Radware-CEO Roy Zisapel

"Die Angreifer bestimmen den Markt"

05.12.2014 von Simon Hülsbömer
Der israelische Data-Center-Security-Spezialist Radware wächst rasant und vermehrt seine Gewinne seit Jahren - wie so viele Player in der IT-Sicherheits-Branche. Wir haben mit CEO Roy Zisapel übers Geschäft gesprochen.

CW: Warum sind die Zeiten für viele IT-Security-Anbieter so gut?

ZISAPEL: Heutige Cyber-Angriffe sind so erfolgreich, dass immer mehr Hacker und Interessengruppen mitmischen wollen. Diese haben zum Teil sehr unterschiedliche Interessen und Motivationen. Es gibt zum einen finanziell motivierte Hacker, die Geld oder geldwerte Daten stehlen möchten. Ihre Zahl steigt, weil auch ihre Erfolgsaussichten größer werden. Schauen Sie sich nur den Angriff auf die US-Kaufhauskette Target Ende vergangenen Jahres an - 70 Millionen Kundendatensätze wurden kopiert, davon rund 40 Millionen Kreditkartendaten.

Roy Zisapel führt Radware als CEO, President und President seit Gründung des Unternehmens im April 1997. Zuvor ist er in Forschungs- und Entwicklungsprojekten bei RND Networks vornehmlich im Bereich Load Balancing tätig gewesen.
Foto: Radware

Zum anderen rücken Angriffe im Auftrag von Regierungen in den Fokus. Der berühmteste Fall ist der Hack bei Lockheed Martin, mit dem mutmaßlich die Chinesen Entwurfspläne für ein neues Flugzeug gestohlen haben. Diese Art von Kriegsführung ist auf einem diplomatischen Level noch möglich. Niemand hätte tatenlos zugesehen, wenn China Lockheed Martin physikalisch angegriffen hätte. Ein Cyberangriff ist in der realen Welt nicht sichtbar - es kommt "nur" zu einer Art Informationskrieg, der akzeptabel erscheint. Regierungen beteiligen sich als Angreifer wie als Verteidiger gleichermaßen. Die USA haben beispielsweise den Cyber-Bereich als fünftes Funktionalkommando der Streitkräfte nach der Army, Navy, Air Force und den Aufklärungsdiensten FBI, CIA, NSA eingerichtet. Allein das zeigt schon die Bedeutung des Themas.

Als dritte Partei haben wir die Aktivisten, die das Internet nutzen, um politische Botschaften loszuwerden und Aktionen zu starten. Bestes Beispiel ist die Anonymous-Bewegung mit ihren zahlreichen Cyber-Kampagnen.

Zu guter Letzt gibt es die Kids, die ein wenig destruktiv herumspielen möchten. Großer Unterschied zu früheren Zeiten, als sie mit Modem und langsamen Rechnern unterwegs waren, ist die heutige Breitband- und Cloud-Technik, mit der sie viel größeren Schaden anrichten können.

Alles in allem lässt sich sagen: Wir sehen verschiedene Motivationen, bessere Technologien, mehr und einfacher zu bedienende Angriffswerkzeuge und sogar komplette Services, die es sehr, sehr einfach machen, eine große Bank, eine Behörde, eine Regierung oder global agierende Wirtschaftsunternehmen anzugreifen. Die Zeiten, als die Abwehrenden wesentlich größere Ressourcen als die Angreifenden hatten, sind vorbei.

Hohes Tempo bringt Anwender in Nöte

CW: Nun haben aber nicht alle Security-Player die großen Umsatz- und Gewinnsteigerungen, wie Radware sie Jahr für Jahr schafft. Wie kommt das?

ZISAPEL:Ich kann nur für uns selbst sprechen. Wir bewegen uns in einem dynamischen Umfeld, dem Data Center. Hier kommen alle Investitionen der Unternehmen an - ob in Cloud, Virtualisierung oder Mobility, letzten Endes sind diese Trends allesamt auf das Rechenzentrum fokussiert. Zudem beschäftigen wir uns stark mit den Anwendungen, dem Lebenselixier eines Unternehmens.

