EMC-CSO Dave Martin

Wo sind die technisch versierten Krawattenträger?

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Was tun, wenn Mitarbeiter fürchten, vom eigenen Unternehmen ausspioniert zu werden? Spielt die Perimetersicherheit in Großkonzernen überhaupt noch eine Rolle? Und kann der Security-Nachwuchs schon auf Augenhöhe mit gestandenen Managern debattieren? Wir haben uns mit Dave Martin, Chief Security Officer (CSO) bei EMC, über den Wandel seines Jobs unterhalten.

CW: Erläutern Sie bitte kurz, was Sie im Tagesgeschäft als CSO bei EMC tun.

Dave Martin, CSO bei EMC
Dave Martin, CSO bei EMC
Foto: RSA / EMC

DAVE MARTIN: Mein Team kümmert sich um alle Security-Themen bei EMC weltweit mit Ausnahme des Themas Produktsicherheit. Wir sind zuständig für das Risiko-Management sowie die sichere Entwicklung und Architektur der Sicherheitslösungen, die wir einsetzen. Es geht darüber hinaus um Incident Response, Monitoring und viele kleinere Security-Services. Die wichtigsten Themen, mit denen wir uns derzeit beschäftigen, sind Sicherheit im Cloud-Umfeld und die sichere Nutzung von Privatgeräten und B2C-Diensten im Unternehmen.

CW: Inwiefern betrifft Sie der aufkommende Konflikt Datenerhebung und -analyse aus Sicherheitszwecken heraus vs. Datenschutzbedenken?

MARTIN: Natürlich schlägt die politische Debatte auch bei uns auf - gerade in den Bereichen Incident Response und Monitoring. Ich muss häufig erklären, was wir mit den Daten, die wir mit unseren Analyse-Tools erheben, machen. Wir sammeln zwar viel ein, analysieren die Informationen aber nicht derart, dass wir beispielsweise die E-Mail-Postfächer unserer Mitarbeiter überwachen. Es geht vielmehr darum, zu erfahren, welche Clients im Netzwerk warum miteinander kommunizieren. Oder auch darum, zu erkennen, ob wir Malware oder böswillige Website-Aktivitäten feststellen. Um diese Sichtbarkeit zu erreichen, müssen wir Datenströme analysieren - das hilft auch bei der Einhaltung von Compliance-Vorschriften und beim internen Auditing. Je besser wir erklären können, was wir tun und warum wir es tun, desto besser für alle.

Perimeterschutz ist Commodity

CW: Welche Rolle spielt die klassische Perimetersicherheit noch?

MARTIN: Auch wenn ich gerne antworten würde, dass es den Perimeter heute nicht mehr gibt und Anti-Virus-Software nicht mehr funktioniert - klassische Sicherheitswerkzeuge erfüllen nach wie vor ihre Aufgaben. Sie sind nur stärker zur Commodity geworden. Ich habe nicht vor, diese Tools aus meinem Budget zu streichen. Ich möchte aber weniger für ihre Wartung und Verwaltung ausgeben als früher, damit ich mehr Geld in neue Technologien investieren kann. Kurzum: Der Perimeterschutz ist nach wie vor präsent - seine Effizienz ist nur nicht mehr die gleiche wie früher.

Anstatt ein ganzes Gerät oder Serversystem zu schützen - mit beispielsweise Intrusion Prevention und Antivirus - möchte ich meinen Fokus zunehmend auf kleinere Einheiten, auf granulare Technologien legen und neue vertrauenswürdige Umgebungen schaffen, in denen ich Daten und Applikationen ablegen kann. Die Umstellung, die derzeit stattfindet, ist die, um die schützenswerten Systeme neue Arten von Grenzen, von Perimetern aufzubauen. Eine "Reparameterisierung" sozusagen. Mit dem Ziel, die Entwicklungen rund um Cloud Computing und Mobilität abbilden zu können.

CW: Wie stark hat EMC seine eigenen Sicherheitslösungen bereits konsolidiert und neu ausgerichtet?

MARTIN: Wir haben stark zentralisiert. Die Commodity-Sicherheit läuft mittlerweile komplett innerhalb der rein operativ arbeitenden IT-Abteilung, ohne dass wir uns als Security-Mannschaft da noch mit beschäftigen müssen. Wir können uns dadurch auf die Sicherheitsanalyse von beispielsweise Cloud-Anwendungen wie Salesforce.com konzentrieren. Dieses Monitoring geschieht aber nicht mehr im klassischen Sinne: Früher hätten wir mit einer Web Application Firewall gearbeitet und die verschiedenen Ebenen der Anwendungen manuell geprüft. Heute nutzen wir Logfeeds, die von Salesforce automatisiert erstellt werden, und spielen diese über offene Schnittstellen in eine Analyse-Plattform ein. Es ist ein anderer Ansatz, um das gleiche Ziel zu erreichen: zu verstehen, was die Nutzer treiben. Mittels Federated Identity Management lässt sich beispielsweise direkt nachvollziehen, wo Login-Vorgänge fehlgeschlagen sind - auf diese Weise können wir unsere Authentifizierungsplattformen gleich mit verwalten.

