Jetzt verfügbar: IXON Cloud 2! Mehr Infos
06-12-2019
4 min. Lesezeit
Ramona Eikelenboom

Aus der Perspektive unseres Sicherheitsbeauftragten

Was genau macht unser Sicherheitsbeauftragter? Und was treibt ihn an, unsere Produkte jeden Tag sicherer zu machen? Wir haben Dylan Eikelenboom, Sicherheitsbeauftragter bei IXON, interviewt, um alles über die Arbeit und die Aufgaben eines Sicherheitsbeauftragten herauszufinden.

Dylan Eikelenboom – Security Officer – IXON Cloud Dylan Eikelenboom – Security Officer – IXON Cloud

Die Systeme jeden Tag ein Stück sicherer machen

Die Anforderungen und die Bedeutung der Cybersicherheit veranlassten Dylan Eikelenboom, die Verantwortung für den technischen Teil der IXON Cloud und der integrierten Cloud-Konnektoren zu übernehmen. Aus der Cybersecurity-Perspektive können die SaaS-Plattform und die Hardware als eine große Mauer gesehen werden, die unerwünschte Gäste zurückhält.

Die Hauptaufgabe und Verantwortung von Dylan Eikelenboom ist es, "Löcher in der Mauer zu finden und die damit verbundenen Risiken zu begrenzen". Jedes System enthält mögliche Sicherheitsrisiken, wie veraltete Software oder Sicherheitslücken. Dylan Eikelenbooms Aufgabe ist es, diese Schwachstellen aufzuspüren und zu schließen. Hauptsächlich geschieht dies durch das Erfassen, Beurteilen und Testen der technischen Sicherheitsaspekte.

“Der Schutz und die Sicherung unserer Cloud-Plattform ist immer ein Wettrüsten”

Um auf dem neuesten Stand zu bleiben, überwachen unsere Sicherheitssysteme aktiv nach Schwachstellen und Eikelenboom verfolgt Veröffentlichungen von Problemen, um zu prüfen, ob diese für IXON relevant sind. Wenn das Problem als Risiko eingestuft wird und unserer Plattform schaden könnte, wird eine entsprechende Problemlösung für unsere Entwickler geplant.

Die ISO 27001-Zertifizierung und externe Parteien helfen uns bei der Identifizierung möglicher Risiken. Die Zusammenarbeit mit unseren Partnern hält uns auf dem Laufenden und gibt uns neue Erkenntnisse zur Verbesserung. "Wir und unsere Partner überwachen und scannen unsere Systeme ständig, um Sicherheitsverletzungen zu verhindern."

Cybersecurity-Schutz IXON Cybersecurity-Schutz IXON

Eikelenbooms gewöhnlicher Tagesablauf besteht aus der Überprüfung von Sicherheitsberichten, der Beratung zu möglichen Sicherheitsproblemen während der F&E-Scrum-Standups, der Optimierung der Sicherheitsrichtlinien und dem Testen von Software, bevor diese freigegeben wird.

Ein weiterer Teil von Dylan Eikelenbooms Aufgabe ist es, sein Wissen weiterzugeben und sicherheitsrelevante Fragen unserer Kunden oder deren Kunden zu beantworten. "Um es für jeden verständlich zu machen, haben wir alle unsere Maßnahmen in unserem Security Whitepaper gebündelt."

Dylan veröffentlicht Artikel über die Absicherung der Cloud und verbringt Zeit damit, Vorträge über Cybersicherheit für Gruppen in verschiedenen Branchen zu halten.

“Cybersecurity ist wie Fledermäuse, die Motten jagen”

Da Dylan vor seinem Wechsel in die IT zunächst Biologie studiert hat, hat er immer einige interessante Fakten aus der Biologie parat: "Es lassen sich viele Parallelen zwischen Cybersecurity und der Biologie ziehen, insbesondere das Konzept des evolutionären Wettrüstens. In der Natur gibt es Fledermausarten, die mittels Echoortung Insekten jagen. Einige Mottenarten, eine Lieblingsbeute vieler Fledermäuse, haben sich so entwickelt, dass sie die Echoortung, die die Fledermäuse aussenden, wahrnehmen und rechtzeitig wegfliegen können", sagt Dylan. "Infolgedessen haben diese Fledermäuse ihr Jagdverhalten verbessert und sind in der Lage, selbst fliehende Motten zu fangen. Interessanterweise wurde vor kurzem entdeckt, dass es sogar Arten von Motten gibt, die die Echoortung der Fledermäuse 'stören' können, sodass die Fledermaus sie nicht 'sehen' kann", fährt er fort.

Die Idee der Cybersicherheit ist es, den Hackern einen Schritt voraus zu sein, indem man die besten Systeme und Techniken einsetzt und Industriestandards verwendet. Infolgedessen entwickeln die Hacker andere und bessere Angriffsmethoden und wir müssen darauf reagieren, um sicher zu bleiben. "Auf diese Weise bleibt man in einem endlosen Wettrüsten, und das findet überall in der Evolution statt."

“Es hat die Art und Weise verändert, wie ich Software-Code betrachte”

Das Eindringen von Hackern in die IXON Cloud zu verhindern, ist Eikelenbooms Hauptanliegen. "Wenn ein Hacker aus irgendeinem Grund Zugang erhält, kann er auf Ihre Daten zugreifen." Um dies zu verhindern, schaut er durch die Augen eines Hackers: "Wie kann ich dieses Stück Code missbrauchen, um weiter in unsere Systeme einzudringen."

