0:00:01.6 Emily Wearmouth: Hallo und willkommen zu einer weiteren Ausgabe des Security Visionaries-Podcasts. Die heutige Folge ist ein absoluter Höhepunkt für jeden Sportfan oder, wie ich annehme, für jeden, der Live-Events jeglicher Art mag. Mein heutiger Gast ist Ben Morris. Er ist Group Head of Cybersecurity bei World Rugby. Und heute ist er bei mir, um über die Schnittstelle zwischen Cyber- und physischer Sicherheit zu plaudern. Also willkommen zum Podcast, Ben.
0:00:25.5 Ben Morris: Vielen Dank, dass ich hier sein darf. Ich freue mich darauf, in die Welt einzutauchen, nicht nur in die Welt der Cybersicherheit, bei der ich natürlich voreingenommen bin, sondern natürlich auch in die Welt des Sports und wie dieser mit der Welt, in der wir uns heute befinden, interagiert. Also ja, ich bin sehr gespannt, mich heute damit zu beschäftigen.
0:00:38.7 Emily Wearmouth: Ausgezeichnet. Wenn es Ihnen nichts ausmacht, es gibt so viel, worüber ich Sie fragen möchte, und ich weiß, dass die Zeit drängt. Kann ich also direkt loslegen?
0:00:45.6 Ben Morris: Auf jeden Fall, ja. Gerne.
0:00:47.3 Emily Wearmouth: Brillant. In Ordnung. Meine erste Frage: Wenn wir über moderne Sicherheitsherausforderungen sprechen, konzentrieren wir uns sehr oft direkt auf den Mangel an konsistenter physischer Umgebung und betrachten dies als Problem. Wir sprechen beispielsweise viel über die Herausforderungen der Fernarbeit, und ich nehme an, dass wir das tun. Wir kehren in eine einfachere Zeit zurück, in der der physische Standort eine kontrollierte Umgebung war. Aber ich vermute, Sie werden mir sagen, dass physische Umgebungen die Komplexität erhöhen können und das Leben dadurch nicht unbedingt einfacher wird. Könnten Sie einen kurzen Überblick über die Komplexitäten geben, die entstehen, wenn der Veranstaltungsort selbst eine dominierende Rolle in Ihren Sicherheitsplänen spielt?
0:01:21.7 Ben Morris: Ja, aufgrund der Verantwortung von World Rugby als Veranstalter großer Events ist man sehr stark vom physischen Veranstaltungsort und dessen Präsenz abhängig. Und wenn es keine Möglichkeit gibt, ein Stadion von einem Land in ein anderes zu verlegen, wird das nicht der Fall sein. Die Herausforderung, vor der wir stehen, besteht darin, dass wir Veranstaltungsorte sichern müssen und unsere Geräte ständig in Bewegung sind. Wir haben lokale Betriebsgesellschaften auf der ganzen Welt. Es ist eine vielfältige Herausforderung. Wie also schaffen Sie eine sichere Umgebung für diese physischen Veranstaltungsorte, die Coffeeshop-Enthusiasten und all diese Dinge? Und ich glaube nicht, dass der Sport mit dieser Herausforderung allein dasteht, aber ich glaube, dass der Sport wirklich gezwungen war, anders über Sicherheit nachzudenken.
0:02:06.5 Ben Morris: Wenn wir heutzutage über die Organisation einer Großveranstaltung sprechen, müssen wir all diese Elemente berücksichtigen. Es hat sich also erheblich weiterentwickelt. Ich verbringe heutzutage mehr Zeit mit der physischen Sicherheit des Veranstaltungsortes als mit allem anderen. Und damit geht die Frage einher, wie wir diese Nullleistung bereitstellen können, und zwar auf der Ebene wirklich robuster Sicherheit und dergleichen. Daher mussten wir unser Ökosystem und unsere Architektur zunächst um die Zero Trust Cloud herum weiterentwickeln und so für umfassende DLP-Funktionen sorgen, und zwar weltweit. Also ja, es ist kein leicht zu verdauendes Thema, aber es ist erheblich mit der Komplexität verbunden, die heutzutage mit der Organisation großer Veranstaltungen verbunden ist.
0:02:51.1 Emily Wearmouth: Für Zuhörer, die mit World Rugby weniger vertraut sind, ist es wahrscheinlich erwähnenswert, dass Sie nicht der Sicherheitsleiter von Stanford Bridge sind. Ich habe den Namen eines US-Stadions nachgeschlagen, also sage ich Michigan Stadium. Sie sind kein Sicherheitsmanager an einem solchen physischen Veranstaltungsort. Sie sind für die Sicherheit eines Sports verantwortlich, der um die ganze Welt reist. Und ähnlich wie beispielsweise bei der Formel 1, die bei verschiedenen Turnieren in verschiedenen Städten antritt, unterscheidet sich Ihr Job dadurch völlig von dem der Leute, die für einen bestimmten statischen Sportort verantwortlich sind?
0:03:20.4 Ben Morris: Das tut es. Das tut es. Und es ist eine große Verantwortung, wirklich solide Beziehungen zu engagierten Veranstaltungsorten aufzubauen, wie zum Beispiel Stanford Bridge, das Sie als Beispiel und Punkt erwähnt haben. Im Vereinigten Königreich veranstalten wir nächstes Jahr die Frauen-Weltmeisterschaft und es gibt acht bis neun Austragungsorte. Wir übernehmen für diese Veranstaltungsorte keine Verantwortung. Wir haben eine vertragliche Vereinbarung, aber es besteht für diese Veranstaltungsorte keine Verpflichtung, „Ja, wir lassen Sie einfach unser gesamtes Netzwerk neu aufbauen.“ Diese Veranstaltungsorte sind Mehrzweckorte. An einem Samstag und Sonntag könnte es also zu einem Rugby-Event kommen. Am Montag veranstalten sie möglicherweise ein Live-Konzert oder eine ganz andere Veranstaltung. Die Herausforderung für uns als Organisation besteht also darin, diesen Veranstaltungsorten die Standards zu vermitteln, die wir als Dachverband und großer Verband wirklich anstreben, und es für den Veranstaltungsort gleichzeitig lohnend zu machen, uns auf diesem Weg zu unterstützen.