Die Kombination aus Data Center, Anwendungen und IT-Sicherheit sorgt schließlich für das rasante Wachstum und die Menge an neuen Entwicklungen, denn das Tempo geben weder wir noch die Anwender noch die Hersteller vor, sondern einzig und allein die bereits erwähnten Angreifer. Sie bestimmen den Markt.

Weil das so ist, ergeben sich viele, immer neue Chancen für spezialisierte, kleinere Anbieter. Die großen "Tanker" können sich nicht so schnell bewegen, wie sie es müssten. Solange wir fokussiert und innovativ bleiben und unseren Kunden sehr individuell helfen können, werden wir daher auch weiter wachsen.

So erkennen Sie Hacker auf Servern
Hacker I
Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker II
Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker III
Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker IV
Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker V
SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker VI
Hacker VII
Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker VIII
Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker IX
Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker X
Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.

CW: Trotz gewachsener Awareness ist Security noch immer kein sexy Thema, für das Unternehmen gerne und schnell Geld ausgeben. Wie kommen Sie an die Budgets der Anwender?

ZISAPEL: Die Bereiche, in denen wir tätig sind, erlauben keine Verschiebung von Investitionen. Im Compliance-Bereich ist das beispielsweise anders. Ändern sich die Regeln, investieren Unternehmen hier häufig erst ein wenig verzögert, wenn die Geschäfte gerade nicht so gut laufen. Gleiches gilt für die Erneuerung und Aktualisierung bereits bestehender Systeme. Unternehmen können hier Budgetzuweisungen aufschieben. Wenn aber eine konkrete Attacke droht oder bereits von statten geht, duldet das keinen Aufschub, selbst wenn eigentlich kein Budget dafür vorgesehen ist. Im Zweifelsfall entscheidet der CEO persönlich, sofort Geld auszugeben.

Natürlich haben wir Kunden oder Interessenten, die uns mitteilen, dass sie kein Security-Budget haben. Das sind die, die sich sicher fühlen - aber nur solange, bis sie angegriffen werden oder einen früheren Angriff aufdecken. In solchen Situationen wird dann oft schnell Geld für Anwendungssicherheit und uns bereitgestellt, da wir uns ausschließlich mit der Absicherung von geschäftskritischen Daten und Systemen beschäftigen und die Anwender auf uns angewiesen sind.

Die Kunst der richtigen SLAs

CW: Sobald ein Anwender sich zum Kauf entschließt, müssen in der Regel Service Level Agreements (SLAs) abgeschlossen werden. Wie sehen diese im besten Fall aus?

ZISAPEL: Das wichtigste ist die Verfügbarkeit von Diensten und Daten. Egal, ob es sich um einen Sicherheitsvorfall oder einen Netzwerkausfall handelt - jede Downtime wirkt sich negativ aus. Daher sollten SLAs immer zuerst auf die Verfügbarkeitszeiten eingehen, danach auf die Antwortzeiten von Services. Dem Kunden ist es egal, wo die Gründe liegen - sind Dienste, Daten und Systeme nicht verfügbar oder zu langsam, ist das schlecht. Den deutschen Bahnfahrer interessiert es schließlich auch nicht, warum vier Tage keine Züge fahren - ihn ärgert nur die Tatsache, dass sie nicht fahren. Es mag sein, dass es ihn beim ersten oder zweiten Mal noch interessiert, was genau die Hintergründe sind, aber wenn er gesagt bekommt, dass ab sofort jede zweite Woche ein Bahnstreik ansteht, kann die Bahn direkt einpacken. Gleiches beim Thema SLAs: Das Unternehmen muss sicher sein können, dass der bestellte Service läuft.

Checkliste Cloud-SLAs
Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:
Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.
Punkt 2:
Version in der Landessprache des Kunden.
Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.
Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").
Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).
Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).
Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).
Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).
Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).
Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).
Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).
Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.
Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.
Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Erst danach sollten die Agreements den Security-Bereich abdecken. Hier geht es meistens darum, festzulegen, wie lange ein Anbieter oder ein Security-Dienstleister brauchen darf, um eine Attacke zu entdecken und die entsprechenden Schwachstellen zu beheben. Wir beispielsweise reden hier von einer Zeitspanne von einer Minute, was die Entdeckung eines Angriffs angeht und von fünf bis zehn Minuten für seine Abwehr.

CW: Wie entwickelt sich der Markt für Managed Security Services denn allgemein im Moment?

