen Geschäft von Deinen Fähigkeiten und Deinem Know-How als Ethical Hacker?
Denizdas: Jedes IT-System hat Schwachstellen. Es vergeht kein Tag, an dem nicht ein Hacker eine bestimmte Schwachstelle ausnutzt. Was geht im Kopf eines Hackers vor? Nur indem man sich das Denken eines Hackers zu eigen macht, kann man das Vorgehen des Gegners verstehen. Ein Angriff auf sensible Unternehmensdaten erfolgt nicht immer nach dem gleichen Muster. Hacker sind in ihren Herangehensweisen durchaus kreativ. Ein Ethical Hacker besitzt die gleichen Skills wie ein bösartiger Hacker. Er nutzt diese jedoch nicht, um Schaden anzurichten, sondern um diesen zu vermeiden. Wenn man die Brille des Hackers aufsetzen kann, macht man sich viel realistischer Gedanken, was die Gefahren und Risiken betrifft.
Alles nur positiv zu betrachten, ist leider blauäugig. So sieht man die Angriffsvektoren nicht. In meiner beruflichen Laufbahn habe ich bereits eine Vielzahl von Schwachstellen in zahlreichen Unternehmensnetzwerken aufdecken können. Daher nutze ich meine speziellen Kenntnisse auch laufend im operativen und strategischen Geschäft als Ansprechpartner für unsere Kunden rund um das Thema Cyber Security in der OT-Welt.
Stichwort digitale Transformation: Die Welt befindet sich im Umbruch. Die Art und Weise, wie wir Umsatz erwirtschaften, wandelt sich fundamental. Disruptive Technologien durchbrechen traditionelle Prozesse und Verfahren. Worauf sollte man im Zuge dessen sein Augenmerk legen?
Denizdas: Digitale Technologien sind das zentrale Instrument, um die Wertschöpfungskette zu optimieren. In einer vernetzten Wertschöpfungskette werden beispielsweise Daten verschiedener Stufen erhoben und mit anderen internen und externen Beteiligten geteilt. Daten fließen in Echtzeit von A nach B. Dieser Flow muss selbstverständlich ‚secure‘ erfolgen, um die sensitiven Daten zu schützen. Dies bedeutet, dass neben dem entscheidenden industriellen Aspekt ‚Funktionale Sicherheit‘ nun auch ‚Cyber Security‘ als ebenbürtig zu sehen ist. Beides muss Hand in Hand gehen, um eine Plattform für den Einsatz von digitalen Technologien zu gewährleisten, die ‚safe‘ und ‚secure‘ zugleich ist.
Was müssen Unternehmen beachten, um die digitale Transformation im Hinblick auf Cyber Security in Einklang zu bringen?
Denizdas: Cyber Security ist ein wirtschaftlicher “Erfolgsgarant” und somit signifikanter Bestandteil des Risikomanagements. Laut der aktuellen Studie ‚Assuring Digital Trust‘ des Infosys Knowledge Institutes (IKI) arbeiten fast 48 Prozent des Management Boards sowie 63 Prozent der an der Umfrage teilnehmenden Führungskräfte aktiv an der Entwicklung von Cyber-Security-Strategien.
Die tragenden Säulen für eine effektvolle Cyber-Security-Strategie lauten: People + Process + Technology. Es ist nicht ausreichend, Technologien lediglich einzuführen. Die Prozesse müssen ebenfalls entsprechend feinjustiert werden. Genauso wie das Bewusstsein eines jeden einzelnen Mitarbeiters in puncto Security – Stichwort Security Awareness im Unternehmen. Die Gesamtlösung muss in sich stimmig sein. Dabei sollte man nicht vergessen, dass Security ein kontinuierlicher Prozess ist. Dieser sollte von Experten begleitet werden, die sowohl die Technologien als auch das Business verstehen.
Was sind die neu aufkommenden Spitzentechnologien und Trends für Security?
Denizdas: Auch in Zukunft wird das Thema „Security-Awareness-Schulungen“ regelmäßig auf der Tagesordnung stehen. Social Engineers haben fatalerweise die Beeinflussbarkeit des Menschen als die große, effektvolle Sicherheitslücke erkannt. Dies wird auch als Human Hacking tituliert. Anstelle des Computers, Rechners oder Servers wird dabei ernstlich die Psyche eines Menschen ‚gehackt‘, um ihm subtil sensible Daten oder Informationen zu entlocken. Überdies kann der Mensch durch die Manipulationen auch leider zu Taten motiviert werden, die er ohne die Intervention nicht ausgeführt hätte. Der Mensch ist also ein ernstzunehmendes Sicherheitsrisiko, das die Cyber-Resilienz maßgeblich beeinflussen kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt infolgedessen eine regelmäßige Schulung aller Mitarbeiter zum Themenkomplex Social Engineering.
Des Weiteren wird die Datenschutz-Grundverordnung, kurz DSGVO, oder General Data Protection Regulation (GDPR) im Hinblick auf die Datensicherheit innerhalb des Datenschutzes eine größere Rolle spielen. Security und Datenschutz müssen sinnvoll verknüpft werden. Denn die Security muss datenschutzkonform sein, während der Datenschutz ohne die Security der Verarbeitung nicht auskommt.
Ebenfalls im Fokus wird das Etablieren eines Security Operations Centers, abgekürzt SOC, stehen. Das SOC ist die Leitstelle für alle Security relevanten Services im IT/OT-Umfeld von Unternehmen. Es immunisiert die Infrastruktur und Architektur vor internen und externen Gefahren. Alle Angelegenheiten werden an einer zentralen Stelle gemanagt, so dass das benötigte Security-Budget auch tragbarer zu bestimmen ist. Überdies liegt hier auch der Charme, dass das Management einen zentralen Ansprechpartner für alle Security betreffenden Fragen hat. Das Management wird proaktiv und kontinuierlich vom SOC unterrichtet. Somit ist man über mögliche Risiken immer auf dem Laufenden. So kann es auf Basis von dezidierten Informationen Security-Strategien in die Unternehmensplanung einbeziehen. Sind konkrete Security-Maßnahmen zu treffen, besitzt das SOC hierfür die notwendige Kompetenz und das Know-how. Es kann auch beratend in verschiedenen Bereichen der Organisation tätig werden.
Security ist weder ein Produkt noch ein Zustand. Es ist vielmehr ein fortwährender Prozess, der die gesamte Organisation angeht. xxxWir informieren Sie gerne darüber, wie Sie ein ganzheitliches Security-Konzept realisieren, um Ihre komplette Organisation resilient halten zu können.xxx
Ökosysteme – Neue Geschäftsmodelle: Wichtig für die Disruptionsstrategie
FIDO: Auf wie vielen Nutzerkonten verteilen Sie Ihre digitale Identität?
