In einer Studie, die wir in unserem Marktforschungsbereich IDG Research aufgesetzt haben, hat sich gezeigt, dass Unternehmen vor allem mit drei Sicherheitsthemen beschäftigt sind: die Anbindung mobiler Mitarbeiter, Cloud-Security und Europäische Datenschutzgrundverordnung (DSGVO oder GDPR, Anm. d. Red.). Deckt sich das mit Ihren Erfahrungen?
Foto: NTT Security
Kai Grunwitz: Ja, das passt sehr gut, vor allem GDPR ist gerade ein Thema. Die Panik steigt. Das ist wie früher in der Universität, wenn man seine Examensarbeit abgeben musste. Zunächst hat man sich gesagt: Noch sechs Monate - ich habe Zeit genug. Dann waren es nur noch drei Monate, dann noch zwei, dann nur noch ein paar Tage. So verhält es sich gerade mit GDPR.
Und im Bereich der mobilen Endgeräte geht es darum, seine Daten abzusichern. Data Loss Prevention, Digital Rights Management, Verschlüsselung - all diese Themen sind oben auf der Agenda. Wenn schon Daten abhandenkommen, sollten sie wenigstens nicht für andere nutzbar sein. Das dritte Thema ist Cloud-Sicherheit. Hier geht es um Security by Design oder DevSecOps sowie um Verschlüsselung und Multi-Cloud-Management. Aber auch um Automatisierungsthemen.
SAP-Security - ein drängendes Problem
Ist Sicherheit in Internet-of-Things-(IoT-) Szenarien auch schon relevant?
Kai Grunwitz: Ja, allerdings würde ich eher über das Industrial Internet of Things (IIoT) sprechen, also über den Schwerpunkt der industriellen Entwicklung und Produktion. In den Werken der Automobilindustrie ist das wichtig, aber auch im Auto selbst, man denke ans autonome Fahren.
Ein Aspekt, der mir übrigens noch fehlt, ist SAP-Security - ebenfalls zunehmend wichtig! Die Cloud-Plattform HANA hat nämlich ganz andere Security-Anforderungen als R/3 früher. Heute gibt es dort die gleichen Herausforderungen wie bei allen Cloud-Providern.
Alle IT-Sicherheitsanbieter möchten seit ein paar Jahren Managed-Security-Services vermarkten. Bislang sind die Anwender aber nicht richtig angesprungen…
Kai Grunwitz: Es wird jetzt aber wichtiger, denn IT-Sicherheit ist ein komplexes Thema, für das Unternehmen keine Fachleute finden. Insbesondere auf der Detection- und Incidence-Response-Seite fehlt es massiv an Skills. Incidence Response mit schnellen Eingreiftruppen, die handlungsfähig sind, das gibt es in Europa noch kaum. Die Amerikaner sind da weiter, aber wir haben inzwischen auch ein gut aufgestelltes europäisches Incidence Response Team, das die Kunden unterstützt. Für unsere Gesamtstrategie ist das wichtig.
Man kann vielleicht Parallelen zur klassischen Feuerwehr ziehen. Wenn es heute brennt, sind wir vorbereitet: Wir haben Feuerlöscher, Sprinkleranlagen und einen gut organisierten Notruf. Im Jahre 1666, als der große Feuersturm in London wütete, wurde die City zum Großteil vernichtet, weil man nicht vorbereitet war. Die Bauweise war ungünstig, die Frühwarn- und Pumpsysteme waren nicht da. Hier haben wir über die Jahrhunderte viel gelernt.
Mit unseren Kunden versuchen wir nun, in der IT-Sicherheit einen ähnlichen Reifegrad zu erreichen wie beim Feuerschutz. In ein paar Jahren wird niemand mehr diskutieren, ob wir Security by Design haben müssen. Das wird normal sein. Es gibt immer weniger Leute, die Security als nachgelagert sehen. Das liegt auch daran, dass die Medien die großen Vorfälle sichtbar machen und Vorstände in Erklärungsnöte bringen.
Security-Spezialisten wollen untereinander fachsimpeln
Das Problem des Fachkräftemangels haben Sie als Anbieter doch nicht weniger als Ihre Kunden!
Kai Grunwitz: Nein, seitdem wir unsere Sicherheitsaktivitäten in der NTT-Gruppe unter dem Dach der NTT Security gebündelt haben, geht es viel besser. Warum? Security-Spezialisten möchten mit Security-Spezialisten zusammenarbeiten und nicht in einer Umgebung, wo sie nicht professionell agieren können oder immer wieder den gleichen Tätigkeiten nachgehen. Sie wollen Threat Hunter sein, also sehr technisch arbeiten, oder aber sich als Berater eher breit aufstellen. Wir haben deshalb Karrierepfade entwickelt, die diese Spezialisten fordern und voranbringen.
Wie wichtig ist für Sie eine Branchenausrichtung im Security-Geschäft?
Foto: NTT Security
Kai Grunwitz: Zu rund 80 Prozent haben wir branchenübergreifend mit denselben Security-Themen zu tun. Deshalb haben wir uns breit aufgestellt und berücksichtigen auch die unterschiedlichen regulativen Aspekte. Es gibt aber natürlich Themen wie Smart Metering, das interessiert die Energieversorger, oder IIoT-Sicherheit für die Industrie. Auch die Blockchain geht die einen Branchen mehr an als andere. Außerdem gibt es unterschiedliche Reifegrade: Die Banken etwa haben sich immer schon intensiv mit Security beschäftigt. Im Manufacturing-Sektor, insbesondere im Mittelstand, haben wir noch einiges aufzuholen.
Viele Unternehmen haben Angst vor Angriffen und heuern Ethical Hacker an, die ihre Systeme nach allen Regeln der Kunst attackieren sollen. Können Sie so etwas auch anbieten?
Kai Grunwitz: Ja, wir machen Penetration Tests und auch komplette Angriffssimulationen. Wir nutzen dabei Social Engineering und wir versuchen uns auch tatsächlich Zugang zu den Gebäuden zu verschaffen. Das muss natürlich alles vertraglich sauber aufgesetzt sein. Die Kunden wollen ihre Schwachstellen kennen. Wir hatten Projekte, da sind unsere Leute ganz frech in die Unternehmen hineinmarschiert und haben Dinge installiert, ohne aufgehalten zu werden.
Social Engineering ist ein Riesenthema, und man muss sich wirklich davor hüten, die Opfer zu verurteilen. Man kann einer Krankenschwester, die in ihrer Alltagshektik auf einen Link klickt, weil sie dahinter die erwarteten Röntgenbilder vom Facharzt vermutet, keinen Vorwurf machen, wenn sie Schadsoftware einschleppt. Tatsächlich ist die Krankenschwester ohnehin das kleinere Problem: Unsere Untersuchungen zeigen, dass das Management Angreifern viel öfter auf den Leim geht als die Mitarbeiter. Board-Hacking ist ein Riesenthema.
Wie ist das zu erklären?
Kai Grunwitz: Jedes Unternehmen hat Sicherheits-Policies und -standards, doch für Manager werden die gerne mal aufgeweicht. Und warum? Weil es ihnen zu umständlich ist! Wir konnten dort in verschiedenen Versuchen jede Menge sensible Daten absaugen. Als wir den Managern das präsentiert haben, waren diese echt erschrocken. Ihnen war das nicht bewusst. Sie hatten einfach nur auf ihre Privilegien bestanden: einem einfachen Login zum Beispiel oder darauf, ihr Passwort nicht ständig ändern zu müssen.
Kommen wir zu Ihrem Unternehmen: NTT Security ist aus der Zusammenlegung der IT-Sicherheitsbereiche verschiedener Unternehmen der NTT-Gruppe entstanden. Wie ist das konkret gelaufen?
Kai Grunwitz: Im August 2016 sind wir in fast allen Ländern mit einer neuen Strategie gestartet. Wir haben uns für ein indirektes Modell entschieden: 80 Prozent unserer Geschäfte laufen über unsere Go-to-market-Companies Dimension Data, NTT Data und NTT Communications. Sie machen mit unserer Hilfe Security-Automatisierung, Früherkennung von Sicherheitsvorfällen, Compliance und GDPR sowie natürlich Beratung.
Indem wir indirekt verkaufen, geben wir einen gewissen Teil der Marge an diese Unternehmen ab. Letztendlich agieren wir wie ein Profit Center im Backend. Trotzdem sind wir von unserem Umsatzvolumen und den Headcounts her gewachsen. In Europa haben wir auch noch einige Länder, in denen wir noch im direkten Modell unterwegs sind, weil NTT dort noch nicht so stark vertreten ist.
Wenn Sie primär als Shared-Service-Center oder Dienstleister für Ihre Schwesterunternehmen im NTT-Verbund arbeiten, warum ist Ihnen dann der Markenauftritt von NTT Security so wichtig?
Kai Grunwitz: Die Marke ist wichtig für die Differenzierung am Markt. NTT Data oder Dimension Data haben ein breites Portfolio. Im Cybersecurity-Umfeld geht es aber darum, Spezialwissen auszuweisen. Die Kunden suchen jemanden, der sich ausschließlich um ein bestimmtes Thema kümmert. Deshalb hilft den anderen NTT-Unternehmen der Brand NTT Security, um sich als ganzheitlicher Player mit starkem IT-Sicherheitsfokus zu positionieren.
Wo ziehen Sie die Grenze zwischen dem, was NTT Security leistet und dem, was die Schwestergesellschaften einbringen?
Kai Grunwitz: Nehmen wir Dimension Data als Beispiel. Sie verkaufen traditionell viel im Bereich Network-Security. Dieses Know-how werden sie auch weiter vorhalten. Für uns ist es wichtiger, dass wir uns auf die neueren Security-Herausforderungen konzentrieren. Ich will Netzwerk- und Basis-Security nicht abwerten, aber Zukunftsthemen sind für uns Cloud-, IoT- und Applikationssicherheit. Und da greifen alle Partnergesellschaften auf uns zu. Dort investieren wir, ebenso in den Aufbau von Managed Security Services und sichere, smarte Architekturen. Wir investieren in der Forschung und Entwicklung viel in Threat Intelligence und Machine Learning. Das ist die Basis unserer Services - wir vermarkten ja keine Produkte, sondern bieten Services.
Die dunkle Seite der Macht soll die Tools nicht bekommen
Warum ist das ein Vorteil?
Kai Grunwitz: Wir möchten die Sicherheitstechnologien, auf die wir uns verlassen, den "Bösen" gar nicht erst zugänglich machen. Bei Threat Intelligence und Detection ist das ganz wichtig. Wenn Sie dort mit einer Lösung auf Marktstandards aufsetzen, dann kann die theoretisch jeder kaufen und sich mit seinen Angriffs-Patterns darauf ausrichten. Das wollen wir vermeiden. Deshalb haben wir eine eigene Threat Intelligence und eigene Honeypots.
Wir teilen dieses Wissen nur mit den Partnern im NTT-Verbund und trainieren deren Presales-Organisationen. Thought Leadership und Innovation sind zentral, deshalb haben wir auch die europäische Zusammenarbeit nochmal verstärkt. Europaweite Competence Center, Information Sharing, gemeinsame Entwicklung neuer Services für ganz Europa, gemeinsame Delivery-Strategie - das ist neu. Die Kunden sollen in ganz Europa eine gemeinsame User Experience haben, wenn sie mit uns zusammenarbeiten.
Die Kunden legen aufgrund ihrer Cloud-Erfahrungen heute viel Wert auf Schnelligkeit, kalkulierbare Kosten und Flexibilität. Das erwarten sie auch von ihren Security-Providern. Was bedeutet das für Sie?
Kai Grunwitz: Wenn wir von der "Cloudisierung" einiger Bereiche sprechen - wir vermarkten zum Beispiel mit Gemalto eine Key-Management-Lösung für die Verschlüsselung als Service - dann reden wir eigentlich nur von einem anderen Geschäftsmodell. Die Aufgaben bleiben dieselben. Wir bewegen uns von einer Capex- in eine Opex-Welt, aber dahinter müssen verlässliche Lösungen laufen, und die Strategie muss stimmen. Cloud-orientierte Services sind nur eine weitere Säule in unserem Geschäftsmodell, mit der wir an den Markt gehen.