ZISAPEL: Sehr positiv. Die IT-Budgets, besonders die für das Fachpersonal, schrumpfen. Gerade kleine und mittlere Unternehmen sind betroffen, weil hier immer mehr Wert auf Verschlankung der Prozesse gelegt wird. Security-Fachkräfte sind teuer und brauchen ein tiefes Verständnis der Materie - das können sich immer weniger Unternehmen leisten. Also lagern sie das Thema Security komplett aus oder ergänzen ihre eigenen Teams zumindest um externe Berater.

Besonders in den USA ist dieser Trend bei den Cloud- und Hosting-Providern sehr stark zu erkennen: Fast alle entwickeln mittlerweile zu ihrem Kerngeschäft des Infrastructure as a Service auch Security-Services hinzu. Die Kunden möchten die Daten und Systeme, die sie in die Cloud geben, natürlich adäquat abgesichert wissen.

Ein Vorteil für MSS-Anbieter ist sicherlich, dass sie mehr als ein Unternehmen kennen und dadurch noch umfassender wissen, wo die Security-Risiken einer bestimmten Branche liegen. Wenn eine Bank sich vollständig selbst um die eigene IT-Security kümmert, kann sie das bestimmt nicht so gut wie ein Managed-Security-Service-Anbieter, der noch neun andere Banken betreut.

Der Weg ins SDDC

CW: Kommen wir zu den aktuellen IT-Trends. In Ihrer Unternehmenspräsentation beschreiben Sie den Wandel vom klassischen Rechenzentrum über das Cloud Computing hin zum Software Defined Data Center (SDDC) als "nicht absolut". Was meinen Sie damit?

ZISAPEL: Das altbekannte Modell ist, dass jede Applikation für sich isoliert auf einem eigenen dedizierten Server, in einem eigenen Teil des Netzes betrieben wird. Um agiler, dynamischer und effizienter werden, haben wir dann angefangen, zu virtualisieren. Das brachte mehr Tempo, mehr Konsolidierung und kostete weniger Geld. Derzeit bewegt sich vieles hin zu Cloud-Infrastrukturen, in denen nur noch zeitweise und auf gezielte Bedürfnisse zugeschnittene Ressourcen aufgewendet werden. Der nächste Schritt ist das Software Defined Data Center, das diese Abläufe im Idealfall automatisiert.

Was bewirkt das Software Defined Datacenter?
Hans Schramm, Field Product Manager Enterprise, Dell
"Es ist sicherlich unumstritten, dass Software heute eine tragende Rolle bei allen Storage-Themen spielt, das wird sich zukünftig weiter verstärken."
Dr. Stefan Radtke, CTO Isilon Storage Division, EMC Deutschland
"Die Storage-Hardware besteht bei EMC schon heute fast ausschließlich aus Commodity Komponenten. Selbst die High-End Speichersysteme wie EMC VMAX oder Scale-Out-NAS Islilon Systeme bestehen mit wenigen Ausnahmen vollständig aus Commodity Komponenten."
Robert Guzek, Senior Alliance Manager CE FTS CE ISS Market Operations, Fujitsu Technology Solutions
"Nur wenn die Hardware selbst über eine gewisse Intelligenz verfügt, ist sie in der Lage, unmittelbar zu reagieren und die erwünschten kurzen Antwortzeiten zu liefern. Die Hardware muss in Zukunft deshalb eher an Intelligenz gewinnen, sie muss sich selbst besser verwalten und sich flexibler an die Geschäftsprozesse und betrieblichen Anforderungen anpassen können."
Thomas Meier, Chief Technologist Storage, Hewlett-Packard
"Das Software Defined Data Center ist bei HP bereits Realität: Die Cloud-Management-Lösung Cloud Service Automation, das offene Cloud-Betriebssystem Cloud OS sowie Lösungen für Software Defined Networking und Software Defined Storage sind bereits Bestandteil von HPs Portfolio für das Rechenzentrum der Zukunft.“
Dr. Georgios Rimikis, Senior Manager Solutions Strategy, Hitachi Data Systems
"Hardware wird im professionellen Umfeld auf absehbare Zeit mehr sein als bloße Commodity. Das gilt für 2014 und auch noch darüber hinaus."
Michael Achtelik, Storage Business Leader DACH, IBM Deutschland
"Bei der Umsetzung der Konzepte rund um den Begriff Software Defined Data Center engagiert sich IBM sehr stark. IBM verfolgt hier einen eher noch umfassenderen Ansatz als SDDC und hat hierzu den Begriff Software Defined Environments (SDE) geprägt.“
Johannes Wagmüller, Director Systems Engineering, NetApp
"Commodity-Hardware mag für Betreiber wie Amazon AWS und Google eine Option darstellen, da sie mit eigenen Entwicklungsabteilungen für Integration und Qualitätssicherung sorgen. Im Enterprise- und KMU-Markt, wo diese mächtigen Entwicklungs-Ressourcen nicht zur Verfügung stehen, wird weiterhin auf die Betriebssicherheit von Enterprise Speichersystemen Wert gelegt werden."
Vincenzo Matteo, Disk Product Management Director, Oracle
"Wir halten Software Defined Storage aufgrund der verdeckten Kosten für kein wirklich vorteilhaftes Konzept. Weil alle Integrations-, Prüfungs- und Wartungsaufgaben für das System vollständig auf den Anwender übergehen, erhöht sich der Aufwand in diesen Bereichen signifikant, die Ausgaben steigen deshalb gleichermaßen."

Diese Entwicklung ist auf Anwenderseite aber nicht durchgängig und eindeutig. Nehmen wir eine große Bank mit 1000 Applikationen, die auf dedizierten Servern gehostet werden. Die Bank wird nun nicht alle 1000 Anwendungen in die Hybrid Cloud migrieren. Normalerweise sucht sie sich ein bis zwei aus, deren Geschäftsmodell am besten funktioniert, und zieht nur diese um. 200 verbleiben auf den bisherigen Servern und der große Rest wird in einem virtualisierten Data Center vorgehalten, das eigens dafür aufgebaut wurde.

Der Wandel der Technologie ist nicht absolut - jedes Unternehmen stellt sich seine IT-Infrastruktur so zusammen, wie es ihm am besten passt.

CW: Welche Security-Trends sehen Sie für das kommende Jahr 2015?

ZISAPEL: Die Zahl der Cyberattacken wird weiter zunehmen, auch ihre Professionalität wird steigen. Die Angriffsfläche verschiebt sich weiter auf die Anwendungsebene und etwas weg vom Netzwerk als Ganzem.

Eine große Herausforderung ist sicherlich auch die Authentifizierung von Menschen im Cyberspace, das heutige Identitäts- und Passwort-Management ist nur noch bedingt zeitgemäß. Ich sehe den Trend eher in Richtung verhaltensbedingte Identifizierung gehen, dass Systeme nicht mehr an korrekt eingegebenen Passphrasen oder Erinnerungsfragen erkennen, wer mit ihnen kommuniziert, sondern am Verhalten von Personen.

CW: Und wie sollen Anwender mit diesen Entwicklungen umgehen?

ZISAPEL: Sie müssen der Realität ins Auge schauen, weniger naiv sein. Nicht alle Cyberangriffe sehen so aus, wie sie in den Medien dargestellt werden - als massive, nur volumenbasierte DDoS-Attacken mit großen Datenmengen, die das ganze Geschäft lahmlegen. Heutige Attacken sind oftmals eine Mischung aus vielen unterschiedlichen Angriffsarten, und eine einzige Sicherheitslücke zu schließen, bedeutet nicht, dass der Angriff vorbei ist.

Darüber hinaus wissen viele Unternehmen gar nicht, wie verletzlich sie wirklich sind und wie viele Angriffspunkte sie für die verschiedenen Gruppen bieten. Es gibt mehr als finanziell motivierte Hacker und staatliche Spione.

Schließlich ist es wichtig zu verstehen, dass Security kein Einzelprodukt ist, sondern ein organisatorisch-strategisches Thema. Es betrifft die Absicherung der gesamten Infrastruktur, der Geschäftsprozesse, weit mehr als "nur" die Sicherheit der IT. Deshalb sollten Unternehmen über ein übergreifendes Sicherheitssystem auf Basis einer umfassenden Abwehrstrategie verfügen, das sie vor allen aktuellen Gefahren schützt. Punktuelle Lösungen und Produkte reichen nicht aus.