Wir befinden uns mitten im Prozess, für neue Typen von Technologie neue Benutzeroberflächen zu schaffen. Einige davon müssen wir sehr speziell auf unsere eigenen Bedürfnisse zuschneiden - der Vorteil von EMC ist, dass wir diese dann direkt an RSA weitergeben können, die sie wiederum in neue Features und Produkte überführen und auf den Markt bringen. Das ist der Vorteil daran, einen Unternehmensteil zu haben, der mit neuen Security-Produkten sein Geld verdient.

Mitarbeitern die Angst nehmen

CW: Wie haben sich der Beruf des CSOs im Allgemeinen und Ihre eigene Tätigkeit im Speziellen in den vergangenen Jahren verändert?

MARTIN: Die Themen Aufklärung und Ausbildung sind noch einmal wichtiger geworden. Durch die verstärkte Berichterstattung über Sicherheitsvorfälle, Angriffe oder staatliche Spionage-Aktionen erfahren die Menschen viel mehr über den Bereich IT-Sicherheit als früher und haben natürlich auch entsprechend mehr Fragen. Meine Aufgabe ist es, diese Berichte zu "übersetzen" und zu erklären, was sie für uns und sie selbst bedeuten. Es geht dabei stark um Themen wie Kontrolle und Überwachung. Da gibt es noch sehr viele Ängste, weil wir oft noch nicht die richtige Technologie haben, um Security wirklich transparent und verständlich genug zu machen. Dann gilt es auch, Aufgaben zu verteilen, sie aber gut zu erklären und deutlich zu machen, dass diese Intransparenz in sechs bis zwölf Monaten vorbei sein wird.

Als CSO sprechen Sie viel mit Produktmanagern und anderen Sales-Vertretern, denen Sie erklären müssen, was eine bestimmte Software-Lösung oder Web-Service wie Dropbox für Sicherheitsimplikationen mitbringt. Oder auch mit Entwicklern, die Ihnen immer ganz stolz ihre Arbeit der letzten sechs Monate präsentieren. Ab und zu müssen Sie denen und den Käufern der entsprechenden Software dann aber erklären, was es bedeutet, dass ihr Code öffentlich geleakt wurde. Es geht beim Beruf des CSOs darum, auf einer sehr persönlichen Ebene mit den Menschen zu kommunizieren. Nur so können sie erfahren, was das Thema IT-Security mit jedem von ihnen selbst zu tun hat.

CW: Ist es leichter geworden, Ihre Mitarbeiter für das Thema Security und seine Wichtigkeit zu sensibilisieren?

MARTIN: Die Mitarbeiter sind auf jeden Fall häufiger bereit, sich mit dem Thema Sicherheit auseinander zu setzen und dazuzulernen. Die Schwierigkeit ist der Weg dorthin. Viele möchten das Thema IT-Security in kurzer Zeit "erlernen". Effektiv sind Dinge wie Online-Trainingsvideos oder jährliche Auffrischungen im Rahmen irgendwelcher "Security Days" aber nicht. Bei EMC sind wir dazu übergegangen, mehr persönliche Briefings abzuhalten oder kurze Telefonate mit Einzelnen zu führen, wenn es aktuelle Sicherheitsvorfälle wie Malware-Infektionen gegeben hat. Das ist dann auch immer eine Art von Training, wenn wir uns während des Reinigungsvorgangs oder einer Neuinstallation darüber unterhalten, wie es soweit kommen konnte. Der große Vorteil an heutigen Datenanalyse-Werkzeugen ist, dass wir weltweit genau sehen, wo es welche Sicherheitsprobleme innerhalb der Belegschaft gibt und wem wir vielleicht ein persönliches Security-Training zukommen lassen müssen.

Es bringt auch schon etwas, sich als Security-Team im Intranet oder anderen intern genutzten Web-Diensten zu präsentieren und über aktuelle Entwicklungen zu informieren. Sowohl über aktuelle Sicherheitsrisiken und neue Applikationen und Technologien, aber auch über Neuigkeiten aus der Abteilung selbst. Es geht darum, neue Wege zu finden, die Mitarbeiter zu erreichen - so, dass sie sich für das Thema begeistern lassen.

