"Die Leute kaufen kein Mittelmaß, nur weil es aus Europa kommt"

CW: Inwiefern verändert sich dieser Tage die IT-Sicherheitslandschaft, vor dem Hintergrund der Geheimdienstaktivitäten und der Professionalisierung des Untergrunds?

FREDRIKSON: Vor einigen Jahren noch hätten wir uns alle wie in einem James-Bond-Film gefühlt. Niemand hätte ernsthaft geglaubt, dass wir derart ausgeklügelte Spionage-Aktionen erleben wie sie heute Realität sind. Heute wird alles von jedem durchleuchtet. Besonders die enorme Geschwindigkeit, mit der Regierungen ihre defensive Abwehrhaltung zur Verhinderung von Cyberangriffen in eine offensive Angriffshaltung zur totalen Überwachung umgewandelt haben, ist bemerkenswert. Gleiches gilt für Professionalisierung der Cyberkriminellen, die heute eine Menge Geld verdienen. Allgemein gesprochen hat sich der Nutzer von einer Person zu einem Produkt gewandelt. Und Produkte werden verkauft. Indem wir unsere Daten abgeben, geben wir unsere Rechte auf. Was wir tun, was wir anklicken, wo wir uns aufhalten, wo sich unsere Mitmenschen aufhalten - alles steht heute zum Verkauf.

CW: Wie können europäische Security-Anbieter wie F-Secure profitieren? Gerade auch, was die Ausspähaktionen amerikanischer Geheimdienste angeht?

FREDRIKSON: Am wichtigsten ist, dass unsere Produkte großartig sein müssen. Sie müssen sich mit Lösungen aus der ganzen Welt messen. Die Leute kaufen kein Mittelmaß, nur weil es aus Europa kommt. Wichtig ist uns auch, klar zu kommunizieren, dass unsere Produkte keine Hintertüren für Geheimdienste besitzen. Zudem starten wir bald eine Personal Cloud für Privat- und später auch für Unternehmensanwender namens "Younited", die auf finnischen Servern gehostet wird. Anwender können damit auch bereits bestehende Inhalte bei US-Diensten wie Facebook oder Gmail in unsere Cloud umziehen. Ich nenne es das "Cloud of Clouds"-Modell - Sie können Ihre schon vorhandenen Inhalte wie Bilder oder Videos aus anderen Cloud-Lösungen unter ein neues, europäisches Dach bringen. Millionen nutzen das Produkt bereits, ohne es zu wissen: Wir haben es Anfang des Jahres als White-Label-Lösung für mehrere TK-Unternehmen gestartet - AT&T Locker, BT Cloud, Le Cloud d'Orange basieren allesamt darauf. Wir haben dies als Testphase hergenommen und veröffentlichen die Lösung nun unter unserem eigenen Namen - zunächst nur für Privatanwender, Anfang des kommenden Jahres dann auch für kleine und mittlere Unternehmen.

CW: Wandelt sich F-Secure damit vom Virenspezialisten zum Cloud-Provider?

FREDRIKSON: Ja. Als Endpoint-Produkte haben unsere Lösungen bisher das Gerät, hauptsächlich den PC, geschützt. Nun verlagern wir den Schwerpunkt - die Geräteexplosion macht das notwendig - mehr und mehr in Richtung Cloud-Sicherheit und Schutz der Identität, der Person. Wir schützen den Datenverkehr und die Daten, die in der Cloud liegen. Wir sehen das nicht als Backup-Service - da gibt es andere Player, die sich darauf spezialisiert haben. Wir wollen etwas Nutzerfreundliches, das direkt aus der Cloud heraus angewendet werden kann. Als Security-Firma ist das ein großer Sprung, sich auf einmal mit Online-Benutzeroberflächen auseinander setzen zu müssen. Aber unser große Vorteil ist, dass wir uns mit den Sicherheitsfragen schon auskennen. Andere Cloud-Provider können hier gar nicht soviel wissen wie wir, die seit 25 Jahren jeden Tag die Bedrohungslandschaft beobachten.

