Sicherheit, oder besser: "Security", das war das große Thema der Konferenz der "Security Divison of EMC", wie das US-Unternehmen RSA - 2006 vom Storage-, Virtualisierungs- und DMS-Anbieter EMC übernommen - genannt werden möchte. Dabei bauen Firmen, die für mehr Sicherheit sorgen wollen, zunächst gerne Unsicherheitsszenarien auf, um ihre Existenzberechtigung nachzuweisen. RSA meldete zu Beginn der Konferenz: Das diesjährige Vortragsprogramm mache deutlich, „dass Cyberkrieg, Cloud-Sicherheit, die Verbraucheremanzipation in der Unternehmens-IT und mobile Plattformen" die wichtigsten Herausforderungen der IT-Abteilungen im Jahr 2010 seien.
Foto: RSA Conference 2010
So stellte etwa Uri Rivner, der bei RSA den Titel "Head of New Technologies, Consumer Identity Protection", trägt, in seinem Vortrag für die Presse "Humans cannot be patched: the new face of Cybercrime" eindrucksvoll die Tätigkeit von Botnetz-Betreibern in der ganzen Welt dar. Insbesondere die Tätigkeit von BadB wurde gewürdigt. BadB, alias Wladislaw H., 27, gehörte laut seiner Häscher einer der "raffiniertesten Organisationen in der Welt der Online-Finanzkriminalität" an.
Über ihn und seine lukrative Tätigkeit weiß man deswegen so viel, weil er erst kürzlich in Nizza verhaftet wurde, wo er nun auf seine Auslieferung in die USA wartet. Er soll von Moskau aus unter anderem das Online-Forum "Carder Planet" gegründet und betrieben haben, in dem erstaunlich offen mit gestohlenen Kreditkartendaten gehandelt wurde. In liebevoll gezeichneten Cartoons auf seinen Websites machte BadB Werbung für seine kriminelle Tätigkeit; gleichzeitig verhöhnte er so aber auch seine Opfer.
Richard Clarke, Vorsitzender des Unternehmens Good Harbor Consulting, warnte vor „der neuen Hydra": Cyber Crime und Cyber War. Und auch Michael Chertoff, der von Februar 2005 bis Januar 2009 amtierende Heimatschutzminister der Vereinigten Staaten und Mitgründer der Chertoff Group, hatte am dritten Tag seinen großen Auftritt. Sein Unternehmen bietet Unternehmen und Regierungsstellen Dienstleistungen im Bereich Sicherheit und Risikomanagement an.
Teaserbild: Fotolia, H.-J. Roy
Foto: RSA Conference 2010
Chertoff warnte, weltweit hätten rund 100 Staaten die technischen Möglichkeiten, andere Nationen per Internet anzugreifen oder auszuspionieren. Offizielle Stellen bekämen nicht immer die notwendige Hilfe, wenn sie Angriffe aus Russland, Weißrussland oder Moldawien verfolgen wollten. Der Stuxnet-Wurm hätte der Öffentlichkeit gezeigt, dass wir bereits heute einen Cyberkrieg haben könnten.
Werden die Good Guys oder die Bad Guys gewinnen?
Die Sicherheitslage wird dadurch natürlich immer unübersichtlicher, wenn auch Regierungen die Werkzeuge der Hacker für Cyberkriege nutzen. Und scheinbar sind es auch manchmal dieselben "bad guys", die auch für die "good guys" wie behördliche Stellen arbeiten oder indirekt für Unternehmen, die auch oft Interesse an den Daten ihrer Wettbewerber oder Feinde haben. Dazu kommt, dass staatliche Stellen nach den Terroranschlägen des 11. September in New York aus angeblichen Sicherheitserwägungen heraus kontrollieren, filtern und aufzeichnen.
Foto: RSA Conference 2010
Bruce Schneier, Chief Security Technology Officer bei BT, Verschlüsselungs- und Computersicherheitsexperte, Blogger und Buchautor sprach im Auditorium mehr über Facebook und Co., sein Thema lautete: "Sicherheit, Privatsphäre und die Kluft zwischen den Generationen" (Video). Das Informationszeitalter sorge automatisch dafür, dass immer mehr Daten produziert werden. Da Datenspeicher nichts mehr koste, sei es billiger, alle Daten einfach aufzuheben, als zu sortieren, was wirklich wichtig ist. Da Daten einen Wert haben, würden sie auch gekauft und verkauft. Dabei halte das Rechtssystem kaum Schritt mit der Entwicklung der neuen Möglichkeiten der IT. Die Profitgier einzelner Firmen würde den Datenschutz jedes einzelnen Menschen gefährden.