0:04:14.8 Ben Morris: Die Komplexität der Veranstaltungsorte, ich möchte nur sagen … Wenn ich ein Veranstaltungsortmanager wäre, könnte ich nicht nach den Standards bauen, die World Rugby vorgibt. Bauen Sie auch Standards auf, damit vielleicht ein großes Konzert wie das von Taylor Swift bleibt und wir 2028 eine Europameisterschaft haben. Vielleicht wird die UEFA auch einige Standards festlegen. Wir können nicht einfach weiterbauen. Was also als World Rugby und in meiner Rolle wirklich erforderlich ist, sind die Mindestanforderungen, die auf den Veranstaltungsort und andere große Veranstalter übertragbar sind. Wenn wir also nächstes Jahr, 2025, fertig sind, kann die UEFA kommen und sagen: „Oh, die haben das alles schon vorbereitet.“ Und der Veranstaltungsort ist zuversichtlich, dass er die Standards, die wir mitentwickelt haben, vorweisen kann. Und das ist die Verantwortung jedes großen Dachverbands, nicht nur des Weltrugbyverbands, sondern wir sprechen hier auch von Verbänden wie der FIFA, den Olympischen Spielen, der UEFA, der NFL und ich könnte noch viele weitere Verbände aufzählen. Es ist unsere Verantwortung als globaler Sport, dafür zu sorgen, dass wir die Standards der Austragungsorte verbessern und bei der Abwägung von Risiko und Nutzen helfen, wenn es um Investitionen und Kosten für einen Austragungsort geht.
0:05:23.7 Ben Morris: Also ja, das ist meine Rolle. Ich bin quasi ein Aufzug der Standards und habe meine Mindestanforderungen. Sie müssen sicherstellen, dass Sie über MFA verfügen oder dass Sie Ihre Geräte richtig sichern. Sie schulen Ihre Mitarbeiter für diesen Fall. Wir stellen sicher, dass wir den gesamten Sport fördern und nicht einfach nur egoistisch sind und sagen: „Du musst meine Standards einhalten, denn damit kommt niemand weiter.
0:05:46.6 Emily Wearmouth: Und wenn Sie im Wesentlichen zu einer Art Normungsgremium oder jemandem werden, der Best Practices festlegt, wie eng stimmen Sie sich dann mit anderen Organisationen ab, die das tun? Ich denke dabei vielleicht an Regierungen, die ebenfalls Sicherheitsstandards haben. Gibt es bewährte Vorgehensweisen, die Sie aus staatlichen Vorschriften übernehmen, oder erwarten Regierungen in gewisser Hinsicht von Ihnen Rat hinsichtlich der Frage, was sie in ihre nationalen Anforderungen aufnehmen sollten?
0:06:11.7 Ben Morris: Es ist ein bisschen von beidem. Daher ist die Regierung natürlich nicht nur dem Sport oder der Unterhaltung verpflichtet. Sie haben eine Vielzahl von Anforderungen in verschiedenen Sektoren. Ich werde das Vereinigte Königreich als Paradebeispiel und -punkt verwenden. Wir pflegen eine wirklich enge Beziehung zum NCSC, weil wir wissen, dass wir in Bezug auf Veranstaltungsorte und Stadien hinterherhinken und die Technologie sich derzeit so schnell weiterentwickelt, dass sie bei den Technologieinvestitionen nicht auf dem neuesten Stand ist. Daher benötigen sie auch unser Feedback und unsere Anforderungen als Großveranstaltungsveranstalter. Hier verschieben wir die Messlatte, und ich werde mich hier auf den Aspekt der Cybersicherheit konzentrieren, denn es gibt nicht wirklich das, was ich als globalen Standard für die Sicherung eines Veranstaltungsortes bezeichnen könnte, wenn es um Cybersicherheit geht. Ich glaube, dass sich das in den nächsten vier Jahren erheblich weiterentwickeln wird, da Veranstaltungsorte in der Vergangenheit ein stark physisches Ökosystem für Gesundheit und Sicherheit waren.
