Hier ist Sicherheit vorprogrammiert

Michael Tschannen ist der Chief Technical Officer bei SecureSafe. Zusammen mit unserem Entwickler-Team ist er neben unserem eigenen Produkt für die Umsetzung von elektronischen Safe-Lösungen für Banken, Versicherungen und andere Unternehmen zuständig.

Was sind deine Hauptaufgaben als CTO bei SecureSafe?

Als CTO bin ich sozusagen der technische Leiter der Firma. Mein Arbeitsalltag ist dabei sehr vielseitig und reicht von der Projektbetreuung über die Erstellung der Software-Architektur bis hin zur Personalplanung. Am wichtigsten ist aber in jedem Fall, dass ich mich auf ein kompetentes Team verlassen kann – alleine mit Planen und Dokumentieren entsteht noch kein Produkt oder eine IT-Lösung.

In welchen Phasen laufen die Kundenprojekte in der Regel ab?

Die üblichen Phasen sind:

• Planung
• Definition der Use-Cases
• Definition der technischen Umsetzung (Design, Architektur, etc.)
• Technische Umsetzung
• Testing und Überprüfung
• Betrieb
• Weiterentwicklung

Dieses Vorgehen bei der Software-Entwicklung nennt sich «SDLC» (Systems Development Life Cycle) und läuft immer ungefähr gleich ab – auch wenn die Phasen z.T. anders heissen. Je nach Projekt laufen die Phasen sehr strikt nacheinander ab (bei grösseren Firmen eher üblich) oder greifen ineinander. In einem agilen Prozess greifen die Phasen stärker ineinander und die Iterationen sind kürzer, dafür mit konstantem Output. Dieses Vorgehen nennt man auch Agile Development, welches immer mit einer Grundidee startet und kurze Feedback-Zyklen beinhaltet.

Wie sieht die Zusammenarbeit mit Banken aus?

Banken haben im Gegensatz zu vielen anderen Branchen eine starke Affinität in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Daten. Zudem sind die Banken – insbesondere in der Schweiz – stark reguliert und verfügen so über stark ausgeprägte und kontrollierte Prozess-Systeme. Nichtsdestotrotz haben Banken in den letzten Jahren gezeigt, dass sie unter den traditionellen Service-Unternehmen in vielen Bereichen in Bezug auf Digitalisierung einen grossen Vorsprung erreichen können. Dadurch werden sie zu einem sehr wichtigen Partner, mit welchem der gegenseitige Austausch sehr spannend ist.

Wie sieht es bei KMU aus?

Einer der grössten Unterschiede zwischen KMU und Grossfirmen sind IT-Budgets: KMU müssen häufig mit sehr viel weniger Geld und z.T. auch Know-how auskommen. Wichtig ist jedoch, dass auch mit sehr kleinen Budgets ein minimaler Schutz erreicht wird. Dazu gehört beispielsweise Patch Management, Schulung der Mitarbeiter sowie besonderer Schutz der wichtigsten Daten. Am wichtigsten ist jedoch das Bewusstsein, dass es nicht nur Grosse trifft – auch kleine Firmen können Opfer eines Angriffs werden. Nicht zuletzt sollte für bessere Sicherheit auch mit kompetenten und verlässlichen Partnern zusammengearbeitet werden. Das spart am Ende dann auch wieder Geld. Denn alles selbst zu machen ist in den seltensten Fällen günstig.

Welche Herausforderungen siehst du für die Zukunft?

Eine der grössten Herausforderungen ist die stetig steigende Vernetzung. Hier gilt es das Thema Sicherheit nicht zu vergessen. Grundsätzlich gilt: Alle Geräte, die via Netzwerk angesprochen werden können, sind auch angreifbar. Das klingt trivial, kann jedoch fatale Folgen haben: Stell dir vor, ein Angreifer kann von irgendwo auf der Welt ein EKG in einem Spital abschalten – das kann tödliche Folgen haben.

Eine weitere Herausforderung bleibt auch in Zukunft der Kostenpunkt. Sicherheit wird häufig als hinderlich und zu teuer angesehen. Ich kann das gut verstehen, denn der Return on Investment für Entwicklung in Sicherheit ist schwierig zu beziffern. Sicherheit bringt den meisten Firmen keinen direkten finanziellen Gewinn ein – bis der Sicherheits-Gau dann eben passiert... Hier gilt ganz allgemein gesagt: Wenn etwas passiert, dann wird’s erst richtig teuer.

Welches ist der häufigste Irrtum, den du in Bezug auf Cloud-Security hörst?

«Meine Daten interessieren eh niemanden», ist mein persönlicher Favorit. Das ist schlicht falsch: Information – egal welcher Art – ist viel Geld wert, und das wird sowohl von Angreifern als auch von den so genannten «Gratis-Anbietern» ausgenutzt. Jeder Mensch und jede Firma ist letztendlich interessant. Nicht zuletzt ist der Mensch seit den 80er-Jahren eines der beliebtesten Einfallstore für Social-Engineering-Attacken. Genau aus diesem Grund rate ich jedem, sich zwei Mal zu überlegen, welche Daten er welchem Dienstleister überlassen will. Dazu gehören nicht nur persönliche Daten, sondern insbesondere auch Unternehmensdaten.

Der Online-Speicher von SecureSafe hat eine sehr komplexe Sicherheitsarchitektur: Wie wird ZeroKnowledge hergestellt und kann man das auch beweisen?

Im Gegensatz zu vielen anderen Cloud-Anbietern verdienen wir kein Geld mit den Daten unserer Kunden – wir kennen sie nämlich schlicht nicht. Alle gespeicherten Informationen sind mit einer komplexen Krypto-Architektur verschlüsselt, welche am Ende «baumartig» aufgebaut ist. Ganz zuoberst – sprich beim «Einstieg» – steht das Passwort des Benutzers. Ohne dieses Passwort können all die Schlüssel nicht freigeschaltet und letztendlich auch nicht entschlüsselt werden. Das führt dazu, dass selbst wir als Dienstleister nicht an die Daten unserer Kunden kommen, weil wir das Passwort nicht kennen. Wir haben diesen Ansatz komplett offengelegt und auch mehrfach extern prüfen lassen. Ich bin nach wie vor überzeugt, dass dies der einzig richtige Ansatz für einen Cloud-Dienstleister ist – wir wollen die Daten unserer Kunden ja letztendlich schützen, nicht auswerten.