Ronke Babajide, Manager System Engineering bei Fortinet in Österreich, über dringliche Cybersicherheitsthemen nicht nur in Unternehmen und die dringend notwendige Ansprache breiter Bevölkerungsschichten für die Technik.

Welche dringlichen Sicherheitsthemen beobachten Sie derzeit, insbesondere auch bei kleinen und mittelgroßen Unternehmen?

Ronke Babajide: Zunächst ist die Unternehmensgröße, ob nun KMU oder größere Unternehmen, gar nicht so entscheidend. Ausschlaggebend ist, welche Mittel zur Verfügung stehen und wieweit Unternehmen die Anforderungen an die IT-Sicherheit selbst abdecken können – oder auf Dienstleistungen und Managed-Services von Partnern zugreifen. Die Sicherheitsthemen sind überall die gleichen, wobei an vorderster Stelle stets die Herausforderung steht, die man in der Branche als »Layer 8«-Problem bezeichnet: der Mensch als Einfallstor und Sicherheitslücke.

Nach wie vor ist Phishing der große Hebel für Attacken. Das ist so gravierend, dass wir auch intern bei Fortinet laufend über Awareness-Kampagnen getestet werden. Ich behaupte, Phising-Mails eigentlich gut erkennen zu können – tatsächlich habe ich vor kurzem unwissentlich auf ein Testmail unserer IT-Abteilung dazu geklickt. Es ist ja bei Phishing typisch: Man ist mitten in seiner Arbeit, bekommt eine Nachricht in einem plausiblen geschäftlichen Kontext – in diesem Fall war es eine vorgegebene Travel Policy für unsere Laptops – und schon ist ein Link angeklickt. In dem Moment bin ich gar nicht auf die Idee kommen, dass daran etwas faul sein könnte.

Woran wäre denn der Phishing-Versuch zu erkennen gewesen?

Babajide: Ein Lockversuch lässt sich schon gut erkennen, indem man auf den Absender des Mails achtet, ebenso wohin ein Link tatsächlich führt. Der Punkt ist, dass nur ein bisschen Ablenkung oder Stress einen folgenschweren Sicherheitsvorfall bewirken können. Wir alle sind mit wachsenden Nachrichtenfluten konfrontiert – teilweise hunderte Nachrichten täglich auf verschiedensten Kanälen. Von den Usern wird dann erwartet, zu filtern und auch darauf zu achten, keine persönlichen Zugangsdaten zu verraten.

Bei dieser Aufgabe kann doch auch Technologie unterstützen?

Babajide: Phishing können wir bis zu einem bestimmten Punkt durch Technik, etwa mit der Prüfung der URL-Reputation und Scans von Attachements erkennen und abfangen. Bei Social Engineering ist das etwas anderes. Da kommen mitunter Telefonate ins Spiel, bei denen Leute eine emotionale Verbindung aufbauen. Es funktioniert nachweislich: Menschen lassen sich über Social Engineering zu Dingen verleiten, die sie normalerweise nicht machen würde. Ein Beispiel: Ein Anrufer gibt sich als Student aus, der im Rahmen einer Semesterarbeit eine Umfrage bei Unternehmen durchführt, während des Telefonats den Fragebogen zuschickt und bittet, diesen zu öffnen – während man durch das Gespräch abgelenkt ist.

Welche Sicherheitsherausforderungen sehen Sie aktuell auch auf technischer Ebene?

Babajide: Gerade mit dem Ukraine-Krieg und der Energiekrise ist der Schutz von OT erneut in den Mittelpunkt gerückt. Das Zusammenrücken von Operational Technology und Information Technology hat eine Auflösung der historischen Trennung dieser beiden Bereiche in Unternehmen bewirkt und somit Angriffen, aus dem IT-Bereich in den OT- Bereich die Türe geöffnet. Der »Air Gap« zwischen den Netzwerken wurde aus verschiedenen Gründen stark aufgeweicht. Auch in den Lockdowns der Pandemie wurden oft rasch Wartungszugänge für Systeme eingerichtet, die bislang keinen Zugriff von außen hatten. Seit Jahren bereits werden auch Maschinen und Infrastrukturen mit Sensoren ausgerüstet, die ihre Daten teilweise in die Cloud übermitteln. Wir haben damit keine abgeschlossenen Systeme mehr. Die Aufgabe ist nun, die OT-Umgebung genauso gut wie die IT-Umgebung zu schützen.

Wie tun sich die Hersteller damit? Sehen Sie hier auch noch einen großen Informationsbedarf?