0:07:09.9 Ben Morris: Und natürlich stand die Sicherheit der Fans, die Sicherheit der Spieler und das Wohlergehen all dieser Elemente immer an erster Stelle. Es gibt also bereits einen wirklich guten Prozess auf nationaler Ebene, nicht nur in Großbritannien. Wir sprechen hier global darüber. Daher gelten sehr strenge Anforderungen an die physische Sicherheit. Wie Sie alle wissen, hat sich die Cybersicherheit allein im letzten Jahr verändert, ganz zu schweigen von den letzten zehn Jahren. Die Regierung, und nicht nur die britische, muss in Bezug auf die Anforderungen an die Cybersicherheit aufholen. Eines der Dinge, die mir wirklich am Herzen liegen, ist sicherzustellen, dass wir alle Stadien und Veranstaltungsorte auf ein bestimmtes Niveau bringen. Dabei nutze ich Großbritannien mit seiner Verstärkung und seinen Verbindungen, um zu sagen: „Okay, uns gefallen diese Standards aus dem privaten Sektor, aus dem Sport, und warum setzen wir das nicht in einen Entwurf um?“
0:07:57.9 Ben Morris: Wenn also ein New Stadion gebaut wird, und es werden mehrere Stadien gebaut, sogar nur in diesem Jahr, stellen Sie sicher, dass sie diesen Standards entsprechen. Und warum sollten wir dann nicht mithilfe desselben Rahmens und derselben Prüfverfahren, die sie für die physische Sicherheit haben, sicherstellen, dass wir auch die Cybersicherheit überprüfen und versuchen, die erforderliche Reife in diesem Bereich zu schaffen und zu fördern? Genau auf dieser Seite arbeiten wir mit der Regierung zusammen. Es gibt noch viele andere Bereiche, in denen wir mit der Regierung zusammenarbeiten, aber ein Bereich, der mir besonders am Herzen liegt und in dem ich mich sehr stark engagiere, ist die Förderung von Stadia als Ganzes und die Nutzung der britischen Regierung und ihrer Verbindungen, um die Botschaft zu verstärken.
0:08:35.1 Emily Wearmouth: Und wie wäre es, Sie haben dort kurz darüber gesprochen, dass die physische Sicherheit in Bezug auf Vorschriften, Erwartungen und Standards vielleicht etwas weiter vorne liegt. Wenn es hart auf hart kommt und Sie ein bestimmtes Ereignis beobachten, wie arbeiten Sie mit dem physischen Sicherheitsteam zusammen? Sind sie für Sie völlig unabhängig oder sind Sie integriert?
0:08:52.7 Ben Morris: Es gibt zwei separate Teams mit, wie ich vermute, unterschiedlichen Zielen und Aufgaben, wenn es um ein Großereignis geht. Wenn Sie mich jedoch vor zehn Jahren gefragt hätten, könnte ich Ihnen garantieren, dass es dort wahrscheinlich keine oder wenn überhaupt eine Kommunikation gab. Heutzutage sind Sie, was die physische Sicherheit betrifft, sehr eng miteinander verbunden. Es ist absolut notwendig. Wenn Sie also darüber nachdenken, wie stark Veranstaltungsorte miteinander vernetzt sind, gibt es so viele Berührungspunkte. Sie haben viele IoT-Geräte, Sie haben Kassensysteme, Sie haben Drehkreuze, Sie haben HLK-Systeme, all das ist jetzt digital. Sie sind digitale Verbindungspunkte. Zuvor hätten Sie es vielleicht einfach isoliert. Vielleicht kommt ein Auftragnehmer zum Veranstaltungsort und unterstützt Sie dabei. Das ist nicht mehr der Fall. Bei vielen davon handelt es sich um eine Fernüberwachung eines Systems durch jemanden. Daher sind wir als Rugby-Weltverband heutzutage einfach ein und dasselbe. Daher bilden wir bei den großen Veranstaltungen regelmäßig kollaborative Arbeitsgruppen.
0:09:49.9 Ben Morris: Wir arbeiten also jeden Tag, ich glaube, alle zwei Wochen treffen wir uns und sprechen über die physische Sicherheit des Veranstaltungsortes, die Cybersicherheitspraktiken und wie all dies miteinander verknüpft ist. Denn selbst wenn Sie das beste physische Sicherheitssystem der Welt haben, ist es aus Sicht der Cybersicherheit ungeschützt und anfällig. Und jetzt hört man Horrorgeschichten von Leuten, die bei Großveranstaltungen die Drehkreuze schließen. Das wollen wir nicht. Und das ist das Element, bei dem die Cybersicherheit in die physische Sicherheit übergehen kann. Denn wenn Sie die Drehkreuze abschalten, können Sie nicht nur die Gesundheit und Sicherheit der Menschen, die außerhalb des Veranstaltungsortes versuchen, hineinzukommen, nicht mehr gewährleisten, sondern auch die der Menschen im Veranstaltungsort. Es handelt sich also lediglich um ein Ein- und Ausstiegssystem. Dann sprechen wir über die Akkreditierung und stellen sicher, dass die richtigen Leute zur richtigen Zeit einen Veranstaltungsort betreten und den richtigen Zugang haben.
0:10:38.4 Ben Morris: Was passiert, wenn jemand dieses System kompromittiert? Heutzutage haben physische Sicherheit und Cybersicherheit quasi die gleiche Priorität, was wirklich sehr gut ist. Die Herausforderung im Bereich der Cybersicherheit besteht jedoch darin, dass wir keine wirklich festgelegten Standards haben. Die physische Sicherheit ist bereits gut etabliert. Sie verfügen über sehr gute Verbindungen zur lokalen Regierung und auch zur örtlichen Polizei. Wenn Sie also jetzt über die Arbeitsgruppe im World Rugby sprechen, geht es nicht nur um Cybersicherheit und physische Sicherheit, sondern auch um die Metropolitan Police, den Transport, das Innenministerium und DCMS. Wir alle sind in derselben Telefonkonferenz. Dafür gibt es einen Grund. Weil es in diesem Fall so eng miteinander verbunden ist. Sie haben also völlig recht. Es gibt keine wirklich klare Trennung mehr zwischen physischer und Cybersicherheit. Es ist irgendwie dasselbe. Und Sie haben in jedem Bereich verantwortliche Personen, die ihre eigenen Initiativen vorantreiben, aber mit jedem von ihnen zusammenarbeiten.