CW: Ist es in Finnland einfach, Security-Experten zu finden? Oder bilden sie alle selbst aus?

FREDRIKSON: Es gibt viele Kurse zum Thema Informationssicherheit an unseren Universitäten, die von unseren Lab-Experten geleitet werden, um schon hier einen direkten Draht aufzubauen. Denn der Kampf um die Talente ist groß. Besonders die Gaming-Industrie boomt - es gibt heute 150 bis 200 finnische Unternehmen in dieser Branche, die wie verrückt IT-Experten, auch im Bereich Sicherheit, rekrutieren. Dazu kommen neben uns noch knapp 30 IT-Security-Unternehmen, die Leute suchen.

CW: Noch einmal zurück zur Technik hinter "Younited" - wie genau sichern Sie Ihre Cloud ab?

FREDRIKSON: Wir bringen natürlich mehrere Sicherheitsebenen ein. Es geht dabei nicht nur um sichere Software, Datensicherheit und Verschlüsselung. Es geht auch um die Entwicklungsprozesse, in deren Rahmen bei uns neue Software entsteht, um die Tools zum automatischen Testen. Es geht auch um die Mitarbeiter und deren Ausbildung - sie alle haben in erster Linie den Sicherheitsaspekt im Kopf. Ein Beispiel: Wenn Sie ein Foto in unsere Cloud hochladen wollen, verschlüsseln wir bereits den Transport in der gleichen Art und Weise, wie es Banken tun. Die Datei wird dann zunächst in eine Sandbox gestellt und innerhalb dieser mit unseren Scanning-Engines nach Schadcode durchsucht und gegebenenfalls gesäubert. Anschließend wird die Datei verschlüsselt und mehrfach an verschiedenen Stellen abgespeichert - die Metainformationen, die Rückschlüsse auf Ihre Identität zulassen könnten, werden übrigens abgetrennt und noch einmal an anderer Stelle vorgehalten.

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:

Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da

Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.

Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.

Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.

Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.

Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.

Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.

Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

CW: Ein oft gehörtes Argument der Cloud-Provider ist, dass Daten bei ihnen sicherer seien als bei den Anwendern selbst. Stimmen Sie ebenfalls zu?

FREDRIKSON: Zweifellos sind die Daten in unserer Cloud sicherer. Wir haben 24/7-Experten, die nichts anderes tun, als sich darum zu kümmern. Kein Privatnutzer, kein KMU wird ein annäherndes Sicherheitsniveau erreichen.

CW: Natürlich gibt es eine Menge Cloud-Provider, auch aus Europa und Deutschland, die ähnliches von sich geben. Wie sehen Sie die Chancen von "Younited" am Markt?

FREDRIKSON: Ich wüsste niemanden, der heute bereits eine ähnlich sichere europäische Cloud anbietet - zumindest nicht im Privatanwender- und KMU-Umfeld. Ich bin aber sicher, dass sich das bald ändert. Aber da haben wir einen Vorteil: Wir haben bereits Millionen von Nutzern, Petabytes an Cloud-Daten, die wir verwalten - auch wenn viele Nutzer es vielleicht nicht wissen. Etwas anderes sind natürlich die Enterprise-Clouds, die ich aber nicht mit unserem Angebot vergleichen möchte, weil dort auf einzelne Unternehmen zugeschnittene Cloud-Infrastrukturen errichtet werden. Das ist aber nicht unsere Zielgruppe.

CW: Sagen Sie abschließend bitte noch etwas zum Preismodell für Unternehmenskunden.

FREDRIKSON: Wir müssen natürlich wettbewerbsfähig sein. Zudem wollen wir kleine Unternehmen in eine europäische Cloud locken, deshalb müssen die Preise attraktiv sein. Da wir mit der Enterprise-Variante aber erst Ende des Jahres starten, kann ich aber noch keine konkreten Zahlen nennen. Was die Consumer-Version angeht, die jetzt Ende Oktober startet, werden wir nach verbrauchtem Speicherplatz, Zahl der verbundenen Geräte und Umfang der genutzten Funktionen abrechnen.