Radware-CEO Roy Zisapel

"Die Angreifer bestimmen den Markt"

05.12.2014
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Die Kunst der richtigen SLAs

CW: Sobald ein Anwender sich zum Kauf entschließt, müssen in der Regel Service Level Agreements (SLAs) abgeschlossen werden. Wie sehen diese im besten Fall aus?

ZISAPEL: Das wichtigste ist die Verfügbarkeit von Diensten und Daten. Egal, ob es sich um einen Sicherheitsvorfall oder einen Netzwerkausfall handelt - jede Downtime wirkt sich negativ aus. Daher sollten SLAs immer zuerst auf die Verfügbarkeitszeiten eingehen, danach auf die Antwortzeiten von Services. Dem Kunden ist es egal, wo die Gründe liegen - sind Dienste, Daten und Systeme nicht verfügbar oder zu langsam, ist das schlecht. Den deutschen Bahnfahrer interessiert es schließlich auch nicht, warum vier Tage keine Züge fahren - ihn ärgert nur die Tatsache, dass sie nicht fahren. Es mag sein, dass es ihn beim ersten oder zweiten Mal noch interessiert, was genau die Hintergründe sind, aber wenn er gesagt bekommt, dass ab sofort jede zweite Woche ein Bahnstreik ansteht, kann die Bahn direkt einpacken. Gleiches beim Thema SLAs: Das Unternehmen muss sicher sein können, dass der bestellte Service läuft.

Erst danach sollten die Agreements den Security-Bereich abdecken. Hier geht es meistens darum, festzulegen, wie lange ein Anbieter oder ein Security-Dienstleister brauchen darf, um eine Attacke zu entdecken und die entsprechenden Schwachstellen zu beheben. Wir beispielsweise reden hier von einer Zeitspanne von einer Minute, was die Entdeckung eines Angriffs angeht und von fünf bis zehn Minuten für seine Abwehr.

CW: Wie entwickelt sich der Markt für Managed Security Services denn allgemein im Moment?

ZISAPEL: Sehr positiv. Die IT-Budgets, besonders die für das Fachpersonal, schrumpfen. Gerade kleine und mittlere Unternehmen sind betroffen, weil hier immer mehr Wert auf Verschlankung der Prozesse gelegt wird. Security-Fachkräfte sind teuer und brauchen ein tiefes Verständnis der Materie - das können sich immer weniger Unternehmen leisten. Also lagern sie das Thema Security komplett aus oder ergänzen ihre eigenen Teams zumindest um externe Berater.

Besonders in den USA ist dieser Trend bei den Cloud- und Hosting-Providern sehr stark zu erkennen: Fast alle entwickeln mittlerweile zu ihrem Kerngeschäft des Infrastructure as a Service auch Security-Services hinzu. Die Kunden möchten die Daten und Systeme, die sie in die Cloud geben, natürlich adäquat abgesichert wissen.

Ein Vorteil für MSS-Anbieter ist sicherlich, dass sie mehr als ein Unternehmen kennen und dadurch noch umfassender wissen, wo die Security-Risiken einer bestimmten Branche liegen. Wenn eine Bank sich vollständig selbst um die eigene IT-Security kümmert, kann sie das bestimmt nicht so gut wie ein Managed-Security-Service-Anbieter, der noch neun andere Banken betreut.

Der Weg ins SDDC

CW: Kommen wir zu den aktuellen IT-Trends. In Ihrer Unternehmenspräsentation beschreiben Sie den Wandel vom klassischen Rechenzentrum über das Cloud Computing hin zum Software Defined Data Center (SDDC) als "nicht absolut". Was meinen Sie damit?

ZISAPEL: Das altbekannte Modell ist, dass jede Applikation für sich isoliert auf einem eigenen dedizierten Server, in einem eigenen Teil des Netzes betrieben wird. Um agiler, dynamischer und effizienter werden, haben wir dann angefangen, zu virtualisieren. Das brachte mehr Tempo, mehr Konsolidierung und kostete weniger Geld. Derzeit bewegt sich vieles hin zu Cloud-Infrastrukturen, in denen nur noch zeitweise und auf gezielte Bedürfnisse zugeschnittene Ressourcen aufgewendet werden. Der nächste Schritt ist das Software Defined Data Center, das diese Abläufe im Idealfall automatisiert.

Diese Entwicklung ist auf Anwenderseite aber nicht durchgängig und eindeutig. Nehmen wir eine große Bank mit 1000 Applikationen, die auf dedizierten Servern gehostet werden. Die Bank wird nun nicht alle 1000 Anwendungen in die Hybrid Cloud migrieren. Normalerweise sucht sie sich ein bis zwei aus, deren Geschäftsmodell am besten funktioniert, und zieht nur diese um. 200 verbleiben auf den bisherigen Servern und der große Rest wird in einem virtualisierten Data Center vorgehalten, das eigens dafür aufgebaut wurde.

Der Wandel der Technologie ist nicht absolut - jedes Unternehmen stellt sich seine IT-Infrastruktur so zusammen, wie es ihm am besten passt.

CW: Welche Security-Trends sehen Sie für das kommende Jahr 2015?

ZISAPEL: Die Zahl der Cyberattacken wird weiter zunehmen, auch ihre Professionalität wird steigen. Die Angriffsfläche verschiebt sich weiter auf die Anwendungsebene und etwas weg vom Netzwerk als Ganzem.

Eine große Herausforderung ist sicherlich auch die Authentifizierung von Menschen im Cyberspace, das heutige Identitäts- und Passwort-Management ist nur noch bedingt zeitgemäß. Ich sehe den Trend eher in Richtung verhaltensbedingte Identifizierung gehen, dass Systeme nicht mehr an korrekt eingegebenen Passphrasen oder Erinnerungsfragen erkennen, wer mit ihnen kommuniziert, sondern am Verhalten von Personen.

CW: Und wie sollen Anwender mit diesen Entwicklungen umgehen?

ZISAPEL: Sie müssen der Realität ins Auge schauen, weniger naiv sein. Nicht alle Cyberangriffe sehen so aus, wie sie in den Medien dargestellt werden - als massive, nur volumenbasierte DDoS-Attacken mit großen Datenmengen, die das ganze Geschäft lahmlegen. Heutige Attacken sind oftmals eine Mischung aus vielen unterschiedlichen Angriffsarten, und eine einzige Sicherheitslücke zu schließen, bedeutet nicht, dass der Angriff vorbei ist.

Darüber hinaus wissen viele Unternehmen gar nicht, wie verletzlich sie wirklich sind und wie viele Angriffspunkte sie für die verschiedenen Gruppen bieten. Es gibt mehr als finanziell motivierte Hacker und staatliche Spione.

Schließlich ist es wichtig zu verstehen, dass Security kein Einzelprodukt ist, sondern ein organisatorisch-strategisches Thema. Es betrifft die Absicherung der gesamten Infrastruktur, der Geschäftsprozesse, weit mehr als "nur" die Sicherheit der IT. Deshalb sollten Unternehmen über ein übergreifendes Sicherheitssystem auf Basis einer umfassenden Abwehrstrategie verfügen, das sie vor allen aktuellen Gefahren schützt. Punktuelle Lösungen und Produkte reichen nicht aus.