CW: Die Unsicherheit in der digitalen Welt scheint ständig zuzunehmen. Oder schwillt nur der Lärm der Warnungen an, die von Security-Providern verbreitet werden?

Solari: Die Sicherheitsanbieter sind nicht der Kern des Problems. Für mich gibt es drei grundsätzliche Ursachen für die zunehmend kritische Security-Lage: Da ist zunächst die wachsende Vereinheitlichung der Netze auf das Internetprotokoll. Das führt zu einer schnelleren Verbreitung von Schadsoftware (Malware) und erleichtert Angreifern ihren Job, weil sie sich nur noch auf ein Protokoll konzentrieren können. Zum Zweiten schreitet die Digitalisierung weiter rasant voran. Unternehmen unterstützen heute praktisch alle Geschäftsprozesse mit IT. Außerdem sind heute viel mehr Menschen online als zum Beispiel vor zehn Jahren. Das macht das Potenzial für Cyber-Kriminelle viel größer und attraktiver. Drittens ist IT-Security weder inhärenter Bestandteil der Produktentwicklung bei Herstellern oder der Prozesse in Anwenderunternehmen, noch ist sie fest im Bewusstsein von Mitarbeitern und Endkunden verankert. Das führt dazu, dass fast alle nur an die Möglichkeiten einer neuen Software, eines neuen Produkts oder eines überarbeiteten Prozesses denken. Kaum jemand aber sucht von Anfang an nach Sicherheitslücken, die Produkt- beziehungsweise Prozessveränderungen mit sich bringen. Sicherheit steht leider meistens ganz unten auf der To-Do-Liste. Sie bringt keine Produktivfortschritte; im Gegenteil, sie macht die Produkte und Services teurer für den Kunden und verlängert mitunter die Zeit, in der ein Produkt auf den Markt gebracht werden kann. Vor allem das müssen wir ändern. Wir müssen Sicherheit von Anfang an mitdenken.

Pistone: Es gibt noch weitere Gründe, warum Cyber-Delikte sich weiter ausbreiten: Sie sind global und sie lohnen sich. Die italienische Mafia in den USA ist etwa selbst nicht in der Lage, komplexe Cyber Crimes zu begehen. Aber sie kann inzwischen die richtigen Jungs in Russland oder sonst wo auf der Welt mit der Ausführung beauftragen. Bei Cyber-Delikten handelt es sich um so genannte "White Collar Crimes", die weitaus weniger hart bestraft werden als Kapitalverbrechen. Die relativ milden Strafen und die enormen Gewinne, die durch digitale Spionage und Betrug erzielt werden können, machen diesen kriminellen Geschäftszweig so attraktiv. Deshalb zieht er immer mehr "Aktive" an.

CW: Ein CSC-Motto lautet: "protect what matters". Mit der Aufforderung, das zu beschützen, was wertvoll ist, implizieren Sie auch, dass nicht mehr alles geschützt werden kann. Warum ist das so?

Solari: Security-Experten konstatieren schon länger, dass Unternehmen Hacker nicht verlässlich aus ihren Netzen fernhalten können. Also muss man sie zumindest daran hindern, Wertvolles zu stehlen. Cyber-Kriminelle ticken nicht mehr so wie die Hacker früherer Tage, die beweisen wollten, dass sie in abgesicherte Netze eindringen können. Heute jagen sie nach geheimen Formeln, Konstruktionsplänen oder anderen kritischen Daten, die sich zu Geld machen lassen oder die sie im Auftrag anderer Unternehmen oder Staaten ausspionieren sollen. Deshalb müssen Unternehmen die Dinge identifizieren, die für sie wirklich wertvoll sind und diese mit den besten Sicherheitsmechanismen absichern, die sie bekommen können. Die weniger wertvollen Dinge müssen natürlich auch geschützt werden, aber wahrscheinlich reichen hier weniger aufwendige Mechanismen. Wir gehen in drei Schritten vor: Wir priorisieren die Risiken, wir managen sie und wir beobachten die Gesamtlage. Das heißt, wir beraten Unternehmen und Regierungsbehörden in Cyber-Security-Fragen, wir implementieren Lösungen, wir führen regelmäßige Penetrationstests durch und beobachten ständig die Sicherheitssituation unserer Kunden. Das tun wir nicht zuletzt über unsere Security Operation Center, von denen wir etliche in den USA, Europa und Asien unterhalten.