0:11:32.8 Emily Wearmouth: Meine nächste Frage ist also ein bisschen gleichgesinnt. Als wir das erste Mal miteinander sprachen, habe ich leichtfertig eine Menge Beispiele aus Filmen und Fernsehsendungen angeführt. Das spielt mit der Idee der physischen und Cybersicherheit. Wir sprachen über Ocean’s Eleven, Logan Lucky und Prison Break, und tatsächlich dauerte es etwa 24 Stunden, bis das britische Justizministerium bekannt gab, dass die Gefängnispläne, von denen ich sprach, im Darknet durchgesickert waren. Ist ein Gefängnisausbruch wirklich ein Problem? Ich hatte das Gefühl, dass ich damit sehr vorausschauend war. Aber ich wollte herausfinden, wer Ihrer Meinung nach im Hinblick auf die Populärkultur am besten zurechtgekommen ist, wo finden wir in Filmen oder im Fernsehen die möglichst genaueste Darstellung Ihrer Welt?
0:12:11.5 Ben Morris: Ja, ich erinnere mich, als wir uns kurz darüber unterhalten haben. Das ist ziemlich interessant, denn wenn man sich die Dramatisierung von Ocean’s Eleven ansieht, gibt es Elemente, die ziemlich realistisch sind, aber vieles davon ist ziemlich weit hergeholt. Ich denke, dass es bei Ocean’s Eleven ein wirklich gutes Element gibt, wenn es um Social Engineering und Verkleidungen geht. Es ist für jemanden sehr einfach, eine Organisation auszukundschaften, auszukundschaften, wie sich die Leute kleiden, wie sich das Sicherheitspersonal kleidet, indem er sich Ihre Akkreditierungen und Ihre Schlüsselkarten ansieht und das nachahmt und versucht, sich Zutritt zu einem Veranstaltungsort zu verschaffen. Also, Ocean’s Eleven, ja, obwohl absolut wild und weit hergeholt, gibt es Elemente davon, die übertragbar sind. Wenn ich dann an einen Gefängnisausbruch denke, ist es ähnlich.
0:12:56.5 Ben Morris: Wenn es um Insider-Sorgen geht, kennen Sie wirklich alle Ihre Mitarbeiter? Wie viele Hintergrundüberprüfungen führen Sie durch und können Sie den Leuten vertrauen? Sind sie zuverlässig? Und das gilt auch für große Veranstaltungsorte. Wenn Sie all dieses Ordnerpersonal und die physische Sicherheit einsetzen, können Sie dann jeden einzelnen als die Person überprüfen, die er vorgibt zu sein? Hat jemand die Vergangenheit eines anderen geklont und es geschafft, einzudringen? Also ja, „Prison Break“ ist wieder einmal sehr dramatisiert und natürlich, um es unterhaltsam zu machen. Aber es gibt da einige Elemente, denn Sie haben erwähnt, wer der Cybersicherheit wirklich gerecht wird. Wenn es um Unterhaltung geht, gibt es keine Ausreißer. Ich glaube, ich verwende „Mr. Rover“, das ist wahrscheinlich das wichtigste, das ich mir ansehe, weil es eine Mischung davon zeigt, wie viel Raffinesse in den ersten Zugriffsschritt einfließt, wie viel Aufklärung, wie viel Social Engineering, wie viel man auf Facebook oder LinkedIn auslesen kann, kann man die Identität einer Person herausfinden und damit herumspielen?
0:13:52.1 Ben Morris: Und dann geht es um die technische Fähigkeit, all diese Aufklärung und Informationen und Kenntnisse einer Umgebung zu übertragen und sie dann in die Technik einzubauen. Also ja, es ist alles sehr dramatisiert und ich kann mit ziemlicher Sicherheit sagen, dass bei Prison Break, Ocean’s Eleven und so wahrscheinlich 95 % davon dabei sind, was weit hergeholt ist, aber es gibt diese 5 %, die ziemlich genau sind. Und es ist ein Bereich, der uns auch Cybersicherheitsexperten schlaflose Nächte bereitet, weil es um die Was-wäre-wenn-Fragen und solche Sachen geht.
0:14:23.3 Emily Wearmouth: Nun, danke, dass ich diese Frage stellen durfte. Ich komme zu einer ernsteren Frage, meiner nächsten, und zwar: Wenn man an Dinge wie die Rugby-Weltmeisterschaft, die Fußball-Weltmeisterschaft oder die Olympischen Spiele denkt, scheinen diese Vierjahreszyklen recht häufig vorzukommen. Ich weiß nicht, warum vier Jahre. Aber ich frage mich, ob Sie bei der Arbeit an diesen Vierjahreszyklen sozusagen abreisen und dann für die nächste Weltmeisterschaft alles neu angehen, oder ob Sie für jede Weltmeisterschaft ein völlig New Sicherheitskonzept entwickeln müssen? Oder herrscht bei Ihnen Kontinuität in den Teams und Prozessen? Wie bauen Sie das als langfristigen Ansatz auf?
0:14:56.3 Ben Morris: Ich denke, wenn Sie mir diese Frage vor vier Jahren gestellt hätten, dann war es eher der Ansatz „Aufbauen, abreißen, neu anfangen“. Und das ist nicht nur im World Rugby einzigartig. Das hat jeder schon einmal gemacht. Sie alle haben wahrscheinlich schon die Geschichten über die Olympischen Spiele gehört, bei denen die Teilnehmer in ein Gastgeberland reisen, die gesamte Infrastruktur aufbauen, die Veranstaltung durchführen und dann weiter zum nächsten gehen. Heutzutage ist das einfach kein nachhaltiges Modell. Für uns alle als Verband sind Nachhaltigkeit und Wiederverwendung eines der wichtigsten Ziele. Und wir stellen fest, dass wir während dieses Vierjahreszyklus unsere Zeit in anderen Bereichen verbringen und diesen Rahmen verfeinern. Verfeinern Sie diesen Entwurf. Beim World Rugby beispielsweise arbeiten wir wahrscheinlich eher in Zweijahreszyklen. Alle vier Jahre haben wir eine Weltmeisterschaft der Männer und zwei Jahre später eine Weltmeisterschaft der Frauen.
0:15:42.3 Ben Morris: Es sind also eher Zweijahreszyklen. Aber jetzt haben wir dank der Leitungsgremien Veranstaltungen in diesen, ich würde sagen, ruhigen Jahren. Dadurch wird dieser Entwurf wirklich verfeinert. Wenn wir jetzt in ein Gastland reisen, haben wir eine Liste mit Rahmenbedingungen. Bei World Rugby haben wir 45, ich glaube, es sind Rahmenbedingungen, die wir im Laufe dieser Zeit entwickelt haben. Ich glaube, World Rugby gibt es seit 137 Jahren, also sind wir mittlerweile ziemlich gut darin, wenn es darum geht, Gastgeberland zu sein, wir haben ein Großereignis und okay, das sind die Dinge, die wir tun müssen. Der Grund für die Durchführung in Vierjahreszyklen liegt darin, dass für Großveranstaltungen eine Menge Vorbereitung und Planung erforderlich ist. Und das ist der Aspekt der Nachhaltigkeit: Mit Zeitarbeitskräften, die kommen und gehen, ist das nicht möglich. Deshalb stellt World Rugby spezialisierte Teams ein.
0:16:33.5 Ben Morris: Ich war Teil dieses Spezialistenteams, als World Rugby beschloss, die großen Veranstaltungen selbst durchzuführen. Anstatt diese Verantwortung auf das Gastgeberland abzuwälzen, übernimmt World Rugby dies selbst. Und die FIFA und die Olympischen Spiele haben dieses Modell nun übernommen. Wir haben einen festen Mitarbeiterstab, der für diese Rahmenbedingungen verantwortlich ist und diese dann standardisiert und wiederholbar macht. Und deshalb möchten wir vorhandene Veranstaltungsorte und Stadien nutzen, da es sehr schwierig ist, dieses wiederholbare Modell zu erstellen, wenn man ständig etwas baut. Also gehen wir jetzt tatsächlich in Gastländer, wo die Infrastruktur bereits vorhanden ist, sie haben das schon einmal gemacht. Jetzt geht es also nur noch um die Organisation der Großveranstaltung, nicht um die Infrastruktur, den Transport und dergleichen. Das Ganze betrifft den gesamten Sport. Aus diesem Grund ist es viel nachhaltiger und wiederverwendbarer geworden, was für mich gut ist, da wir diesen Entwurf im Laufe der Zeit weiterentwickeln können.
0:17:26.8 Ben Morris: Wir werden also viel aus dem Jahr 2025 lernen, und für die Herren-Weltmeisterschaft 2027 in Australien haben wir einige Erkenntnisse gewonnen. Wir haben gesagt, das hat wirklich gut funktioniert, das hat nicht funktioniert, und dann können wir es im Laufe der Zeit verfeinern. Bis zur Fußballweltmeisterschaft 2031 in den USA wird dieses Modell, glaube ich, bereits seit zehn Jahren verfeinert sein und uns in Bezug auf neue Technologien und neue Bedrohungen auf dem neuesten Stand halten. Genau hier setzen heute alle Leitungsgremien und großen Event-Organisatoren an: Verfeinerung, Blaupausenmodell, Standardisierung und Wiederholbarkeit.
0:18:03.1 Emily Wearmouth: Wenn man also die jüngste Fußballweltmeisterschaft, bei der viele Stadien speziell gebaut wurden und die man deshalb ausrichten wollte, mit der jüngsten Olympiade vergleicht, bei der es um die Wiederverwendung von Veranstaltungsorten ging, wem von beiden würden Sie es vorziehen, die Verantwortung für die Sicherheit bei einem kompletten Neubau zu übernehmen oder sich mit einigen Altlasten auseinandersetzen zu müssen, aber mit einer bereits vorhandenen Infrastruktur?
0:18:29.0 Ben Morris: Aus rein Cyber-Sicht würde ich gerne New bauen, weil man die neueste Technologie einbringen und sicherstellen kann, dass sie effektiv nach dem Prinzip der Sicherheit konzipiert ist. Das wäre mir persönlich lieber. Bei Großveranstaltungen ist die Cybersicherheit jedoch nur ein kleiner Teil des Gesamtbildes. Ich bin also ein Sportenthusiast und Fan, und Sie haben die F1 erwähnt, ein riesiger Fan. Fußball, Rugby, all diese Sachen. Als Fan glaube ich, dass es nicht skalierbar ist und nicht gut für Regionen ist, in denen all diese Veranstaltungsorte gebaut, einmal genutzt und dann einfach veraltet sind. Sie haben die bei den Olympischen Spielen gesehen, und ich finde, das ist ein schrecklicher Zustand. Als Fan bevorzuge ich eigentlich das Wiederverwendungsmodell. Als Cyber-Profi ist es eine größere Herausforderung, weil Sie über dieses Alter und die Infrastruktur verfügen, die Sie modernisieren müssen.
0:19:16.8 Ben Morris: Aber das ist wirklich Teil der Rolle, die Sie übernehmen. Also ja, es ist ungefähr 50/50. Ich bin hin- und hergerissen, oh, das würde mir gefallen. Wie ein frischer Umbau. Ich baue alles von Grund auf neu. Ich werde zum Beispiel White Heart Lane, New Stadion von Tottenham, nutzen. Sie haben alles von Grund auf neu aufgebaut. Es ist alles modernisiert. Es wäre großartig, die beste Technologie von Grund auf zu haben, um Dinge auf der Grundlage angemessener Standards zu bauen, aber sie ist nicht wiederverwendbar, insbesondere nicht für ein Großereignis, bei dem alle vier Jahre der geografische Standort gewechselt wird. So funktioniert die Welt einfach nicht. Als Fan bevorzuge ich eigentlich das Modell, in ein Land zu gehen, die dort vorhandene physische Infrastruktur zu nutzen und sie bis zu einem gewissen Grad zu modernisieren, damit sie immer wieder verwendet werden kann. Wir könnten in acht, zehn oder zwölf Jahren oder wann auch immer zurückkehren. Was die Leute im Sport vielleicht nicht verstehen, ist, dass alle Verbände aus diesem Grund sehr eng zusammenarbeiten.
0:20:07.1 Ben Morris: Wir könnten also 2031 eine Großveranstaltung in den USA durchführen. Wir könnten viele der Austragungsorte nutzen, die die FIFA für 2026 nutzt. Der Grund dafür liegt darin, dass wir durch die Wiederverwendung von Dingen ein gewisses Maß an Vertrauen gewinnen und sagen können: „Oh, die FIFA-Weltmeisterschaft fand in diesen Stadien statt.“ Es muss also in der Lage sein, unsere Sachen auszuführen und umgekehrt. Dasselbe gilt für die Olympischen Spiele. Wir versuchen also, den Sport insgesamt in diesem Maße aufzuwerten. Also ja, das ist ein langer Weg, um Ihre Frage zu beantworten. Aber ja, ich glaube, ich bevorzuge das Wiederverwendungsmodell genau aus diesem Grund. Wir verbessern die bestehende Infrastruktur. Ich denke, es modernisiert auch die Region, die Menschen, die dort leben, die Bürger, die Öffentlichkeit. Es gibt also viele Gründe, warum ich denke, dass dieses Modell der richtige Weg ist.
0:20:47.1 Emily Wearmouth: Ich wusste, dass das eine schwierige Frage sein würde, als ich sie stellte. Ich dachte, du wärst groß. [Gelächter] Okay. Ich werde Sie nach der Bedrohungslandschaft fragen, denn wenn Sie ein großes Sportturnier veranstalten, haben Sie es offensichtlich mit einer großen, schlimmen Welt ziemlich großer Bedrohungen zu tun. Und ich habe mich gefragt, wie Sie mit der Entwicklung der Bedrohungslandschaft Schritt halten, wie Sie persönlich und auch organisatorisch mit ihr Schritt halten, und wie sich dies, wenn überhaupt, auf Ihre Pläne auswirkt?
0:21:12.9 Ben Morris: Richtig. Ja. Es gibt also mehrere Stränge davon. Ich werde jetzt eher über lokale Themen sprechen und dann mehr auf den Nationalstaat eingehen. Wenn es darum geht, wie ich Bedrohungsinformationen sammle, geschieht dies auf lokaler Ebene über meine wichtigsten Netzwerkpartner. Wir tätigen daher zahlreiche strategische Investitionen bei Technologiepartnern, die in dieser Hinsicht für uns arbeiten. Da wir bei World Rugby nur ein kleines Team sind, können wir praktisch nicht den gesamten Frachtbereich abdecken. Und diese Informationen zu verarbeiten, wird einfach zu schwierig sein. Arbeiten Sie daher mit wichtigen Partnern aus verschiedenen Fachbereichen zusammen. Beispielsweise könnten wir mit AWS zusammenarbeiten, um Informationen über die Cloud und deren Beobachtungen zu erhalten. Sie könnten beispielsweise mit Netskope zusammenarbeiten, was die Entwicklungen im Bereich der Vernetzung im Hinblick auf die Globalisierung betrifft. Deshalb arbeiten wir mit wichtigen Partnern zusammen, wenn es um lokale Informationen geht, die unsere Infrastruktur betreffen könnten.
0:22:05.5 Ben Morris: Dann gibt es noch andere Branchenkollegen. Ich habe vorhin unsere Zusammenarbeit mit den Verbänden erwähnt. Wir tauschen Informationen untereinander aus, da die Bedrohungen, die uns oder die Olympischen Spiele treffen werden, höchstwahrscheinlich genau dieselben sein werden. Auf diese Weise teilen wir Informationen. Wir haben bereits eine Arbeitsgruppe zwischen allen Verbänden, die diese Erkenntnisse aus der Cybersicherheit austauscht. Und Dinge, die wir dieses Jahr im Zusammenhang mit den Olympischen Spielen erwähnt haben. Wir verfügten über die Erkenntnisse aus diesem Ereignis, die wir wiederverwendet haben, und haben sichergestellt, dass wir einen Teil unserer Pläne und die Erkenntnisse, die wir über die Olympischen Spiele haben, berücksichtigen und an die FIFA weitergeben. Es gibt also Bedrohungsinformationen auf Gehaltsebene und dann gibt es noch die Bedrohungsinformationen auf nationaler oder nationaler Ebene. Und genau deshalb ist unsere Zusammenarbeit mit NCSC so wichtig. Wir haben keine Verbindungen, wenn es um Nationalstaaten und die Vorgänge in diesem Ökosystem geht.
