"Dieser Vorfall war mir eine Lehre fürs Leben"

Von: Simon Hülsbömer
Letzte Aktualisierung:
2_02805586_2805587.jpg

Aachen. Heute geht in London die RSA Conference Europe 2012 zu Ende. Die Security Division von EMC forciert ihre informationszentrierte Unternehmensstrategie. Geschäftsführer Thomas Heiser stand uns Rede und Antwort, auch zu den Lehren aus dem RSA-Daten-GAU vor eineinhalb Jahren.

Sie beschweren sich über sensationsheischende und oberflächliche Berichterstattung in den Medien zum Thema IT-Sicherheit. Welche Schlagzeile würden Sie denn gerne einmal lesen?

Aus altruistischer Sicht RSA besiegt Advanced Threats. Aus unternehmerischer Sicht wäre das aber weniger gut, weil es dann für uns nichts mehr zu verkaufen gäbe.

Definieren Sie doch einmal die bösen Buben, von denen alle immer reden. Es werden wohl kaum die Kapuzenpulliträger aus den dunklen Kellerlöchern sein, deren Fotos Sie in Ihren Präsentationen immer so schön darbieten.

Wir gruppieren sie in verschiedene Kategorien. Da sind zum einen staatliche Einrichtungen, die es vor allem auf geheime Verteidigungsstrategiepapiere oder Industriepatente abgesehen haben. Denen kommt es nicht auf das schnelle Geld an, das damit gemacht werden kann.

Es stecken längerfristige Überlegungen dahinter. Weil hier Daten kopiert und nicht im eigentlichen Wortsinne entwendet werden, fallen solche Vorfälle selten auf. Zum anderen gibt es die Hacktivisten, die sich durch soziale, gesellschaftliche oder moralische Antriebe zu kriminellen Handlungen genötigt sehen.

Als dritte Kategorie gibt es noch diejenigen, die sich direkt bereichern wollen und einen schnellen "Return on Investment" anstreben. Sie sind gut organisiert, manchmal staatlich subventioniert und arbeiten wie normale Unternehmen.

Sobald staatliche Stellen und Behörden mit im Spiel sind, bewegen wir uns auf einem ganz anderen Bedrohungsniveau. Gerade hier sehen wir uns als RSA mit unseren Security Analytic bestens aufgestellt, was die Themen Deep Packet Inspection, dauerhafte Überwachung des Datenverkehrs, Anti-Betrug und Risikobewertung angeht.

Unsere Authentifizierungslösungen helfen den meisten sofort weiter.
Ich hatte mich beispielsweise vor eineinhalb Jahren mit dem CIO eines Unternehmens aus dem Gesundheitswesen getroffen. Er wollte, dass wir uns seine IT-Infrastruktur anschauen und ihm berichten, wo die Schwachstellen liegen.

Also haben wir eine Risikobewertung vorgenommen und ihm bei der Entwicklung einer Prioritätenliste geholfen, die er innerhalb seiner Abteilung abarbeiten wollte. Damit gehört er natürlich schon zu den fortgeschrittenen Anwendern, die nicht nur reagieren, wenn gerade etwas passiert.

Er hatte jedoch vergessen, dass viele der aufgedeckten Schwachstellen nicht nur kritisch für seine eigene Abteilung, sondern kritisch für das gesamte Business waren. Nicht, dass seine Strategie falsch war, sondern er hatte schlichtweg Entscheidendes außer Acht gelassen. Nachdem er Ende des vergangenen Jahres nach Abschluss unserer Beratung implementiert hatte, bekam ich im Februar eine Mitteilung von ihm, dass sein Netz von staatlicher Seite infiltriert worden war.

Beim gemeinsamen Frühstück vor einigen Wochen dankte er mir dann dafür, dass er nur dank unserer Produkte davon umgehend Kenntnis erlangt hatte und Gegenmaßnahmen einleiten konnte. Das Gute daran war, dass er diesen Vorfall seinen Vorgesetzten vorlegen konnte, um diesen klarzumachen, dass das Investment richtig gewesen war.