CW: Sie waren vor Ihrer aktuellen Tätigkeit als CSO für den EMC-Gesamtkonzern ausschließlich für RSA tätig und hatten dort fast nur mit Security-Experten zu tun. Inwiefern ist Ihre Arbeit heute anders als früher?

MARTIN: Es gibt keinen großen Unterschied zwischen meiner Tätigkeit für RSA und dem, was ich heute für den EMC-Gesamtkonzern tue. Die Gespräche mit den Nicht-RSA-Kollegen sind fast die gleichen wie die mit den RSA-Kollegen. Natürlich räumen beispielsweise nicht alle EMC-Entwickler allein schon vom Kopf her dem Thema Security die oberste Priorität ein - wie es die RSA-Entwickler tun würden. Oder wenn es darum geht, Daten via Salesforce zu den Kunden zu bringen - Nicht-RSA-Mitarbeiter würden meist den schnellsten und effizientesten Weg dafür wählen, ohne sich Gedanken darüber zu machen, ob es auch der sicherste ist.

Wenn ich hingegen meine Aufgaben bei EMC mit denen zu meiner Zeit als Sicherheitsberater vor 2004 vergleiche, gibt es große Unterschiede. Damals war ich viel in regulierten vertikalen Märkten wie dem Finanzwesen oder der Gesundheitsbranche unterwegs - dort ist die Security-Awareness doch um ein Vielfaches höher als in der IT-Branche, das wirkt sich natürlich stark auf die tägliche Arbeit aus.

Nur kleinere Nachwuchssorgen

CW: Wie finden Sie Ihren Security-Nachwuchs?

MARTIN: Wir suchen sowohl IT-Experten als auch Ingenieure - Voraussetzung ist, dass sie zu uns passen, so denken wie wir. Wir suchen aber auch diejenigen, die nicht so denken wie wir, um einen anderen Blickwinkel auf bestimmte Dinge zu erhalten. Für unser CERT und die dortigen Analytics-Jobs sind wir auf der Suche nach Bewerbern, die noch ganz am Anfang ihrer Karriere stehen. Solchen, denen die Analyse von Daten Spaß macht und die auch ein wenig vom Business verstehen - bei uns werden sie dann sehr erfolgreich betreut und ausgebildet.

Darüber hinaus arbeiten wir mit Universitäten zusammen, was ebenfalls gut klappt. Hier geht es in erster Linie um den Bereich Risiko-Management, der bestimmte Fähigkeiten voraussetzt. Ein weiterer Weg ist die Kooperation mit RSA Professional Services, über die wir Mitarbeiter in unser Team hereinholen und wieder hinausrotieren. Wenn es beispielsweise jemanden gibt, der nicht so viel reisen möchte, hat der die Möglichkeit, bei uns eine Zeit lang ausschließlich inhouse tätig zu sein. Auch dort kann er sich aktiv in Kundenprojekte einbringen und neue Tools kennen lernen.

Was die allgemeine Nachwuchssituation angeht, ist es immer noch recht leicht, traditionelle Security Engineers zu bekommen. Richtig schwierig wird es im Bereich Risiko-Management, dort, wo es ins "harte" Business geht. Mitarbeiter zu finden, die sich Anzug und Krawatte anziehen und mit Unternehmensvorständen über Sicherheitsthemen diskutieren können, dabei aber auch um die technischen Hintergründe und Herausforderungen wissen.

CW: Welche Fähigkeiten brauchen Analytics-Experten heute?

MARTIN: Sie müssen die Risikokomponente verstehen, Analysefähigkeiten besitzen und sehr frei über den Umgang mit Daten nachdenken. Es geht um Fragen wie: Welche Art von Angreifern könnten das Unternehmen bedrohen? Auf welche Weise könnten sie angreifen? Das Wissen um die technische Architektur der eigenen Systeme und ihre Schwachstellen ist genauso wichtig wie das um mögliche Abwehrtechniken. Es kann sein, dass zwar die richtige Technologie zum Einsatz kommt, aber an der falschen Stelle. Es braucht sowohl Verständnis für das IT-Ökosystem als Ganzes als auch für die ihm zugrunde liegende System- und Daten-Infrastruktur. Noch ist es schwierig, beide Eigenschaften zu vereinen. Wir beschäftigen daher häufig Security-Experten, die wenig von Analytics verstehen und Analytics-Experten, die wenig von Security verstehen. Das wird sich aber annähern, je besser die Tools werden.