Top100-2012 Security

In die Angaben zu den Security-Anbietern und deren Umsätze rechnet Gartner sämtliche Erlöse mit Sicherheitslösungen hinein.

Auch bei den Angaben zu den Security-Anbietern ist es interessant zu verfolgen, wie erfolgreich die Hersteller in den jeweiligen geografischen Regionen sind. Symantec allerdings ist in Emea genauso wie in Deutschland...

... und weltweit sehr deutlich die Nummer eins.

Ähnliches gilt es zusagen bei den Marktanteilen. Auch hier liegt Symantec in allen Regionen klar vorne.

Und auch hier ist auffallend, dass etwa eine Sophos in Deutschland noch Nummer zwei ist, in Emea allerdings schon auf Rang fünf abrutscht.

Weltweit findet Sophos in den Top-10 nicht mehr statt. Umgekehrt CA Technologies: Auf dem alten Kontinent nicht unter den besten zehn Anbietern platziert, rangiert das Unternehmen weltweit wenigstens auf Platz acht.

"Nach wie vor ist der Mensch das schwächste Glied in der Kette."

CW: Warum jagt die Sicherheitsbranche den Cybersecurity-Kriminellen immer hinterher? Liegt das auch daran, dass Security immer ein nachgelagerter Prozess ist?

Solari: Nach wie vor ist der Mensch das schwächste Glied in der Kette. Die meisten komplexen Angriffe starten mit Social Engineering, zum Beispiel "Phishing".

Pistone: Es fängt in über 80 Prozent der Fälle mit Mitarbeitern an, die ihrem eigenen Unternehmen bewusst oder unbewusst schaden.

Solari: Deshalb versuchen wir, die Stellen zu eleminieren, von denen häufig die Schäden ausgehen. Nehmen Sie beispielsweise unsere Dynamic Desktops. Sie beziehen alle Daten und Applikationen aus dem Netz. Sie verfügen weder über USB-Schnittstellen noch Festplatten. So schalten wir zumindest dieses eine Risiko aus.

CW: An dieser Stelle wird das Hase-und-Igel-Spiel sehr deutlich. Wenn Sie den Desktop der Mitarbeiter absichern, dann macht das nur Sinn, wenn Sie Netzwerk und Server umso besser schützen.

Solari: Ja klar, aber man kann Desktops mit eigenen Speichermöglichkeiten nicht komplett absichern. Bei Servern besteht eine viel größere Chance.

CW: Oft entstehen Sicherheitslücken gar nicht durch böse Absicht von Mitarbeitern oder Fremden, sondern schlicht und einfach deshalb, weil Sicherheit unbequem ist. Sie dauert, sie verringert die Leistung, sie macht zusätzliche Schritte in Prozessen notwendig etc. Muss IT-Security nicht komfortabler und einfacher werden?

Solari: Unbedingt! Wir sehen diese Entwicklung bereits. Nehmen Sie Windows 7. Gegenüber älteren Windows-Versionen denkt es sicherheitstechnisch schon mit. Aber es ist natürlich nicht in Ordnung, wenn Sicherheitsroutinen zeitweise fast sämtliche Rechenpower aufsaugen. Sicherheit muss simpler werden. Dieser Prozess steht am Anfang, aber hat definitiv begonnen. Viele Sicherheitsaufgaben werden künftig in der Carrier Cloud erledigt. Das macht Sicherheit ein Stück bequemer.

Die 10 größten Security-Risiken in der Cloud
Lesen Sie, welche Security-Risiken der Einsatz einer Public oder Hybrid Cloud birgt und was Sie dagegen tun können.

Verletzung der Vertraulichkeit und Integrität der Daten:
Eine Lokalisierung der Daten ist in einer Public oder Hybrid Cloud für den Dateneigentümer nicht mehr einfach möglich. Daher ist der Schutz der Daten auf der Infrastruktur-, Plattform und Applikationsebene häufig nicht mehr mit üblichen Mitteln zu gewährleisten.

Löschung von Daten:
Daten müssen in vielen Fällen (etwa aufgrund gesetzlicher Bestimmungen) gelöscht werden. Auch hier besteht das Risiko einer nur unzureichenden oder unvollständigen Löschung auf allen Plattformen und Datenbanken der Cloud, da die Lokalisierung der Daten nur schwer möglich ist.