Was tun mit mobilen Geräten, die die Nutzer gerne von zuhause mitbringen und ans Firmennetzwerk anschließen? Steve Preston, Senior Director bei RSA, sagte dazu: "In Indien hat mehr als die Hälfte der Bevölkerung Verträge mit Mobilfunkanbietern abgeschlossen. Es gibt dort schon heute mehr mobile Geräte als öffentliche Telefone." Um die Risiken, die von infizierten Geräten ausgehen, abzuwehren, setzt Preston auf Risk-basierte Authentifizierungs-Software, die das "normale Verhalten" des Nutzers kontrolliert und bei Auffälligkeiten sofort Alarm schlägt.
Ein großes Thema des Kongresses waren natürlich auch die Sicherheitsfragen beim Cloud Computing, auch wenn die EMC-Tochter hier sehr viel mehr die Möglichkeiten betont als die möglichen Risiken. Wer seine Daten in eine Public Cloud gibt, möchte sicher sein, dass seine Daten auch dort geschützt sind. Zumal ein Unternehmen sonst Probleme mit den geltenden Compliance-Regeln bekommen könnte.
Studie: Veränderungen in der Compliance-Landschaft sind umfassend
Eine neue Studie des Security for Business Innovation Council, dem Sicherheitsexperten der weltweit größten Organisationen angehören, wurde ebenfalls zur Konferenz vorgestellt. Sie wirft ein Schlaglicht auf das komplexe Netz neuer Datenschutzrichtlinien, Meldepflichten und den verschiedenen Verantwortlichkeiten, die durch die Zusammenarbeit mit externen Anbietern entstehen. Die Mitglieder des Rates kommen in ihrer Arbeit zu dem Schluss, dass Firmen dem Thema Compliance eine noch stärkere Bedeutung beimessen sollten.
Sie sehen folgende Trends:
-
1. Verstärkte Durchsetzung von Compliance-Richtlinien
-
2. Globale Verbreitung von Gesetzen zur Offenlegung von Datenschutzvergehen
-
3. Zunehmend verbindliche Regulierungen
-
4. Wachsende Anforderungen der Geschäftspartner
Deshalb sollten Unternehmen diese sieben Punkte erledigen, um den erhöhten Compliance-Anforderungen zu begegnen:
-
1. Aufbau eines umfassenden Risiko-basierten Compliance-Programms
-
2. Etablieren unternehmensinterner Kontrollmechanismen innerhalb eines einheitlichen Rahmens
-
3. Einrichten und Justieren der Kontrollgrenzen
-
4. Vereinheitlichen und Automatisieren von Compliance-Prozessen
-
5. Ausbau des Risk-Managements in der Zusammenarbeit mit externen Anbietern
-
6. Zusammenführung und Abstimmung der Compliance- und Geschäftsstrategien
-
7. Intensiver Austausch mit Behörden und Standardisierungsgremien
RSA-Präsident Art Coviello: Jobs von CIOs und CSOs immer komplizierter
Es wird durch die viele neue Regeln für CIOs und CSOs nicht einfacher. Oder wie es der Präsident von RSA, Art Coviello, in seiner Rede formulierte: „Jedes Jahr sage ich zu mir selbst: Können unsere Jobs noch komplizierter werden? Und jedes Jahr die gleiche Antwort: Ja!" Schuld daran, dass IT-Leiter schon heute ein Fünftel ihrer Zeit mit Compliance und hier vor allem mit dem Thema Sicherheit zubringen müssten, sei die zunehmend weltweite Regulierung dieses Bereichs.
Foto: RSA Conference 2010
Die Eröffnungsrede sollte eine mögliche Lösung vorstellen: Um Risk-Management effektiv betreiben zu können, brauche man eine einheitliche Plattform, die die ganzheitliche Sicht auf alle sicherheitsrelevanten Fragen ermögliche. Sie müsse Organisationen außerdem helfen, ihre Sicherheit effizient und zuverlässig über physische, virtuelle und Cloud-Infrastrukturen zu verwalten. Virtualisierung sei dabei sicherheitsmäßig betrachtet nicht Teil des Problems sondern Teil der Lösung, so Tom Heiser, COO von RSA. Virtualisierung und Cloud Computing sollten als Chance genutzt werden, um so "Verkehrsüberwachungssysteme zur Informationssicherheit" aufzubauen, und um infolge davon sicherere und besser zu verwaltende Informations-Infrastrukturen zu erreichen.
Zum Abschluss des Konferenzprogramms wurde mit Alexis Conran ein Zauberer und Meister der Täuschung, der in Großbritannien als Star in der BBC-TV-Sendung "The Real Hustle" bekannt ist, ein launiger Sicherheitsabschluss gesetzt. Das Thema der Talkshow mit ihm war: "Einen Dieb fangen: Was die IT-Sicherheit von Schwindlern und Magiern lernen kann".