Mit seinem Hintergrund in Biologie und seiner Erfahrung mit Software-Engineering muss Dylan Probleme lösen und alternative Optionen finden, um die Aufgabe zu erledigen. Dieser Vorteil macht es ihm leichter, wie ein Hacker zu denken. "Es hat die Art und Weise verändert, wie ich Softwarecode betrachte", fügt Dylan hinzu.

Gängige Fragen für einen Sicherheitsbeauftragten

Die IXON Cloud ist vielseitig einsetzbar, wird aber am häufigsten in der Industrieautomation und in der Gebäudeautomation für den industriellen Fernzugriff und die Datenfunktionen verwendet. Das kann ein Systemintegrator, ein kleiner Maschinenbauer oder ein großes Unternehmen sein. "Deshalb variieren die Anfragen von konkreten Fragen eines Ingenieurs nach einer Sicherheitsmaßnahme bis hin zu einem Manager, der eine 100%ige Sicherheitsgarantie haben möchte. Da eine 100-prozentige Garantie nie möglich ist, kann es manchmal schwer sein, sie zu überzeugen."

Es ist Herr Eikelenbooms Aufgabe, sicherheitsrelevante Fragen zu beantworten und unsere Kunden zu beraten, wie sie unsere Produkte an ihre Kunden vermarkten können, um ihnen eventuelle Sicherheitsbedenken zu nehmen. Der knifflige Teil ist, wenn ein Kunde Checklisten mit zwingenden Anforderungen hat, die auf unsere Produkte nicht anwendbar sind, oder die wir auf eine 'bessere'/'andere' Weise gelöst haben. Wenn Sie auf die meisten Abschnitte der Checkliste mit "nein" oder "nicht anwendbar" antworten, werden sie unser Produkt nicht genehmigen. "Dann brauchen wir eine gute Erklärung, weil sie vielleicht nicht wissen, was die Anforderung im Detail bedeutet."

Schützen Sie alle Daten und Systeme mit Sicherheitsprozessen

"Kann ein Hacker auf unsere Daten zugreifen und wo sind unsere Daten gespeichert?" Dies sind zwei der am häufigsten gestellten Fragen zur Sicherheit, sagt Dylan Eikelenboom. Um die Systeme zu schützen, hat IXON mehrere Sicherheitsprozesse implementiert. Wir sind vollständig vorbereitet, wenn etwas Verdächtiges auftritt. Zuerst wird unser Kernteam über das mögliche Risiko informiert. Sie erstellen einen Aktionsplan und werden den Angriff stoppen, bevor er ein System schädigt. Dann wird eine Lösung implementiert, um zukünftige Angriffe zu verhindern. "Glücklicherweise befinden wir uns nur äußerst selten in dieser Situation".

Bevor Software-Releases für die IXON Cloud Plattform und Firmware für den IXrouter (Edge Gateway) und IXagent auf den Markt kommen, werden vom F&E-Team viele Tests durchgeführt. Systemtests, Code-Reviews und Unit-Tests sind Teil des allgemeinen Software-Entwicklungsprozesses. "Kein Software-Release wird veröffentlicht, bevor nicht alle möglichen Risiken ausgeschlossen sind", sagt der Sicherheitsbeauftragte.

Arbeiten mit Branchenstandards

Ein weiterer Teil von Dylan Eikelenbooms Aufgabe ist die Einhaltung der ISO 27001-Zertifizierung und anderer Industriestandards. Ein Beispiel für einen Industriestandard ist das Sicherheitsprotokoll TLS 1.2. Als dies der neue Standard wurde, wurden alle IXON-Systeme aktualisiert, um dem zu entsprechen.

Das Open Web Application Security Project (OWASP) ist eine Denkweise, die alle IXON-Entwickler auf ihren Code anwenden. "OWASP wird in unserem F&E-Team angewandt, um Software sicher zu gestalten und zuverlässige Anwendungen zu erstellen." Es hilft, Sicherheitsregeln von Anfang an anzuwenden.

"Da sich die Standards ständig ändern, gibt es immer wieder Arbeit, veraltete Software zu aktualisieren und neue Industriestandards zu übernehmen, um eine bessere und sicherere Cloud-Umgebung zu schaffen. Das macht meinen Job abwechslungsreich und sehr interessant", sagt Eikelenboom mit einem Lächeln im Gesicht.

 

Ziel: "Keine sicherheitsrelevanten Zwischenfälle"


IXON verlässt sich auf die Expertise des Entwicklungsteams und seiner Partner und deren Bestreben, die IXON Cloud-Plattform ständig zu optimieren: Eine zuverlässige, sichere und schnelle Industrial IoT-Plattform weltweit bereitzustellen. "Keine Sicherheitsvorfälle ist unsere oberste Priorität", so der Security Officer.

"Unser zweites Ziel ist, dass es keine Ausfallzeiten für unsere Kunden gibt", fährt er fort. Das Erreichen dieser beiden Hauptziele steht für Eikelenboom und das F&E-Team von IXON immer im Vordergrund. "Eine 100%ige Betriebszeit zu gewährleisten ist schwer zu erreichen, aber wir arbeiten hart daran, alle Systeme redundant zu machen und unser Ziel von 99,9% Betriebszeit zu erreichen", so der Sicherheitsbeauftragte.

Lesen Sie alles über IXONs Sicherheitsmaßnahmen und die IXON Cloud-Infrastruktur in unserem Security-Whitepaper.

[[Download Security Whitepaper]]

Wenn Sie Fragen zu unserer Sicherheit haben, können Sie eine E-Mail an security@ixon.cloud senden.