Babajide: Das ist ganz unterschiedlich. Natürlich gibt es die entsprechenden Security-Systeme der Hersteller – die Übersicht darüber obliegt in der Regel aber dem Anwender. Wie viele Produkte und Systeme habe ich im Einsatz? Welche Events melden diese und wie ordne ich die Meldungen für mich ein? Viele Security-Systeme kommunizieren nicht miteinander, daher fehlt mittlerweile oft der lückenlose Überblick über die Betriebsumgebung. Der Blick auf alle Umgebungen, auf die Datenströme über die Grenzen von einem System ins andere – der wäre auf einem einheitlichen Dashboard ideal. Unsere FortiGate-Firewall versteht auch die Protokolle aus OT-Umgebungen. Und man kann alle Events, auch die aus den Systemen anderer Hersteller, in eine gemeinsame Ansicht zusammenführen. Dieser Schutz ist gerade bei Angriffen auf kritische Infrastruktur ein wichtiges Thema – für Produktionsstätten, aber auch für Bereiche wie Energie und Healthcare.

Wir sollten generell bei den lebenswichtigen Systemen für unsere Gesellschaft hinterfragen, wie diese noch stärker geschützt werden können. Und wir müssen unter Umständen überlegen, ob manche Dinge wirklich am Netz sein müssen.

Fortinet hat ein breites Schulungsangebot für den Sicherheitsbereich. Wen wollen Sie mit diesen Themen erreichen?

Babajide: Unsere Fortinet Academy zielt mit Kursen und Lehrgängen auf unterschiedlichste Interessen – vom kostenlosen Training von Basisthemen am Arbeitsplatz bis zu speziellen Sicherheitszertifizierungen. Generell ist es wichtig, eine Cybersecurity-Awareness in der gesamten Bevölkerung zu haben. Im Sommer hat Fortinet dazu auch an einem »Cyber Workforce and Education Summit« der US-Regierung teilgenommen. Menschen auszubilden und eine Awareness für diese Themen zu schaffen, war dem Unternehmen immer schon wichtig – weltweit. 

Mein persönlicher Zugang ist aktuell, mit Fortinet am nächsten österreichischen Töchtertag 2023 teilzunehmen. Wir wollen Mädchen Internet-Security-Awareness-Trainings bieten. Auch hier geht es um Training und Ausbildung der Bevölkerung. Mit Internships und Graduate-Programmen wollen wir auch mehr junge Leute an diese Themen heranführen.

Sie engagieren sich auch privat für das Thema Diversität in der Technik. 

Babajide: Ich arbeite seit zwei Jahren verstärkt an einem Podcast, in dem ich in Gesprächen Frauen vorstelle, die in technischen Berufen arbeiten. Ziel ist, mehr Vielfalt in die Technik zu bringen, aber vor allem jene zu zeigen, die dort bereits tätig sind. Es ist unbestritten, dass der Fachkräftemangel in der IT und damit auch in der Cybersicherheit ein großes Risiko für Unternehmen und unsere Gesellschaft bildet. Derzeit fehlen 24.000 Fachkräfte im digitalen Bereich in Österreich. Wir sollten deshalb auf vielfältige Weise versuchen, zusätzliche Talente zu finden. Das muss auch über nicht-traditionelle Ausbildungswege geschehen, um Leute anzusprechen, die normalerweise nicht in die Technik gehen würden. Frauen bilden da einen großen Pool. Viele Frauen, mit denen ich gesprochen habe, haben tatsächlich nicht ursprünglich einen technischen Beruf gewählt – sondern irgendwann einmal einen Karrierewechsel vollzogen. 

Die Branche steht an einem Punkt, auch bislang unterrepräsentierte Bevölkerungsgruppen verstärkt in die Technik holen zu müssen – und das sind nicht nur Frauen. In dem Podcast werden die unterschiedlichen Jobs diskutiert, Betätigungsfelder erklärt und auch Karrieremöglichkeiten in einem stabilen Wirtschaftsbereich mit guter Bezahlung und flexiblen Arbeitsumgebungen erklärt. Und es ist auch einfach interessant, in der Technik zu arbeiten.

Von der Chemie zur IT
Ronke Babajide arbeitet seit über 25 Jahren in der Technik, in Positionen im Technical Presales bei namhaften Unternehmen wie Riverbed, Radware und VMware. Seit Juli 2022 ist die promovierte Chemikerin bei Fortinet tätig und Mitglied der Initiative »Woman4Cyber«, sowie Gründerin der Jobplattform »The Queen Bee Hive«.

Webtipp
Podacst-Reihe »Women In Technology Spotlight« rss.com/podcasts/witspotlight