Die Geschichte zeigt, dass die Bereitschaft, sich aktiv um IT-Sicherheit zu kümmern, schon viel wert ist. Zudem ist es eine Auszeichnung für uns als Sicherheitsfirma, wenn ein Kunde dank unserer Produkte derartige Erfolge erzielen kann.

Es ist nun 19 Monate her, dass Ihr Unternehmen Opfer eines Cyberangriffs geworden ist. Was haben Sie aus diesem Vorfall gelernt?

Eine Menge. Unser CISO hat RSA seitdem zu einem sehr viel sichereren Ort gemacht. Was aber noch viel wichtiger ist: Wir haben Kommunikation gelernt - Kommunikation mit unseren Kunden, Kommunikation mit der Presse.

Heute kommunizieren wir anders mit unseren Kunden als früher - heute wissen die innerhalb von 24 Stunden, was los ist. Wir hatten verschiedene Teams und Projekte dazu, wir haben Summits veranstaltet, um nach innen und außen aufzuklären und transparent zu sein. Dieser Vorfall war auch für mich persönlich eine Lehre fürs Leben, was die Themen Kommunikation und Transparenz angeht.

Unser Intelligence driven Security Ansatz war nur mittelbar betroffen. Er entstand aus der Übernahme von NetWitness, die bereits einige Monate zuvor eingeläutet worden war. Als der Vorfall geschah, befanden wir uns inmitten der Akquisition und haben sie schließlich zwei Wochen später abgeschlossen.

Ich habe häufig gehört und gelesen, dass wir NetWitness nur gekauft hätten, weil es diesen Sicherheitsvorfall gegeben habe - das ist nicht wahr. Eine Übernahme schließen Sie nicht innerhalb von ein paar Wochen ab.

Die Pläne für eine neue Unternehmensstrategie entsprangen der Tatsache, dass unser Critical Response Center bei schon drei Jahre Kunde bei NetWitness gewesen war. Wir kannten daher die Stärken dieses Unternehmens und ahnten, das es gut in unser Portfolio und unsere Strategie passen würde.

Dass der Angriff dann während des Übernahmeprozesses vonstatten ging, hat uns aber noch einmal in unseren Plänen bestärkt: Die NetWitness-Produkte konnten ihre seine Stärken direkt beweisen. So passten verschiedene Faktoren auch zeitlich ganz gut zusammen.

Sie waren beileibe nicht der einzige Anbieter, dem schon sensible Informationen abhanden kamen. Im Lichte der Erfahrungen, die Sie gemacht haben: Was empfehlen Sie Mitbewerbern, Kunden, Sicherheitsexperten und auch Politikern? Wie sollen sie der aktuellen Bedrohungslandschaft begegnen?

Das Wichtigste ist für alle, zu verstehen wo die potenziellen Risiken für Ihr Business verborgen sind; sowohl aus internem Blickwinkel heraus als auch aus externem. Erst wenn Sie das geschafft haben, können Sie eine Security-Strategie entwickeln, die greift.

Das Beispiel, was mir immer als erstes in den Sinn kommt, ist der Diebstahl von Intellectual Property. Die meisten Risiken sind aber branchen- und unternehmensabhängig.

Es bleibt nach wie vor eine Investitionsfrage. Glaubt man den neuesten Zahlen einer Ponemon-Studie im Auftrag von HP, zahlt jedes US-Unternehmen mittlerweile rund 7 Millionen Euro jährlich, um die Folgen von IT-Sicherheitsvorfällen zu beseitigen.

Deutsche Unternehmen kosten derartige Incidents immerhin noch rund 5 Millionen Euro, die britischen 2,5 Millionen. Reichen diese horrenden Schadenssummen etwa immer noch nicht, um eine Umverteilung zu erreichen?

