RSA Conference 2012

IT-Sicherheitsgrößen verlangen Umdenken

01.03.2012 von Uli Ries

Vertreter von RSA und Symantec trauen traditionellen Schutztechniken wie Firewalls und IPS/IDS keine große Zukunft mehr zu. Anwender müssten vielmehr akzeptieren, dass sie in jedem Fall infiziert werden und mit dieser Situation umgehen.

RSA-Chef Art Coviello übte auch Kritik an der eigenen Branche.
Foto: Uli Ries

Der Mix aus Konzepten wie Bring your own device (BYOD), immer schwieriger zu entdeckender Malware und stetig neuen Sicherheitslücken sei laut RSA-Boss Art Coviello dafür verantwortlich, dass Unternehmensnetzwerke früher oder später zwangsweise infiziert würden. Das konstatierte er im Rahmen seiner Keynote zur RSA Conference 2012 in San Francisco. Insofern keine neue Erkenntnis, als ähnliches beispielsweise von BKA-Präsident Jörg Ziercke am Rande eines Symposiums schon vor über zwei Jahren geäußert worden ist.. Interessant ist jedoch, dass ein hochrangiger Vertreter eines IT-Sicherheitslieferanten der gleichen Ansicht ist und gleichzeitig noch Kritik an seinesgleichen äußert: "Angreifer profitieren auch von der langsamen Reaktion der Industrie, das Potenzial der entstehenden Bedrohungslandschaft richtig zu erkennen."

Neue Generation, neue Ansprüche

Enrique Salem, Chef von Symantec, führte zudem die Generation Y als wichtigen Faktor für unvermeidbaren Wandel an. Diese mit dem Internet aufgewachsene Generation stelle am Arbeitsplatz ganz andere Anforderungen hinsichtlich der Hardware und der zugänglichen Web-Dienste als die Vorgängergeneration. Salem sprach von einem "Vorschlaghammer", mit dem diese Generation für Veränderungen im IT-Umfeld sorgen würde. Unternehmen würden durch die Öffnung hin zu privaten Endgeräten und Kommunikationsplattformen im Web nach und nach unsicherer. Den Zugriff auf Dienste wie Facebook und Twitter rigoros zu sperren, sei laut Salem jedenfalls keine Lösung für mehr Sicherheit im Unternehmen. Es würde die Mitarbeiter zum einen frustrieren, zum anderen aber auch ihre Kreativität und die Effizienz ihrer Arbeit mindern. Vertreter der Generation Y wendeten sich schließlich regelmäßig auch an private Freunde, um beruflich relevante Informationen einzuholen.

Gerald Hahn, Softshell
"Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches."

Thorsten Krüger, SafeNet
"Trennen Sie Ihre Daten nach Wichtigkeit und Zuständigkeit."

Alfred Zapp, CSC
"Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen."

Candid Wüest, Symantec
"Unternehmen berücksichtigen die mobilen Geräte noch nicht in ihrer Sicherheitsstrategie. Sie machen heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren."

Willi Backhaus, Avenade
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden."

Sven Gerlach, Integralis
"Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben."

Markus Henning, Sophos
"Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind."

Bruce Schneier, Sicherheitsexperte
"Daten zu speichern ist billiger, als sie zu löschen. Das birgt Risiken."

Symantec bringt O3

Neben RSA und Symantec stellten auch andere Security-Unternehmen auf der RSA Conference in San Francisco aus.
Foto: Uli Ries

Coviello ist ob der neuen Herausforderungen der Ansicht, dass "Lösungen zum Verteidigen der Perimeter und solche, die auf Signaturen basieren, ihr Verfallsdatum überschritten haben." So harsch will man dies bei Symantec nicht sehen, setzt aber genau wie RSA auf die Cloud, um die Probleme in den Griff zu bekommen. Während Symantec mit O3 eine neue Lösung bietet, kombiniert RSA die vorhandenen Produkte Cloud Trust Authority und Adaptive Authentication mit dem Cloud Security Service von Zscaler. Gemeinsam ist den Diensten, dass sie User-Identitäten auch außerhalb des eigenen Netzwerkes kontrollieren sowie regeln und letztendlich für Single-Sign-On sorgen. In beiden Fällen ist kein Agent auf dem jeweiligen Endgerät notwendig. Das heißt, dass sich die Anwender an einem Cloud-Dienst anmelden und dieser je nach Umgebung (Endgerät, Ort, Anmeldedaten, Zustand des Endgeräts) entscheidet, welche Aktionen der Anwender beim jeweiligen Intra- oder Internetdienst ausführen darf. Symantec integriert O3 beispielsweise in salesforce.com, sodass Nutzer nicht erneut angelegt werden müssen. Wird ein Nutzerkonto im Active Directory des Arbeitgebers entfernt, ist auch kein Zugriff auf das Online-CRM-System mehr möglich.

Automatische Dateninspektion

Symantec will im Laufe des Jahres noch zwei weitere Komponenten zu O3 hinzufügen: Data Loss Prevention und automatisches Verschlüsseln von sensiblen Daten. Um diese beiden Funktionen umzusetzen, muss der O3-Kunde quasi seinen kompletten Netzwerktraffic durch die Cloud-Systeme von Symantec schleusen. "Im Prinzip arbeitet O3 wie unser E-Mail-Sicherheitsservice von MessageLabs, nur eben mit sämtlichen anderen Daten", erklärt Francis deSouza, verantwortlich für die Enterprise-Produkte und -Services von Symantec. Man sei sich bewusst, dass ein solcher Dienst - der letztendlich zumindest sämtliche Logindaten mehrerer Unternehmen durchschleust - ein interessantes Ziel für Cyber-Kriminelle sei, sagte deSouza im Gespräch mit der COMPUTERWOCHE. Gleichzeitig geben sich sowohl RSA als auch Symantec aber zuversichtlich, dass ihre Systeme entsprechend gut geschützt sind.

Datenberge drohen

Scott Charney warnte vor einer allzu großen Big-Data-Euphorie.
Foto: Uli Ries

Microsofts Sicherheitsboss Scott Charney warnt hingegen vor der Euphorie, die rund um die seit längerem überall in riesigen Mengen angesammelten Daten entsteht. Big Data verspricht laut Charney in vielen Bereichen enormes Potenzial, angefangen bei besserer Gesundheitsversorgung bis hin zu nach reichlicher Analyse verbesserten Geschäftsprozessen. Auch im IT-Sicherheitsumfeld spielt Big Data eine große Rolle, wie nicht zuletzt Art Coviello ausführte. Er verwies einmal mehr darauf, dass der im vergangenen Jahr stattgefundene Einbruch ins RSA-Netzwerk letztendlich nur aufgrund der Analyse von mitgeschnittenem Netzwerkverkehr aufgedeckt wurde. Simple Log-Dateien hätten nicht auf die Spur geführt. Charney sieht angesichts von Big Data ein großes Datenschutzproblem auf Unternehmen und Behörden zukommen. Coviello hingegen sagte in kleiner Runde vor einer Reihe Vertreter von deutschen Behörden und Unternehmen, dass Kriminelle unmöglich nur deswegen davon kommen dürfen, weil der Datenschutz genaue Analysen des Datenverkehrs im Unternehmensnetzwerk verbietet. (sh)