0:22:58.2 Ben Morris: Wir müssen also mit dem NCSC zusammenarbeiten, um zu verstehen, ob wir zum Ziel von Nationalstaaten werden. Können Sie uns unterstützen und uns die Informationen liefern, die wir brauchen, um sicherzustellen, dass wir bestmöglich vorbereitet sind? Wenn es also um ein Großereignis in einem Land geht, arbeiten Sie häufig mit dem Cybersicherheitsspezialisten NCSC zusammen. In diesem Beispiel erstellen Sie einen FRET-Bericht für das Ereignis und erhalten dann die Ergebnisse daraus. Die wahrscheinlichste glaubwürdigste Quelle wird X sein und diese wird verwendet. Und dies ist der Reaktionsplan und das müssen Sie berücksichtigen. So ist das also bei uns... Bei diesem dreigleisigen Ansatz gibt es die lokale Ebene mit Schlüsselpartnern, eine föderale Ebene mit Gleichgestellten und dann noch die nationalstaatliche Ebene, also die jeweilige lokale Regierung.
0:23:41.4 Ben Morris: Und alle drei Bereiche vermitteln Ihnen ein klares Bild davon, wie die Bedrohungslandschaft derzeit aussieht. Und das ändert sich ständig. Und das ist der interessante, herausfordernde und stressige Teil der Cybersicherheit in Großbritannien. Okay, Sie werden zur Zielscheibe, denn Sie sind eines der fünf Augen. Sie werden also eine Reihe von Zielen erhalten. Aktivismus ist derzeit sehr wichtig, daher sind dies die Bereiche, die Sie in Großbritannien am wahrscheinlichsten betreffen werden. Dann verlegen wir unsere Großveranstaltungen nach Australien. Das wird sich also wieder ändern, und danach ziehen wir wieder in die USA. Die Bedrohung ändert sich also jedes Jahr. Es handelt sich also um einen Bereich, in den Sie viel Zeit in den Aufbau dieser Threat Intelligence Communities investieren müssen. Und das ist es, was ich den Zuhörern raten würde. Wenn Sie diese Bedrohungsinformationen noch nicht festgelegt haben, denken Sie an diese drei Ebenen, die Ihnen dabei helfen können. Und das ist es, was für mich funktioniert und was ziemlich, extrem wertvoll ist. Erklären Sie dem Vorstand die Bedrohungen, erläutern Sie das Risiko und die Wahrscheinlichkeit, dass diese Risiken erheblich sind, und erläutern Sie anschließend die Investitionen, die Sie als Cyber-Experte tätigen müssen, um die Auswirkungen von Störungen bei einer Großveranstaltung zu verhindern und zu reduzieren.
0:24:43.0 Emily Wearmouth: Und das hat mich zum Nachdenken gebracht: Wenn Sie Ihre Pläne für den Fall umsetzen, dass etwas schiefgeht, beziehen Ihre Pläne dann Dinge wie das Militär mit ein? Wenn Sie es mit einem Großereignis zu tun haben, würden Polizei und Militär in Ihren Schadensbegrenzungsplänen eine Rolle spielen?
0:24:56.8 Ben Morris: Die Polizei. Und wie.
0:24:58.3 Emily Wearmouth: Wow.
0:24:58.9 Ben Morris: An allen acht Veranstaltungsorten herrscht also eine massive Polizeipräsenz. Ihre Anwesenheit in unserem Block, der das Hauptbetriebszentrum ist, ist überall spürbar. Die Polizei ist ein entscheidender Bestandteil jedes größeren Ereignisses in einem Land. Und das gilt nicht nur für Großbritannien. Weltweit müssen sie einbezogen werden, und zwar sehr früh, insbesondere wenn es um die Finanzierung und Vorbereitung geht. Die Polizei verfügt nicht über unbegrenzte Mittel. Sie verfügen auch nicht über eine unbegrenzte Anzahl an Betriebspersonal. Je besser sie verstehen, dass ein großes Ereignis bevorsteht. Normalerweise ist es Teil des Bewerbungsprozesses für eine Großveranstaltung. Sie würden im Rahmen des Ausschreibungsverfahrens für eine Großveranstaltung konsultiert werden, um zu erfahren, wie hoch die Verfügbarkeit der Polizei in diesem Jahr ist.
0:25:35.9 Ben Morris: Und an diesen Vorbereitungen ist auch die Zentrale beteiligt, die das koordiniert und normalerweise einen Kommissar abstellt, der bei der Planung hilft. Die Polizei ist also absolut entscheidend. Sie sind während des gesamten Prozesses involviert. Das Militär ist ein bisschen seltsam. Wenn es also zu einer Großveranstaltung kommt und es zu einem Streik kommt oder etwas anderes passiert, das die Stabilität der örtlichen Polizei beim Schutz der Öffentlichkeit beeinträchtigt, kommt dies nur sehr selten vor. Normalerweise würden Freiwillige aus anderen Landkreisen kommen, um diese Bandbreite zu unterstützen. Ich war noch nie in einem Fall, in dem das Militär eingezogen wurde, aber ich habe gehört, dass dies in der Vergangenheit bei anderen Vorfällen der Fall war. Ich denke, dass es für die britische Regierung das Worst-Case-Szenario wäre, das Militär einzuziehen.
0:26:18.4 Ben Morris: Ihnen fehlt das Personal, ihnen fehlt die Polizei und dann vielleicht auch die Ordner im Stadion. Es gibt keine private Unterstützung von Unternehmen, die dies unterstützt. Es gibt also mehrere Entscheidungspunkte, und die Entscheidung liegt letztendlich beim Homeoffice. Das letzte Wort hat die Zentrale, und zwar auf Grundlage der betrieblichen Risiken für Publikum und Fans sowie der Organisation der Großveranstaltungen. Also ja, glücklicherweise weniger das Militär, also unbedingt die Polizei. Sie sind ein entscheidender Teil dieses Prozesses.
