CW: Sie beschweren sich über sensationsheischende und oberflächliche Berichterstattung in den Medien zum Thema IT-Sicherheit. Welche Schlagzeile würden Sie denn gerne einmal lesen?
HEISER: Aus altruistischer Sicht "RSA besiegt Advanced Threats". Aus unternehmerischer Sicht wäre das aber weniger gut, weil es dann für uns nichts mehr zu verkaufen gäbe.
CW: Definieren Sie doch einmal die "bösen Buben", von denen alle immer reden. Es werden wohl kaum die Kapuzenpulliträger aus den dunklen Kellerlöchern sein, deren Fotos Sie in Ihren Präsentationen immer so schön darbieten.
Foto: Uli Ries
HEISER: Wir gruppieren sie in verschiedene Kategorien. Da sind zum einen staatliche Einrichtungen, die es vor allem auf geheime Verteidigungsstrategiepapiere oder Industriepatente abgesehen haben. Denen kommt es nicht auf das schnelle Geld an, das damit gemacht werden kann. Es stecken längerfristige Überlegungen dahinter. Weil hier Daten kopiert und nicht im eigentlichen Wortsinne "entwendet" werden, fallen solche Vorfälle selten auf. Zum anderen gibt es die Hacktivisten, die sich durch soziale, gesellschaftliche oder moralische Antriebe zu kriminellen Handlungen genötigt sehen. Als dritte Kategorie gibt es noch diejenigen, die sich direkt bereichern wollen und einen schnellen "Return on Investment" anstreben. Sie sind gut organisiert, manchmal staatlich subventioniert und arbeiten wie normale Unternehmen.
CW: Sind alle Gruppen gleich wichtig für Ihr Geschäft?
HEISER: Sobald staatliche Stellen und Behörden mit im Spiel sind, bewegen wir uns auf einem ganz anderen Bedrohungsniveau. Gerade hier sehen wir uns als RSA mit unseren "Security Analytics"-Produkten bestens aufgestellt, was die Themen Deep Packet Inspection, dauerhafte Überwachung des Datenverkehrs, Anti-Betrug und Risikobewertung angeht.
CW: Was wollen Ihre Kunden?
HEISER: Unsere Authentifizierungslösungen helfen den meisten sofort weiter.
CW: Und die anderen Produkte, die Sie aufzählen?
HEISER: Ich hatte mich beispielsweise vor eineinhalb Jahren mit dem CIO eines Unternehmens aus dem Gesundheitswesen getroffen. Er wollte, dass wir uns seine IT-Infrastruktur anschauen und ihm berichten, wo die Schwachstellen liegen. Also haben wir eine Risikobewertung vorgenommen und ihm bei der Entwicklung einer Prioritätenliste geholfen, die er innerhalb seiner Abteilung abarbeiten wollte. Damit gehört er natürlich schon zu den fortgeschrittenen Anwendern, die nicht nur reagieren, wenn gerade etwas passiert. Er hatte jedoch vergessen, dass viele der aufgedeckten Schwachstellen nicht nur kritisch für seine eigene Abteilung, sondern kritisch für das gesamte Business waren. Nicht, dass seine Strategie falsch war, sondern er hatte schlichtweg Entscheidendes außer Acht gelassen. Nachdem er Ende des vergangenen Jahres nach Abschluss unserer Beratung NetWitness-Services implementiert hatte, bekam ich im Februar eine Mitteilung von ihm, dass sein Netz von staatlicher Seite infiltriert worden war. Beim gemeinsamen Frühstück vor einigen Wochen dankte er mir dann dafür, dass er nur dank unserer Produkte davon umgehend Kenntnis erlangt hatte und Gegenmaßnahmen einleiten konnte. Das Gute daran war, dass er diesen Vorfall seinen Vorgesetzten vorlegen konnte, um diesen klarzumachen, dass das Investment richtig gewesen war. Die Geschichte zeigt, dass die Bereitschaft, sich aktiv um IT-Sicherheit zu kümmern, schon viel wert ist. Zudem ist es eine Auszeichnung für uns als Sicherheitsfirma, wenn ein Kunde dank unserer Produkte derartige Erfolge erzielen kann.
