Close Menu
    Facebook X (Twitter) Instagram
    HI:TECH CAMPUS
    • Karrierenetzwerke
      • Karrierenetzwerk Cloud, Data & KI
      • Karrierenetzwerk Consulting & IT-Dienstleister
      • Karrierenetzwerk Connected Retail
      • Karrierenetzwerk Cyber Security
      • Karrierenetzwerk Future of Finance
      • Karrierenetzwerk Healthcare-IT
      • Karrierenetzwerk Mathe & NaWi
      • Karrierenetzwerk New Mobility
      • Karrierenetzwerk für öffentliche Arbeitgeber
    • Top-Arbeitgeber
      • AWADO
      • BASF
      • BMW Group
      • Bundeswehr
      • DEKRA
      • Finanz Informatik
      • ING Deutschland
      • INFOMOTION
      • Max Planck Digital Library
        • Hightech-Themen bei der MPDL
      • msg systems ag
      • Ortenau Klinikum
      • PwC Deutschland
      • RSM Ebner Stolz
      • Simon-Kucher
      • Stadt Ulm
        • KI bei der Stadt Ulm
      • thyssenkrupp Marine Systems
      • TransnetBW
      • ZEISS
    • Frauen x Tech
    • Nachhaltigkeit
    • Start-up Szene
    • Jobbörse
      • Für Unternehmen: Job einstellen
    HI:TECH CAMPUS
    Home » Ein neues Bewusstsein für Daten
    Viele Apps, noch mehr Daten – doch über unnötige Berechtigungen denkt kaum einer nach.

    Ein neues Bewusstsein für Daten

    0
    By Bettina Riedel on 24. September 2020 IT-Beratung, Karrierenetzwerk IT-Sicherheit & Cyber, Karrierenetzwerk Software Engineering, KPMG

    „Die Cyberkriminalität ist eine extrem professionalisierte Industrie geworden“, statiert Wilhelm Dolle, Head of Cyber Security bei KPMG. Welche Angriffsszenarien Unternehmen im Blick haben sollten und an welchen Stellschrauben im Namen der Sicherheit nachgezogen werden muss, erklärt er im Gespräch mit HI:TECH CAMPUS-Chefredakteurin Bettina Riedel.

    Herr Dolle, wie kamen Sie zur Cyber Security?
    In den Achtzigern habe ich mich aus Interesse mit Schadcodes, Rootkit-Analysen und Co. beschäftigt, in den Neunzigern kamen organisatorische Themen hinzu – eine Mischung, die auch jetzt noch aktuell ist: Als Head of Cyber Security leite ich derzeit eine Abteilung bei KPMG mit zirka 150 Mitarbeiterinnen und Mitarbeitern. 

    Was dürfen unsere Leser:innen sich unter dieser Abteilung vorstellen?
    Vielleicht setze ich erst einmal an den Begrifflichkeiten an. Oftmals taucht „der Coder“ auf, genauso „der Hacker“. Ersterer entwickelt Software, das ist grundsätzlich nichts Kriminelles – abgesehen davon, dass es auch viele Angreifer:innen ohne eigenes Know-how, sogenannte Script-Kiddies, gibt, die sich Angriffswerkzeuge am Markt einkaufen. Ein Hacker oder eine Hackerin ist jemand, der/die Spaß an technischen Geräten und technischen Prozessen hat und sich einfach um des Erkenntnisgewinns willen auch Sicherheitslücken ansieht. Die negative Konnotation der Begriffe ist also meistens völlig ungerechtfertigt.

    Gegen wen kämpfen Sie also in Wirklichkeit?
    Der „wahre Feind“ unserer Unternehmenskunden entstammt nicht der naiv-romantischen Vorstellung, die Vorstandsvorsitzenden und Aufsichtsrät:innen manchmal noch haben: die nerdigen Jungs bei Mama im Keller. Stattdessen ist eine hochprofessionell ausgebaute Industrie entstanden: Cyberkriminelle bilden teilweise große Gruppen, sind top ausgebildet, arbeiten mit der neuesten Hard- und Software und teilweise sogar im Schichtdienst. Die Organisierte Kriminalität hat festgestellt, dass die Margen in Cyberkriminalität viel höher sind als etwa beim Menschen-, Drogen- oder Waffenhandel. Außerdem fällt die physische Komponente der Warenübergabe weg, sodass auch das Risiko verringert wird. Der einfachste Fall von Cyberkriminalität ist, dass eine Schadsoftware irgendwo eingeschleust wird, die die Festplatte verschlüsselt und ein Lösegeld für die Freigabe einfordert – sogenannte Ransomware. Dafür muss ich als Angreifer:in mein sicheres Land nicht verlassen. Man nutzt beispielsweise einen Sprungserver, ändert so seine IP und agiert aus einem Land heraus, wo die Strafverfolgungsbehörden nicht mit Deutschland zusammenarbeiten, es einen Zeitzonenunterschied gibt und Sprachbarrieren on top.

    Meine Gegenseite ist also hochprofessionell. Sie entwickelt Schadsoftware im Auftrag, die aktuelle Schwachstellen in Systemen ausnutzt, stiehlt selbst Daten … und sobald eine von Kriminellen verkaufte Software von gängigen Antiviren-Scannern erkannt wird, kann man sich als Kund:in melden und eine neue Version fordern – dann erhalte ich ein Update, wie bei einer typischen Gewährleistung.

    Sicherheitsbewusstes Verhalten im Internet

    Wie schützt man sich als Unternehmen dagegen?
    Es braucht eine gute Mischung aus organisatorischer und technischer Sicherheit. Dazu muss zum anderen ein ganzheitlicher, strategischer Ansatz kommen, der unter anderem auch die Weiterbildung der Mitarbeiter:innen in den Fokus rückt. Man kann noch so viel Technik kaufen – wenn die Kolleg:innen auf alles klicken, was sich bewegt, bringt das nichts. Gerade in der jetzigen Zeit, in der Home Office so angesagt ist wie nie.

    Endverbraucher benötigen also ein neues Cyberbewusstsein.
    Absolut. Das beginnt bei einfachsten Dingen, wie dem privaten Handy und wie leichtfertig neue Apps installiert werden, die es weder bräuchte noch besonders auf Sicherheit und Datenschutz geprüft werden. Essenzielle Berechtigungen, die auf wichtige Daten des Endverbrauchers zugreifen, werden gegeben, ohne groß darüber nachzudenken. Ich würde mir wünschen, dass sich hier jeder mehr Gedanken dazu machen würde.

    Aktuell wird eine Art Gütesiegel für Cyber Security entwickelt, ähnlich wie die Lebensmittelampel – kann man auch kritisch sehen. Aber es wäre ein Werkzeug für den Alltag, um jedes Produkt sehr schnell einschätzen zu können. Hintertüren wird es aber in prinzipiell jeder Software geben, bei einigen Unternehmen wurde dies sogar schon nachgewiesen. Meistens sehen diese Hintertüren aus wie Entwickler-Fehler, als könne man sie mit einem Update beheben. In Wirklichkeit hat man sie eingebaut, um ganz bewusst eine leicht ausnutzbare Sicherheitsschwachstelle zu kreieren und später deren Kenntnis abstreiten zu können. Entsprechend müssen User:innen meines Erachtens einen Schritt Richtung Datensparsamkeit machen. Wer Daten an Orten speichert, die aus dem Netz zugänglich sind, muss davon ausgehen, dass sie abhandenkommen können. Ein Gedanke, der auch der IT-Sicherheit bei den meisten Unternehmen selbst zugrunde liegt: Diese setzen beispielsweise nicht nur auf gute Verschlüsselung, sondern operieren auch auf einer Need-to-know-Basis; also Leute, die Zugriff auf Daten nicht brauchen, kriegen ihn nicht, fertig. Verpflichtendes Verschlüsseln ist ein anderes Beispiel – ein System erzwingt, dass ich einen USB-Stick verschlüssele, bevor ich überhaupt etwas darauf speichern kann, um dem Datenverlust bei Verlieren des Mediums oder beim Diebstahl zu vermeiden. Berufseinsteiger:innen sollten beispielsweise auch intensiv geschult werden, bevor sie beginnen, im Netz aktiv zu werden und auf Kund:innen treffen.

    Typische Projekte in der Cyber Security-Abteilung

    Wilhelm Dolle
    Wilhelm Dolle, Head of Cyber Security bei KPMG

    Mit welchen sicherheitsbezogenen Aufträgen haben Sie mandantenseitig zu tun?
    In unserer Arbeit gibt es sehr unterschiedliche Aufträge. Ein Klassiker wäre ein Penetrationstest, bei dem wir versuchen, uns in Systeme zu hacken, Daten zu stehlen und so Sicherheitslücken für den Kunden oder die Kundin aufzudecken. Ein Praxisbeispiel ist die IT in der Produktion eines produzierenden Unternehmens. Ein anderer möglicher Auftrag wäre, dass ein Unternehmen bereits einen Sicherheitsvorfall hatte und ein Cyber Security-Programm-Management aufgesetzt werden soll, um mögliche Schwachstellen zu beheben. Das kann im Übrigen durchaus drei bis fünf Jahre dauern. Ein weiteres Beispiel ist die UNECE-Richtlinie und betrifft neu zuzulassende Autos ab Mitte 2022: Die Fahrzeuge müssen ein Cyber Security-Management-System eingebaut haben, denn zukünftig wird es mit 5G-Entwicklungen hin zu Smart Citys geben, bei denen viele Daten übertragen werden.

