Interview „Die wertvollste Ressource heute sind Daten – und nicht Öl oder Gold“

Symbolbild Cybersicherheit
Symbolbild Cybersicherheit
© pixelcreatures / Pixabay
Terry Halvorsen ist als Samsung-CIO ein Experte für die Sicherheit von Daten. Mit Capital sprach er über Cybersicherheit im öffentlichen und privaten Sektor.

Terry Halvorsen ist CIO von Samsung Electronics, zuvor war er in gleicher Funktion im US-Verteidigungsministerium. Auf der Munich Cybersecurity Conference des Sicherheitsnetzwerks München zählte er zu dem prominenten Experten. Capital war Medienpartner der Konferenz.

Capital: Sie haben lange Zeit im öffentlichen Sektor für das US-Verteidigungsministerium gearbeitet, inzwischen sind sie CIO des koreanischen Unternehmens Samsung. Hat sich Ihre Meinung zur Cybersicherheit in dieser Zeit geändert?

Terry Halvorsen: Nein. Ich war immer der Meinung, dass wir Cybersicherheit mit der Mission eines Unternehmens oder einer Regierung und der Wirtschaftlichkeit in Einklang bringen müssen. Wir wollen gute Cybersicherheit, aber wir müssen auch berücksichtigen, dass Cybersicherheit nur dann wirksam ist, wenn sie uns nicht daran hindert unser Geschäft oder unsere Mission zu verfolgen. Wir brauchen also eine Cybersicherheit, die unsere Mission unterstützt. Im Verbraucherbereich müssen die Systeme so einfach sein, dass Verbraucher sie auch nutzen können. Sie sollten sie nicht zu viel Zeit und Unannehmlichkeiten kosten. Andernfalls werden sie aufhören, sie zu benutzen.

Es gibt also in diesem Zusammenhang keine Unterschiede zwischen den Verantwortlichkeiten einer staatlichen Institution und eines Unternehmens?

Es gibt definitiv Unterschiede in der Verantwortung von Staat und Unternehmen. Aber die Prozesse und Verfahren funktionieren bei Unternehmen und beim Staat gleich. Der Staat hat sicherlich eine höhere Verantwortung für den Schutz seiner Informationen und seiner Bürger als ein Unternehmen, aber er nutzt die gleichen Prozesse.

Ist das Risiko von Cyberspionage oder gar Sabotage in Unternehmen oder in staatlichen Institutionen höher?

Es gibt sicherlich einige Regierungsaktivitäten die für andere Regierungen reizvolle Spionageziele sind. In der Industrie wollen andere Unternehmen Daten meist, um Geld zu verdienen, während es bei Regierungen hauptsächlich um Informationen geht. Aber sowohl der Staat als auch die Unternehmen tragen ein Risiko. Es ist situations- und datenabhängig, wer zu welchem Zeitpunkt das höhere Risiko trägt.

Wer ist denn besser vorbereitet?

Auch das hängt von den Aktivitäten und der Industrie ab. Ich denke zum Beispiel, dass die Finanzindustrie gut vorbereitet ist. Und im Allgemeinen sind auch die Militär- und Sicherheitskräfte ziemlich gut vorbereitet. Diese zwei Bereiche sind wahrscheinlich an der Spitze und dann gibt es andere Geschäfts- und Regierungsfelder, die weniger gut vorbereitet sind.

Huawei dominierte in den letzten Wochen die Schlagzeilen. Was ist Ihre Meinung dazu? Stellen Unternehmen wie Huawei tatsächlich eine Bedrohung der Cybersicherheit dar?

Es gab verschiedene Gerichtsverfahren gegen Huawei. Und meine Antwort ist: Egal, was man als Unternehmen oder Regierung tut, man muss sich auf alle Bedrohungen vorbereiten, die in dem System möglich sind. Unternehmen, die mit Regierungen Geschäfte machen wollen, müssen sehr offen über ihre Prozesse, ihren Code und ihre Lieferkette berichten, und dann sollten Regierungen ihre eigene Risikoanalyse erstellen. Basierend auf ihrer Bewertung der Daten, die ihnen von Unternehmen zur Verfügung gestellt werden.

Wie groß sind die Cyber-Sicherheitsrisiken in Zusammenhang mit Telekommunikation und digitaler Infrastruktur – unabhängig von Huawei?

Ich denke, dass die Telekommunikationsbranche im Allgemeinen mit einer höheren Gefahr in dem Bereich konfrontiert ist. Denn die wertvollste Ressource in der heutigen Welt sind Daten – nicht Gold oder Öl. Wenn Sie also jemand sind, der Verbrechen für Geld begeht, sind Informationen ihr Diebesgut. Wenn Sie eine Regierung sind, die sich einen Vorteil verschaffen will, sind Informationen das, was sie stehlen wollen. Und die Telekommunikationsbranche kontrolliert alle Daten. Da die Telekommunikationsindustrie über all diese Informationen verfügt, agiert sie auf einem höheren Risikoniveau bei Cyberfragen als andere Branchen.

Betreffen diese Risiken jeden Lieferanten für solche Technologien? Ist es unabhängig vom Land, in dem sich das Unternehmen befindet?

