RSA-Vorstand Tom Heiser im CW-Interview

"Dieser Vorfall war mir eine Lehre fürs Leben"

11.10.2012
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

"Als CISO würde ich vielleicht zuerst im AV-Bereich sparen"

CW: Es bleibt nach wie vor eine Investitionsfrage. Glaubt man den neuesten Zahlen einer Ponemon-Studie im Auftrag von HP, zahlt jedes US-Unternehmen mittlerweile rund 7 Millionen Euro jährlich, um die Folgen von IT-Sicherheitsvorfällen zu beseitigen. Deutsche Unternehmen kosten derartige Incidents immerhin noch rund 5 Millionen Euro, die britischen 2,5 Millionen. Reichen diese horrenden Schadenssummen etwa immer noch nicht, um eine Umverteilung zu erreichen?

Verpasst vermeintlich sicheren Kunden nach eigenen Worten gerne den "Todeskuss": Tom Heiser.
Verpasst vermeintlich sicheren Kunden nach eigenen Worten gerne den "Todeskuss": Tom Heiser.
Foto: Uli Ries

HEISER: Gemessen an den Risiken sind die Security-Budgets in der Tat viel zu gering. Ich habe im Laufe meines Berufslebens noch nicht eine Firma kennen gelernt, deren Security-Verantwortliche die Gelder bekommen haben, die sie gebraucht hätten, um alle ihre Anforderungen zu erfüllen. Wer hat schon die Muße, drei- bis viermal soviel für Security ausgeben zu können wie für die gesamte übrige IT? Auch wenn das immer noch wenig ist, wenn ich die möglichen Risiken für geschäftskritische Anwendungen bedenke. Also bleibt es eine Frage der Priorisierung der Gelder, die man bekommt. Bestimmte Dinge müssen dann einfach liegen bleiben - welche, ändert sich ständig. Reine Antivirus-Lösungen beispielsweise spüren heute nur noch durchschnittlich 20 bis 30 Prozent der potenziellen Gefahren innerhalb eines Netzes auf. Vielleicht würde ich als CISO dort derzeit als erstes sparen. Eines weiß ich aber mit Sicherheit: Kunden, die mir sagen "Ich bin sicher", bekommen von mir den Todeskuss verpasst. So eine Aussage ist absolut naiv. Natürlich müssen Menschen wie ich paranoid sein, um in der Security-Industrie arbeiten zu können, aber Kunden mit solchen Aussagen sind in meinen Augen garantiert diejenigen, die es bei der nächsten Angriffswelle am härtesten erwischen wird.

CW: Security-Investitionen werden derzeit in weltweit tätigen Konzernen auch stark in den Auf- oder Umbau von internen Expertenteams gesteckt. Inwiefern ist das der richtige Weg?

HEISER: Regierungsbehörden und militärische Einrichtungen haben damit begonnen, weil sie als erstes Opfer von komplexen IT-Angriffen geworden sind. Nun beginnt auch die Privatwirtschaft mit diesen Maßnahmen. Aktuell ist es besonders die Finanzindustrie, die verstärkt attackiert wird und entsprechende Gegenmaßnahmen ergreifen muss. Was machen diese Unternehmen also? Sie rekrutieren ihre Sicherheitsexperten bei staatlichen Stellen, weil dort das benötigte Know-How bereits vorliegt. Einziger Unterschied: Statt ein Land verteidigen diese nun eine Bank oder Versicherung.

CW: Dennoch werden die Fachkräfte, die wir haben, bei weitem nicht ausreichen, der Lage Herr zu werden. Einer von Ihnen zitierten Untersuchung von Frost & Sullivan zufolge würden den Unternehmen weltweit in drei Jahren rund zwei Millionen Security-Spezialisten fehlen. Wie lösen Sie dieses Problem?

HEISER: Das, was wir als RSA tun können, ist zum einen intelligentere Software zu entwickeln, damit ein Teil des menschlichen Verstands durch Technik ersetzt werden kann. Zum anderen müssen wir noch stärker mit Universitäten und Bildungseinrichtungen zusammenarbeiten, um für kompetenten Security-Nachwuchs zu sorgen. Bei RSA arbeiten viele Studenten, die ihr Wissen einbringen und wiederum von unserem profitieren.

CW: Zu einem umfassenden IT-Sicherheitswissen gehört auch das Know-how jedes einzelnen. Was tun Sie persönlich, um ihr digitales Leben sicher zu gestalten?

HEISER: Ich bin nicht bei Facebook angemeldet. Mein Linkedin-Profil habe ich wieder gelöscht. Ich gebe keinerlei persönliche Daten im Internet preis. Ich bin wie bereits angedeutet ein sehr paranoider Mensch. Ich würde niemals, niemals, niemals (sic!) mein Smartphone oder Tablet unverschlüsselt irgendwo herumliegen lassen. Ich ändere ständig alle meine Passwörter. Man könnte also meinen, ich bin gut erzogen. Selbstredend liegt der Grund dafür auch in meiner beruflichen Funktion - zum einen muss ich Vorbild sein, zum anderen bin ich als Vorstand eines der größten Security-Anbieter natürlich auch immer ein potenzielles Angriffsziel.

CW: Wie viele Passwörter verwenden Sie denn?

HEISER: Darf ich Ihnen nicht sagen. Sonst müsste ich Sie töten. Aber es sind eine ganze Menge.

CW: Wie können Sie sich die alle merken?

HEISER: Gar nicht. Ich verteile deshalb überall Post-it's... Nein, ich mache Spaß!