0:26:47.3 Emily Wearmouth: Genial. Und dann meine letzte Frage: Sie reisen um die Welt. Sehen Sie signifikante Unterschiede in der Art und Weise, wie verschiedene Länder an Veranstaltungen wie Ihre herangehen und wie sie bei den von Ihnen ausgerichteten Veranstaltungen mit Ihnen zusammenarbeiten möchten?
0:27:01.4 Ben Morris: Ja, ich denke, wenn es um die Organisation großer Veranstaltungen auf der ganzen Welt geht, hat jede Region ihren eigenen Reifegrad. Wenn es um Cybersicherheit geht, sind manche in meiner Welt viel ausgereifter und es ist ein anerkannter Standard. Ich denke, Nordamerika ist derzeit die Blaupause, und ich denke, sie haben Glück, denn viele ihrer Veranstaltungsorte und Stadien wurden von Grund auf mit diesem Gedanken im Hinterkopf gebaut. Ich denke, Europa ist sehr stark, was seine Standards und seine praktischen Aspekte angeht. Ich habe den Prüfprozess im Bereich der physischen Sicherheit erwähnt. Wir sind also sehr, sehr stark, aber im Bereich Cybersicherheit sind noch viel mehr Investitionen erforderlich. Ich habe das Gefühl, dass Rugby in der Region Asien-Pazifik wächst. Wir erleben beispielsweise derzeit das größte Wachstum im Rugby in Asien. Und wenn ich das den Leuten sage, denken sie: Wow, wirklich? Aber ja, in Japan und diesen Regionen ist das momentan riesig.
0:27:49.4 Ben Morris: Und wir sehen massive Investitionen in Stadien, weil dort nicht wirklich die Infrastruktur für die Durchführung einer Großveranstaltung vorhanden ist, obwohl sie das irgendwann wirklich gerne hätten. Der erste Aspekt ist die Infrastruktur und die Vorbereitung für die Durchführung einer Großveranstaltung. Der Schwerpunkt lag stark auf Nordamerika und Mitteleuropa. Das ist seit sehr, sehr langer Zeit die De-facto-Regel. Ich denke, es gibt tatsächlich Möglichkeiten in anderen Regionen, in denen vielleicht noch nie eine Großveranstaltung durchgeführt wurde. Sie bauen also unsere eigene Infrastruktur auf, um sie wirklich zu modernisieren. Der Hauptunterschied liegt jedoch in der Kultur und darin, wie viel Unterstützung das jeweilige Land bereit ist, einer Großveranstaltung zu geben. Die Begeisterung für ein Großereignis ist die gleiche. Die Herausforderung besteht darin, dass die Infrastruktur und die Reife des jeweiligen Landes im Hinblick auf ein Großereignis unterschiedlich sind. Und hier kommt meine Aufgabe ins Spiel: die Erstellung dieser Baupläne. Und deshalb müssen wir als Leitungsgremien dazu beitragen, die Voraussetzungen für das nächste Großereignis zu schaffen. Und so ist es gekommeneen transferable, but nothing from a cultural perspective, I would say changes. It's just a challenge when it comes to maturity of the infrastructure.
0:28:50.2 Emily Wearmouth: Sport ist also eine internationale Universalsprache, und Cybersicherheit ist es auch?
0:28:55.0 Ben Morris: Nun ja, das würde ich sagen. In den verschiedenen Phasen der gemeinsamen Sprache, und ich denke, wir werden diesen Bereich in den nächsten Jahren im Auge behalten. Ich glaube, dass der Sport uns wirklich aufbauen wird. Und ich denke, der Grund dafür ist einfach die Übertragbarkeit und Nachhaltigkeit des Spiels. Und es ist mittlerweile weltweit anerkannt – nicht nur im Sport, sondern in den meisten Sektoren –, dass die Cybersicherheit eines der größten Risiken darstellt, das auf uns zukommen wird. Und ich denke, dass dies nun als einer der Bereiche anerkannt wird, auf die wir uns konzentrieren müssen. Also ja, es ist eine übertragbare Sprache, in anderen Regionen weniger als in anderen, aber ich bin sicher, dass sich das ändern wird.
0:29:32.5 Emily Wearmouth: Genial. Nun, Ben, das war absolut faszinierend. Ehrlich gesagt könnte ich ewig mit Ihnen darüber reden und meine Schwester ist ein großer Rugby-Fan, also gewinnen wir mit dieser Folge mindestens eine weitere Zuhörerin hinzu, also wird ihr dieses Gespräch auch gefallen. Es ist ein Gewinn. [Gelächter] Vielen Dank, dass Sie mir Ihre Zeit geschenkt haben.
0:29:51.3 Ben Morris: Vielen Dank, dass ich hier sein darf. Hoffentlich haben Ihre Zuhörer etwas mehr über Sport, Cybersicherheit und Austauschbarkeit gelernt. Aber ja, es war mir eine Freude, heute mit Ihnen zu sprechen, und ich freue mich auf viele weitere Gespräche in der Zukunft.
0:30:01.0 Emily Wearmouth: Genial. Danke, Ben. Sie haben den Podcast „Security Visionaries“ gehört und ich, Emily Wearmouth, war Ihre Gastgeberin. Wenn Ihnen diese Folge gefallen hat und Ihnen diese Folge auf jeden Fall gefallen hat, teilen Sie sie bitte. Folgen Sie uns unbedingt auf Ihrer bevorzugten Podcast-Plattform, dann verpassen Sie garantiert keine Folge mehr. Wir sehen uns beim nächsten Mal.
){kind=icon}