Ich denke, es spielt keine Rolle aus welchem Land ein Unternehmen kommt. Es hängt davon ab, wie Unternehmen ihre Lieferketten managen und wie transparent sie in ihren Prozessen sind. Unternehmen sind verpflichtet, gegenüber Regierungen sehr transparent zu sein, was ihre Lieferkette, ihre Lieferkettenprozesse, ihren Code und die Verteilung ihrer Daten anbelangt. Sie müssen gegenüber ihren Regierungskunden viel offener sein als gegenüber ihren gewerblichen Kunden. Weil die Regierungen die Pflicht haben, ihre Bürger, ihre nationalen Daten und ihr nationales Vermögen zu schützen.

Liegt die Verantwortung beim Unternehmen, transparent zu sein, oder liegt sie beim Staat, Transparenz einzufordern?

Der Staat muss sie einfordern, aber Unternehmen müssen sie auch liefern.

Besteht denn generell die Gefahr, dass sich die Herkunftsländer von Unternehmen irgendwie in ihre Entscheidungen einmischen und ihr Handeln beeinflussen?

Das werde ich nicht kommentieren. Ich denke, wenn man sich die Welt ansieht, findet man bestimmte Orte, an denen es nicht die höchste Achtung vor dem Gesetz oder die normalen Erwartungen an Datensicherheit und Datenschutz gibt. Es gibt Beispiele für Länder, die diese Regeln nicht einhalten, wie etwa Nordkorea.

Neben Huawei ist die Industriespionage aus China eine erwiesene Bedrohung. Wie reagiert Samsung auf diese Bedrohung?

Samsung reagiert nicht gezielt auf die industrielle Bedrohung durch China. Samsung reagiert auf die Bedrohung, die von überall auf der Welt ausgehen könnte. Wo auch immer eine Bedrohung entsteht, die Reaktion ist die gleiche.

Denken Sie, Samsung ist ausreichend vorbereitet?

Es gibt immer Raum für Verbesserungen, aber ich denke, Samsung hat die höchsten Sicherheitsstandards in dieser Branche.

Gibt es Unterschiede in der Vorbereitung zwischen Unternehmen aus den USA, Asien und Europa?

Ich denke, dass es bei der Cybersicherheit zwischen den Unternehmen Unterschiede gibt. Ich weiß aber nicht, ob sich das geografisch eingrenzen lässt. Ich würde sagen, dass einige Unternehmen besser sind als andere, so wie einige Regierungen besser sind als andere bei der Cybersicherheit.

Liegt es in der alleinigen Verantwortung der Unternehmen, Spionage zu verhindern, oder muss auch die Politik handeln? Muss sie Unternehmen unterstützen?

Regierungen haben die Verantwortung, Gesetze und Prozesse festzulegen, die nicht nur Unternehmen, sondern auch Bürger schützen. Die Regierungen sind verpflichtet, ein Umfeld zu schaffen, das alle ermutigt, sehr gute Cybersicherheitspraktiken anzuwenden. Es ist genau so wie die Regierungen Regeln aufstellen, um den Verkehr auf den Straßen zu regeln, um Menschen vor physischer Kriminalität zu schützen. Die gleichen Verpflichtungen haben Regierungen, ihre Unternehmen und Bürger vor Cyberkriminalität zu schützen.

Ändert sich die Bedeutung der Cybersicherheit durch Technologien wie Künstliche Intelligenz?

Ich denke, die Bedeutung der Cybersicherheit ändert sich, weil wir zu einer stärker datengesteuerten und datentransparenten Gesellschaft werden. Künstliche Intelligenz kann dabei eine gute oder schlechte Rolle spielen, denn jede Technologie kann für gute oder schlechte Zwecke eingesetzt werden.

Außerdem können Internet der Dinge und Smart Home-Systeme gehackt werden. Das könnte eine echte Bedrohung für die Verbraucher selbst – und nicht nur für Unternehmen oder Staaten – darstellen. Müssen Kunden darüber aufgeklärt werden?

Ja, auf jeden Fall.

Wer sollte das tun?

Ich denke, es geht um eine Kombination aus Regierung und Unternehmen.

Tut Samsung das?

Ja.

Wie?

Wir bieten unsere Telefone mit integrierten Sicherheitssystemen an. Wir haben ein System für Cybersicherheit namens Knox. Wir haben Programme, um die Menschen über die Risiken zu informieren. Wir beteiligen uns an Organisationen und Behörden, die weltweit gute Cybersicherheitsstandards fördern. Ich denke, wir leisten sehr gute Arbeit bei der Aufklärung und Verbesserung der Cybersicherheit für alle.

Und glauben Sie, dass es ausreicht, Menschen auszubilden und ihnen die Wahl dann zu überlassen? Oder sollten einige Technologien einfach verboten werden, um die Menschen zu schützen?

Das ist meine eigene Meinung, aber ich würde ein Beispiel nennen: Aus der Analyse von Verkehrsunfällen auf der ganzen Welt wussten wir, dass Menschen, die angeschnallt sind, besser geschützt sind. Und wir haben die Leute darüber aufgeklärt, aber trotzdem haben sie es nicht gemacht. Als einige Länder eine Geldstrafe für das Nichtanschnallen verhängt haben, schnallten sich die Menschen an und die Unfälle gingen zurück. Ich denke mit reiflicher Überlegung: Manchmal müssen Regierungen verstärkt gutes Verhalten fördern, und das sowohl im Cyber-Kontext als auch im physischen Kontext.

Mehr zum Thema

Neueste Artikel