    Die Sicherheit von Produktionsanlagen oder dem MRT- oder Röntgengerät im Krankenhaus ist ebenfalls ein brandaktuelles Thema. Sie alle laufen mit Betriebssystemen, die Sicherheitslücken haben – dieser Bereich benötigt dringend Verstärkung und die Regierung aktualisiert auch gerade mit dem IT-Sicherheitsgesetz und der entsprechenden KRITIS-Verordnung die gesetzliche Grundlage. Das wiederum führt dazu, dass bei unseren Kund:innen Veränderungen nötig werden.

    Sie sind ja auch in der Lehre tätig. Inwiefern ist es wichtig, dass Wissenschaft und Forschung miteinander kooperieren?
    Super wichtig, weil wir als Berater:in natürlich am Puls der Zeit sein müssen und zum Glück haben wir in Deutschland eine hohe Anzahl relevanter Forschungseinrichtungen. Kooperation kann aber auch anders aussehen: Einmal im Jahr melden wir ein Team bei einem digitalen Capture-The-Flag-Event an. Etwa fünfzig Hacker-Teams treten gegeneinander an und müssen sich gegenseitig Flaggen abjagen. Da nehmen wir seit einigen Jahren teil und kommen auch immer wieder mal unter die ersten drei. Es gibt nichts zu gewinnen außer Prestige.

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email

    Hier geht's zurück zum Karrierenetzwerk

    So funktioniert dein Netzwerk:

    Auf dem HI:TECH CAMPUS kommen drei Zielgruppen zusammen und nutzen die Plattform zum Austausch und zur Kommunikation:

    • Exzellente Hochschulen und Lehrstühle, an denen der MINT-Nachwuchs ausgebildet wird und über die Beiträge kommunizieren, an welchen Instituten mit welchem Fokus gelehrt und geforscht wird.

    • Die Studierenden, angehenden Absolventen, studentischen Gruppen (wie etwa Formula Student) und Young Professionals, die sich über Karriere- und Weiterbildungsmöglichkeiten informieren.

    • Arbeitgeber, die dem akademischen Nachwuchs attraktive Einstiegs- und Entwicklungsmöglichkeiten bieten. 

    Deine Top-Arbeitgeber

    Klick auf das Logo und geh zum Profil!

    Einstieg in die SAP-Beratung, IT-Trainee im Consulting

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    Bewerbung & Interview

    So findest du das perfekte Traineeprogramm

    Das Angebot ist üppig – klar, Traineeangebote kommen ja auch bei euch gut an. Wir haben die ultimative Checkliste erstellt, die dir hilft, das perfekte Traineeprogramm für dich zu finden! Hier kannst du weiterlesen.


    Tipps für dein Video-Vorstellungsgespräch!

    Da sich echte Gespräche vor Ort und Videocalls ein wenig voneinander unterscheiden, solltest du einige Dinge beachten, damit du den perfekten ersten Eindruck machen (und dir verschaffen!) kannst. Hier geht's zu unserer praktischen Checkliste!


    "Für Bewerbungen sollte man sich niemals verbiegen"

    Sandra Gehde, Personalmanagerin, erzählt uns von ihren Tipps und Tricks für eine erfolgreiche und mühelose Bewerbung. Sie stellte fest: Die meisten stecken zu viel Arbeit in ihre Bewerbung und verkomplizieren es sich selbst. Hier kannst du weiterlesen.

    Newsletter für Studierende

    Von Top-Jobs und Praktika als Erste:r erfahren: Abonniere unseren Newsletter und erhalte das E-Paper der kommenden Ausgabe früher als die Printausgabe.

    Subscribe!
    • Instagram
    • LinkedIn
    Alle Ausgaben als E-Paper

    Alle Print-Ausgaben der letzten Jahre von HI:TECH CAMPUS als E-Paper. Kostenlos und ohne Registrierung.

    copyright 2017 - 2025 by evoluzione GmbH
    Mediadaten
    FAQ / Kontakt
    Datenschutz / Impressum

    © 2025 ThemeSphere. Designed by ThemeSphere.

    Type above and press Enter to search. Press Esc to cancel.