Gemessen an den Risiken sind die Security-Budgets in der Tat viel zu gering. Ich habe im Laufe meines Berufslebens noch nicht eine Firma kennen gelernt, deren Security-Verantwortliche die Gelder bekommen haben, die sie gebraucht hätten, um alle ihre Anforderungen zu erfüllen.

Wer hat schon die Muße, drei- bis viermal soviel für Security ausgeben zu können wie für die gesamte übrige IT? Auch wenn das immer noch wenig ist, wenn ich die möglichen Risiken für geschäftskritische Anwendungen bedenke. Also bleibt es eine Frage der Priorisierung der Gelder, die man bekommt.

Bestimmte Dinge müssen dann einfach liegen bleiben - welche, ändert sich ständig. Reine Antivirus-Lösungen beispielsweise spüren heute nur noch durchschnittlich 20 bis 30 Prozent der potenziellen Gefahren innerhalb eines Netzes auf. Vielleicht würde ich als CISO dort derzeit als erstes sparen.

Eines weiß ich aber mit Sicherheit: Kunden, die mir sagen Ich bin sicher, bekommen von mir den Todeskuss verpasst. So eine Aussage ist absolut naiv. Natürlich müssen Menschen wie ich paranoid sein, um in der Security-Industrie arbeiten zu können, aber Kunden mit solchen Aussagen sind in meinen Augen garantiert diejenigen, die es bei der nächsten Angriffswelle am härtesten erwischen wird.


Security-Investitionen werden derzeit in weltweit tätigen Konzernen auch stark in den Auf- oder Umbau von internen Expertenteams gesteckt. Inwiefern ist das der richtige Weg?

Regierungsbehörden und militärische Einrichtungen haben damit begonnen, weil sie als erstes Opfer von komplexen IT-Angriffen geworden sind. Nun beginnt auch die Privatwirtschaft mit diesen Maßnahmen. Aktuell ist es besonders die Finanzindustrie, die verstärkt attackiert wird und entsprechende Gegenmaßnahmen ergreifen muss.

Was machen diese Unternehmen also? Sie rekrutieren ihre Sicherheitsexperten bei staatlichen Stellen, weil dort das benötigte Know-How bereits vorliegt. Einziger Unterschied: Statt ein Land verteidigen diese nun eine Bank oder Versicherung.

Das, was wir als RSA tun können, ist zum einen intelligentere Software zu entwickeln, damit ein Teil des menschlichen Verstands durch Technik ersetzt werden kann. Zum anderen müssen wir noch stärker mit Universitäten und Bildungseinrichtungen zusammenarbeiten, um für kompetenten Security-Nachwuchs zu sorgen. Bei RSA arbeiten viele Studenten, die ihr Wissen einbringen und wiederum von unserem profitieren.

Ich bin nicht bei Facebook angemeldet. Mein Linkedin-Profil habe ich wieder gelöscht. Ich gebe keinerlei persönliche Daten im Internet preis. Ich bin wie bereits angedeutet ein sehr paranoider Mensch.

Ich würde niemals, niemals, niemals mein Smartphone oder Tablet unverschlüsselt irgendwo herumliegen lassen. Ich ändere ständig alle meine Passwörter. Man könnte also meinen, ich bin gut erzogen. Selbstredend liegt der Grund dafür auch in meiner beruflichen Funktion - zum einen muss ich Vorbild sein, zum anderen bin ich als Vorstand eines der größten Security-Anbieter natürlich auch immer ein potenzielles Angriffsziel.

Darf ich Ihnen nicht sagen. Sonst müsste ich Sie töten. Aber es sind eine ganze Menge.

Gar nicht. Ich verteile deshalb überall Post-its... Nein, ich mache Spaß!

Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.

Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird - ein Katalog mit Erste-Hilfe-Maßnahmen kann niemals früh genug erstellt werden.

Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden.

Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen?

Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten.

Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert