CW: Warum sind die Zeiten für viele IT-Security-Anbieter so gut?
ZISAPEL: Heutige Cyber-Angriffe sind so erfolgreich, dass immer mehr Hacker und Interessengruppen mitmischen wollen. Diese haben zum Teil sehr unterschiedliche Interessen und Motivationen. Es gibt zum einen finanziell motivierte Hacker, die Geld oder geldwerte Daten stehlen möchten. Ihre Zahl steigt, weil auch ihre Erfolgsaussichten größer werden. Schauen Sie sich nur den Angriff auf die US-Kaufhauskette Target Ende vergangenen Jahres an - 70 Millionen Kundendatensätze wurden kopiert, davon rund 40 Millionen Kreditkartendaten.
Zum anderen rücken Angriffe im Auftrag von Regierungen in den Fokus. Der berühmteste Fall ist der Hack bei Lockheed Martin, mit dem mutmaßlich die Chinesen Entwurfspläne für ein neues Flugzeug gestohlen haben. Diese Art von Kriegsführung ist auf einem diplomatischen Level noch möglich. Niemand hätte tatenlos zugesehen, wenn China Lockheed Martin physikalisch angegriffen hätte. Ein Cyberangriff ist in der realen Welt nicht sichtbar - es kommt "nur" zu einer Art Informationskrieg, der akzeptabel erscheint. Regierungen beteiligen sich als Angreifer wie als Verteidiger gleichermaßen. Die USA haben beispielsweise den Cyber-Bereich als fünftes Funktionalkommando der Streitkräfte nach der Army, Navy, Air Force und den Aufklärungsdiensten FBI, CIA, NSA eingerichtet. Allein das zeigt schon die Bedeutung des Themas.
Als dritte Partei haben wir die Aktivisten, die das Internet nutzen, um politische Botschaften loszuwerden und Aktionen zu starten. Bestes Beispiel ist die Anonymous-Bewegung mit ihren zahlreichen Cyber-Kampagnen.
Zu guter Letzt gibt es die Kids, die ein wenig destruktiv herumspielen möchten. Großer Unterschied zu früheren Zeiten, als sie mit Modem und langsamen Rechnern unterwegs waren, ist die heutige Breitband- und Cloud-Technik, mit der sie viel größeren Schaden anrichten können.
Alles in allem lässt sich sagen: Wir sehen verschiedene Motivationen, bessere Technologien, mehr und einfacher zu bedienende Angriffswerkzeuge und sogar komplette Services, die es sehr, sehr einfach machen, eine große Bank, eine Behörde, eine Regierung oder global agierende Wirtschaftsunternehmen anzugreifen. Die Zeiten, als die Abwehrenden wesentlich größere Ressourcen als die Angreifenden hatten, sind vorbei.
Hohes Tempo bringt Anwender in Nöte
CW: Nun haben aber nicht alle Security-Player die großen Umsatz- und Gewinnsteigerungen, wie Radware sie Jahr für Jahr schafft. Wie kommt das?
ZISAPEL:Ich kann nur für uns selbst sprechen. Wir bewegen uns in einem dynamischen Umfeld, dem Data Center. Hier kommen alle Investitionen der Unternehmen an - ob in Cloud, Virtualisierung oder Mobility, letzten Endes sind diese Trends allesamt auf das Rechenzentrum fokussiert. Zudem beschäftigen wir uns stark mit den Anwendungen, dem Lebenselixier eines Unternehmens.
Die Kombination aus Data Center, Anwendungen und IT-Sicherheit sorgt schließlich für das rasante Wachstum und die Menge an neuen Entwicklungen, denn das Tempo geben weder wir noch die Anwender noch die Hersteller vor, sondern einzig und allein die bereits erwähnten Angreifer. Sie bestimmen den Markt.
Weil das so ist, ergeben sich viele, immer neue Chancen für spezialisierte, kleinere Anbieter. Die großen "Tanker" können sich nicht so schnell bewegen, wie sie es müssten. Solange wir fokussiert und innovativ bleiben und unseren Kunden sehr individuell helfen können, werden wir daher auch weiter wachsen.
CW: Trotz gewachsener Awareness ist Security noch immer kein sexy Thema, für das Unternehmen gerne und schnell Geld ausgeben. Wie kommen Sie an die Budgets der Anwender?
ZISAPEL: Die Bereiche, in denen wir tätig sind, erlauben keine Verschiebung von Investitionen. Im Compliance-Bereich ist das beispielsweise anders. Ändern sich die Regeln, investieren Unternehmen hier häufig erst ein wenig verzögert, wenn die Geschäfte gerade nicht so gut laufen. Gleiches gilt für die Erneuerung und Aktualisierung bereits bestehender Systeme. Unternehmen können hier Budgetzuweisungen aufschieben. Wenn aber eine konkrete Attacke droht oder bereits von statten geht, duldet das keinen Aufschub, selbst wenn eigentlich kein Budget dafür vorgesehen ist. Im Zweifelsfall entscheidet der CEO persönlich, sofort Geld auszugeben.
Natürlich haben wir Kunden oder Interessenten, die uns mitteilen, dass sie kein Security-Budget haben. Das sind die, die sich sicher fühlen - aber nur solange, bis sie angegriffen werden oder einen früheren Angriff aufdecken. In solchen Situationen wird dann oft schnell Geld für Anwendungssicherheit und uns bereitgestellt, da wir uns ausschließlich mit der Absicherung von geschäftskritischen Daten und Systemen beschäftigen und die Anwender auf uns angewiesen sind.
Die Kunst der richtigen SLAs
CW: Sobald ein Anwender sich zum Kauf entschließt, müssen in der Regel Service Level Agreements (SLAs) abgeschlossen werden. Wie sehen diese im besten Fall aus?
ZISAPEL: Das wichtigste ist die Verfügbarkeit von Diensten und Daten. Egal, ob es sich um einen Sicherheitsvorfall oder einen Netzwerkausfall handelt - jede Downtime wirkt sich negativ aus. Daher sollten SLAs immer zuerst auf die Verfügbarkeitszeiten eingehen, danach auf die Antwortzeiten von Services. Dem Kunden ist es egal, wo die Gründe liegen - sind Dienste, Daten und Systeme nicht verfügbar oder zu langsam, ist das schlecht. Den deutschen Bahnfahrer interessiert es schließlich auch nicht, warum vier Tage keine Züge fahren - ihn ärgert nur die Tatsache, dass sie nicht fahren. Es mag sein, dass es ihn beim ersten oder zweiten Mal noch interessiert, was genau die Hintergründe sind, aber wenn er gesagt bekommt, dass ab sofort jede zweite Woche ein Bahnstreik ansteht, kann die Bahn direkt einpacken. Gleiches beim Thema SLAs: Das Unternehmen muss sicher sein können, dass der bestellte Service läuft.
Erst danach sollten die Agreements den Security-Bereich abdecken. Hier geht es meistens darum, festzulegen, wie lange ein Anbieter oder ein Security-Dienstleister brauchen darf, um eine Attacke zu entdecken und die entsprechenden Schwachstellen zu beheben. Wir beispielsweise reden hier von einer Zeitspanne von einer Minute, was die Entdeckung eines Angriffs angeht und von fünf bis zehn Minuten für seine Abwehr.
CW: Wie entwickelt sich der Markt für Managed Security Services denn allgemein im Moment?
ZISAPEL: Sehr positiv. Die IT-Budgets, besonders die für das Fachpersonal, schrumpfen. Gerade kleine und mittlere Unternehmen sind betroffen, weil hier immer mehr Wert auf Verschlankung der Prozesse gelegt wird. Security-Fachkräfte sind teuer und brauchen ein tiefes Verständnis der Materie - das können sich immer weniger Unternehmen leisten. Also lagern sie das Thema Security komplett aus oder ergänzen ihre eigenen Teams zumindest um externe Berater.
Besonders in den USA ist dieser Trend bei den Cloud- und Hosting-Providern sehr stark zu erkennen: Fast alle entwickeln mittlerweile zu ihrem Kerngeschäft des Infrastructure as a Service auch Security-Services hinzu. Die Kunden möchten die Daten und Systeme, die sie in die Cloud geben, natürlich adäquat abgesichert wissen.
Ein Vorteil für MSS-Anbieter ist sicherlich, dass sie mehr als ein Unternehmen kennen und dadurch noch umfassender wissen, wo die Security-Risiken einer bestimmten Branche liegen. Wenn eine Bank sich vollständig selbst um die eigene IT-Security kümmert, kann sie das bestimmt nicht so gut wie ein Managed-Security-Service-Anbieter, der noch neun andere Banken betreut.
Der Weg ins SDDC
CW: Kommen wir zu den aktuellen IT-Trends. In Ihrer Unternehmenspräsentation beschreiben Sie den Wandel vom klassischen Rechenzentrum über das Cloud Computing hin zum Software Defined Data Center (SDDC) als "nicht absolut". Was meinen Sie damit?
ZISAPEL: Das altbekannte Modell ist, dass jede Applikation für sich isoliert auf einem eigenen dedizierten Server, in einem eigenen Teil des Netzes betrieben wird. Um agiler, dynamischer und effizienter werden, haben wir dann angefangen, zu virtualisieren. Das brachte mehr Tempo, mehr Konsolidierung und kostete weniger Geld. Derzeit bewegt sich vieles hin zu Cloud-Infrastrukturen, in denen nur noch zeitweise und auf gezielte Bedürfnisse zugeschnittene Ressourcen aufgewendet werden. Der nächste Schritt ist das Software Defined Data Center, das diese Abläufe im Idealfall automatisiert.
Diese Entwicklung ist auf Anwenderseite aber nicht durchgängig und eindeutig. Nehmen wir eine große Bank mit 1000 Applikationen, die auf dedizierten Servern gehostet werden. Die Bank wird nun nicht alle 1000 Anwendungen in die Hybrid Cloud migrieren. Normalerweise sucht sie sich ein bis zwei aus, deren Geschäftsmodell am besten funktioniert, und zieht nur diese um. 200 verbleiben auf den bisherigen Servern und der große Rest wird in einem virtualisierten Data Center vorgehalten, das eigens dafür aufgebaut wurde.
Der Wandel der Technologie ist nicht absolut - jedes Unternehmen stellt sich seine IT-Infrastruktur so zusammen, wie es ihm am besten passt.
CW: Welche Security-Trends sehen Sie für das kommende Jahr 2015?
ZISAPEL: Die Zahl der Cyberattacken wird weiter zunehmen, auch ihre Professionalität wird steigen. Die Angriffsfläche verschiebt sich weiter auf die Anwendungsebene und etwas weg vom Netzwerk als Ganzem.
Eine große Herausforderung ist sicherlich auch die Authentifizierung von Menschen im Cyberspace, das heutige Identitäts- und Passwort-Management ist nur noch bedingt zeitgemäß. Ich sehe den Trend eher in Richtung verhaltensbedingte Identifizierung gehen, dass Systeme nicht mehr an korrekt eingegebenen Passphrasen oder Erinnerungsfragen erkennen, wer mit ihnen kommuniziert, sondern am Verhalten von Personen.
CW: Und wie sollen Anwender mit diesen Entwicklungen umgehen?
ZISAPEL: Sie müssen der Realität ins Auge schauen, weniger naiv sein. Nicht alle Cyberangriffe sehen so aus, wie sie in den Medien dargestellt werden - als massive, nur volumenbasierte DDoS-Attacken mit großen Datenmengen, die das ganze Geschäft lahmlegen. Heutige Attacken sind oftmals eine Mischung aus vielen unterschiedlichen Angriffsarten, und eine einzige Sicherheitslücke zu schließen, bedeutet nicht, dass der Angriff vorbei ist.
Darüber hinaus wissen viele Unternehmen gar nicht, wie verletzlich sie wirklich sind und wie viele Angriffspunkte sie für die verschiedenen Gruppen bieten. Es gibt mehr als finanziell motivierte Hacker und staatliche Spione.
Schließlich ist es wichtig zu verstehen, dass Security kein Einzelprodukt ist, sondern ein organisatorisch-strategisches Thema. Es betrifft die Absicherung der gesamten Infrastruktur, der Geschäftsprozesse, weit mehr als "nur" die Sicherheit der IT. Deshalb sollten Unternehmen über ein übergreifendes Sicherheitssystem auf Basis einer umfassenden Abwehrstrategie verfügen, das sie vor allen aktuellen Gefahren schützt. Punktuelle Lösungen und Produkte reichen nicht aus.