CW: Es ist nun 19 Monate her, dass Ihr Unternehmen selbst Opfer eines Cyberangriffs geworden ist. Was haben Sie aus diesem Vorfall gelernt?
HEISER: Eine Menge. Unser CISO hat RSA seitdem zu einem sehr viel sichereren Ort gemacht. Was aber noch viel wichtiger ist: Wir haben Kommunikation gelernt - Kommunikation mit unseren Kunden, Kommunikation mit der Presse. Heute kommunizieren wir anders mit unseren Kunden als früher - heute wissen die innerhalb von 24 Stunden, was los ist. Wir hatten verschiedene Teams und Projekte dazu, wir haben Summits veranstaltet, um nach innen und außen aufzuklären und transparent zu sein. Dieser Vorfall war auch für mich persönlich eine Lehre fürs Leben, was die Themen Kommunikation und Transparenz angeht.
CW: Inwiefern hat sich Ihre Unternehmensstrategie wegen des Vorfalls inhaltlich verändert?
HEISER: Unser "Intelligence driven Security"-Ansatz war nur mittelbar betroffen. Er entstand aus der Übernahme von NetWitness, die bereits einige Monate zuvor eingeläutet worden war. Als der Vorfall geschah, befanden wir uns inmitten der Akquisition und haben sie schließlich zwei Wochen später abgeschlossen. Ich habe häufig gehört und gelesen, dass wir NetWitness nur gekauft hätten, weil es diesen Sicherheitsvorfall gegeben habe - das ist nicht wahr. Eine Übernahme schließen Sie nicht innerhalb von ein paar Wochen ab. Die Pläne für eine neue Unternehmensstrategie entsprangen der Tatsache, dass unser "Critical Response Center" bei EMC schon drei Jahre Kunde bei NetWitness gewesen war. Wir kannten daher die Stärken dieses Unternehmens und ahnten, das es gut in unser Portfolio und unsere Strategie passen würde. Dass der Angriff dann während des Übernahmeprozesses vonstatten ging, hat uns aber noch einmal in unseren Plänen bestärkt: Die NetWitness-Produkte konnten ihre seine Stärken direkt beweisen. So passten verschiedene Faktoren auch zeitlich ganz gut zusammen.
CW: Sie waren beileibe nicht der einzige Anbieter, dem schon sensible Informationen abhanden kamen. Im Lichte der Erfahrungen, die Sie gemacht haben: Was empfehlen Sie Mitbewerbern, Kunden, Sicherheitsexperten und auch Politikern? Wie sollen sie der aktuellen Bedrohungslandschaft begegnen?
HEISER: Das Wichtigste ist für alle, zu verstehen wo die potenziellen Risiken für Ihr Business verborgen sind; sowohl aus internem Blickwinkel heraus als auch aus externem. Erst wenn Sie das geschafft haben, können Sie eine Security-Strategie entwickeln, die greift. Das Beispiel, was mir immer als erstes in den Sinn kommt, ist der Diebstahl von Intellectual Property. Die meisten Risiken sind aber branchen- und unternehmensabhängig.
"Als CISO würde ich vielleicht zuerst im AV-Bereich sparen"
CW: Es bleibt nach wie vor eine Investitionsfrage. Glaubt man den neuesten Zahlen einer Ponemon-Studie im Auftrag von HP, zahlt jedes US-Unternehmen mittlerweile rund 7 Millionen Euro jährlich, um die Folgen von IT-Sicherheitsvorfällen zu beseitigen. Deutsche Unternehmen kosten derartige Incidents immerhin noch rund 5 Millionen Euro, die britischen 2,5 Millionen. Reichen diese horrenden Schadenssummen etwa immer noch nicht, um eine Umverteilung zu erreichen?
Foto: Uli Ries
HEISER: Gemessen an den Risiken sind die Security-Budgets in der Tat viel zu gering. Ich habe im Laufe meines Berufslebens noch nicht eine Firma kennen gelernt, deren Security-Verantwortliche die Gelder bekommen haben, die sie gebraucht hätten, um alle ihre Anforderungen zu erfüllen. Wer hat schon die Muße, drei- bis viermal soviel für Security ausgeben zu können wie für die gesamte übrige IT? Auch wenn das immer noch wenig ist, wenn ich die möglichen Risiken für geschäftskritische Anwendungen bedenke. Also bleibt es eine Frage der Priorisierung der Gelder, die man bekommt. Bestimmte Dinge müssen dann einfach liegen bleiben - welche, ändert sich ständig. Reine Antivirus-Lösungen beispielsweise spüren heute nur noch durchschnittlich 20 bis 30 Prozent der potenziellen Gefahren innerhalb eines Netzes auf. Vielleicht würde ich als CISO dort derzeit als erstes sparen. Eines weiß ich aber mit Sicherheit: Kunden, die mir sagen "Ich bin sicher", bekommen von mir den Todeskuss verpasst. So eine Aussage ist absolut naiv. Natürlich müssen Menschen wie ich paranoid sein, um in der Security-Industrie arbeiten zu können, aber Kunden mit solchen Aussagen sind in meinen Augen garantiert diejenigen, die es bei der nächsten Angriffswelle am härtesten erwischen wird.
CW: Security-Investitionen werden derzeit in weltweit tätigen Konzernen auch stark in den Auf- oder Umbau von internen Expertenteams gesteckt. Inwiefern ist das der richtige Weg?
HEISER: Regierungsbehörden und militärische Einrichtungen haben damit begonnen, weil sie als erstes Opfer von komplexen IT-Angriffen geworden sind. Nun beginnt auch die Privatwirtschaft mit diesen Maßnahmen. Aktuell ist es besonders die Finanzindustrie, die verstärkt attackiert wird und entsprechende Gegenmaßnahmen ergreifen muss. Was machen diese Unternehmen also? Sie rekrutieren ihre Sicherheitsexperten bei staatlichen Stellen, weil dort das benötigte Know-How bereits vorliegt. Einziger Unterschied: Statt ein Land verteidigen diese nun eine Bank oder Versicherung.
CW: Dennoch werden die Fachkräfte, die wir haben, bei weitem nicht ausreichen, der Lage Herr zu werden. Einer von Ihnen zitierten Untersuchung von Frost & Sullivan zufolge würden den Unternehmen weltweit in drei Jahren rund zwei Millionen Security-Spezialisten fehlen. Wie lösen Sie dieses Problem?
HEISER: Das, was wir als RSA tun können, ist zum einen intelligentere Software zu entwickeln, damit ein Teil des menschlichen Verstands durch Technik ersetzt werden kann. Zum anderen müssen wir noch stärker mit Universitäten und Bildungseinrichtungen zusammenarbeiten, um für kompetenten Security-Nachwuchs zu sorgen. Bei RSA arbeiten viele Studenten, die ihr Wissen einbringen und wiederum von unserem profitieren.
CW: Zu einem umfassenden IT-Sicherheitswissen gehört auch das Know-how jedes einzelnen. Was tun Sie persönlich, um ihr digitales Leben sicher zu gestalten?
HEISER: Ich bin nicht bei Facebook angemeldet. Mein Linkedin-Profil habe ich wieder gelöscht. Ich gebe keinerlei persönliche Daten im Internet preis. Ich bin wie bereits angedeutet ein sehr paranoider Mensch. Ich würde niemals, niemals, niemals (sic!) mein Smartphone oder Tablet unverschlüsselt irgendwo herumliegen lassen. Ich ändere ständig alle meine Passwörter. Man könnte also meinen, ich bin gut erzogen. Selbstredend liegt der Grund dafür auch in meiner beruflichen Funktion - zum einen muss ich Vorbild sein, zum anderen bin ich als Vorstand eines der größten Security-Anbieter natürlich auch immer ein potenzielles Angriffsziel.
CW: Wie viele Passwörter verwenden Sie denn?
HEISER: Darf ich Ihnen nicht sagen. Sonst müsste ich Sie töten. Aber es sind eine ganze Menge.
CW: Wie können Sie sich die alle merken?
HEISER: Gar nicht. Ich verteile deshalb überall Post-it's... Nein, ich mache Spaß!