Ungenügende Mandantentrennung:
Bei nicht ausreichend abgesicherter Mandantentrennung besteht die Gefahr, dass Dritte unautorisiert Daten einsehen oder manipulieren können.

Verletzung der Compliance:
Da Daten in einer Public Cloud prinzipiell in allen Ländern der Welt in deren spezifischen Rechtsordnungen verarbeitet werden können, ist die Erfüllung aller gesetzlicher Anforderungen eine wesentliche Aufgabe bei der Nutzung von Public Cloud Leistungen.

Verletzung von Datenschutzgesetzen:
Es ist nicht von vornherein klar, in welchen Ländern, Rechenzentren, auf welchen Servern und mit welcher Software die Daten gespeichert und verarbeitet werden.

Insolvenz des Providers:
Die Insolvenz eines Providers bedeutet meist nicht die Insolvenz aller Rechenzentren, die der Provider verwendet hat. Rechenzentren werden zudem bei Insolvenz mit großer Wahrscheinlichkeit an andere Provider verkauft werden.

Problematik der Subunternehmer:
Ein weiteres Problem stellt die Auftragsweitergabe an Subunternehmer dar. Der Provider wird häufig Subunternehmer für gewisse Leistungen verpflichten. In einer Public Cloud bleibt auch diese Komplexität dem Benutzer häufig verborgen (und soll ja nach der Philosophie des Cloud Computing verborgen bleiben).

Beschlagnahmung von Hardware:
Eine Beschlagnahme von Hardware kann in allen Ländern erfolgen, in denen der Provider Computing-Ressourcen nutzt. Meist werden sich Daten des Auftraggebers auf beschlagnahmten Servern befinden.

Handel mit Ressourcen wird denkbar:
Denkbar ist auch, dass Provider einen Handel mit ihren Ressourcen untereinander aufbauen und damit eine "Ressourcenbörse" realisieren wie sie in obiger Abbildung angedeutet ist. Auf dieser Börse werden Ressourcen zu einem bestimmten Preis angeboten.

Erpressungsversuche:
Die Gefahr von Erpressungsversuchen steigt, da der Personenkreis mit Administrationsaufgaben für Ressourcen der Public Cloud unüberschaubar groß ist. Das eingesetzte Personal verfügt im Allgemeinen über unterschiedliches Ausbildungsniveau und Sicherheitsbewusstsein.

CW: Wird Sicherheit also in Zukunft als zusätzliche Ebene in der Cloud angeboten, in die sich alle einklinken und sich so von Security-Risiken befreien?

Solari: Es wird nicht eine Sicherheitslösung geben. Es werden immer mehrere nötig sein. Aber definitiv wird das Netzwerk mehr Elemente übernehmen können als heute. Man kann heute schon Denial-of-Service-Attaken im Netz erkennen, andere Bedrohungen auch. Aber es sind natürlich viele rechtliche Fragen zu klären, damit zum Beispiel der an Sie adressierte Spam vom Provider oder einem Dritten aus dem Netz entfernt werden kann. Das ist nicht simpel.

CW: CSC unternimmt große Anstrengungen, um Clouds abzusichern. Was tun Sie konkret?

Solari: Das kommt natürlich immer auf die jeweilige Kundensituation an. Aber im Prinzip sorgen wir zusammen mit unseren Technologiepartnern dafür, dass die getroffenen Sicherheitsmaßnahmen gegenüber dem Kunden sichtbar sind; wir stellen sicher, dass sie den regionalen und lokalen Bestimmungen entsprechen und, vielleicht das Wichtigste: Wir übernehmen die Verantwortung für das vereinbarte Sicherheitsniveau und zwar in der Public, in der Private und in der Hybrid Cloud.

Die gefährlichsten Bedrohungen für Firmen und Behörden

CW: Welche Bedrohungen halten Sie für Firmen und Behörden für am gefährlichsten?

Pistone: Diebstahl geistigen Eigentums auf Unternehmensseite, Ausspionieren von Geheimnissen, um Staaten damit zu erpressen.

Solari: Heute werden außerdem immer mehr Systeme zugänglich, die früher vom Internet isoliert waren. Nehmen Sie zum Beispiel Kraftwerke. Stuxnet und andere auf elektronische Steuerungen gerichtete Viren und Trojaner sind Beispiele für die gestiegene Zugänglichkeit von früher isolierten Einheiten.

CW: Welche Rolle spielt das Topmanagement in Sachen Security?

Solari: Bis vor kurzem fragte es nicht nach IT-Sicherheit. Der "C-Level" wollte nur wissen, wie schnell er die neuen Systeme bekommt und wann sich damit Geld verdienen lässt. Das liegt in der Natur des Business. Aber langsam verändert sich das. Die großen Sicherheitsvorfälle der letzten Zeit, zum Beispiel bei Sony, verändern das Bewusstsein. Wenn so etwas vorkommt, muss nämlich der Vorstand dafür gerade stehen. Deshalb werden auch in Vorstandssitzungen inzwischen häufiger Fragen nach der Sicherheit gestellt. Damit das noch öfter geschieht, muss es der Security-Community gelingen, das Topmanagement für dieses Thema stärker zu sensibilisieren. Der C-Level muss begreifen, dass das Thema Cybersecurity strategisch wichtig ist.

CW: Das haben schon viele versucht. Aber wenn nicht gerade ein Security-Skandal in der Öffentlichkeit diskutiert oder eine neue Vorschrift erlassen wurde, waren diese Bemühungen meistens vergeblich.

Solari: Ich habe das bei meinen Vorgesetzten ganz erfolgreich mit einer kleinen Grafik versucht. Sie zeigt vier Geraden - drei steil ansteigende und eine relativ flach verlaufende: Die Erste beschreibt die stark zunehmende Raffinesse der Bedrohungen. Die Zweite zeigt die stark steigende Anzahl von regulatorischen Vorgaben in Sachen Betriebssicherheit, Security und Privacy. Die dritte steil ansteigende Linie verdeutlicht die wachsende Abhängigkeit von der IT. Die vierte Linie schließlich, die, die relativ flach verläuft, dokumentiert die Verbesserung unserer Sicherheitsvorkehrungen, die leider bei Weitem nicht mithalten kann mit der Entwicklung der Bedrohungen, der Vorschriften und auch nicht mit der Interdependenz von IT-Systemen. Damit konnte ich die Aufmerksamkeit des Managements gewinnen. Vor allem wenn man Cloud Computing und Mobility mit ins Spiel bringt, wird jedem deutlich, dass sich die Sicherheitslücke künftig noch stark vergrößern wird.

Motivation für IT-Sicherheit

CW: Aber was bringt Vorstände dazu, das Sicherheitsthema auch aktiv voranzutreiben?

Solari: Compliance ist natürlich ein starker Antrieb, aber nicht der einzige. Wenn Vorstände diese kleine Grafik verstanden haben, erkennen sie auch, dass Sicherheit für das Überleben ihrer Unternehmen essenziell, also strategisch enorm wichtig ist. Sie werden fragen, was sie tun müssen, um diese Lücke zu schließen. Sie fragen, womit sie die Sicherheit ihres Geschäftes erhöhen und das herstellen können, was wir Cyber Confidence nennen.

CW: Was verstehen Sie darunter?

Solari: Cyber Confidence erreichen Unternehmen, wenn sie die Lücke zwischen ihrem Security-Level und den Bedrohungen soweit verkleinert haben, dass sie mit den Bedrohungen fertig werden können und den Cyberkriminellen Substanzielles entgegenzusetzen haben. Das bedeutet nicht, jede Bedrohung sofort ausschalten zu können. Es heißt aber, die notwendigen Mittel dazu in die Hand zu bekommen. Wir wollen den Unternehmen helfen, sie im Cyberspace für ihre Lieferanten, Partner und Kunden genauso vertrauenswürdig zu machen wie in der realen Welt.

CW: Werden Vorstände Security nicht immer nur unter dem Kostenaspekt betrachten?

Solari: Viele Verantwortliche denken sicher so. Aber es gibt immer mehr Topmanager, die verstanden haben, dass Security ihr Unternehmen, ihre Produkte und Services positiv von der Konkurrenz abhebt. In einem sicheren Webshop werden die Leute lieber einkaufen als in einem unsicheren. Sie werden lieber Kunde bei Kraftfahrzeugversicherungen, die nicht wegen Hackerangriffen auf ihre Abrechnungssysteme falsche Rechnungen erstellen und sie werden lieber Autos fahren, deren IT-Subsysteme so abgesichert sind, dass nicht durch Hackerangriffe oder Fehlfunktionen plötzlich die Bremsen versagen. Aus diesen Gründen werden langsam, aber sicher auch die Chefetagen in Sachen Security umdenken. (wh)