"Als CISO würde ich vielleicht zuerst im AV-Bereich sparen"
CW: Es bleibt nach wie vor eine Investitionsfrage. Glaubt man den neuesten Zahlen einer Ponemon-Studie im Auftrag von HP, zahlt jedes US-Unternehmen mittlerweile rund 7 Millionen Euro jährlich, um die Folgen von IT-Sicherheitsvorfällen zu beseitigen. Deutsche Unternehmen kosten derartige Incidents immerhin noch rund 5 Millionen Euro, die britischen 2,5 Millionen. Reichen diese horrenden Schadenssummen etwa immer noch nicht, um eine Umverteilung zu erreichen?
Foto: Uli Ries
HEISER: Gemessen an den Risiken sind die Security-Budgets in der Tat viel zu gering. Ich habe im Laufe meines Berufslebens noch nicht eine Firma kennen gelernt, deren Security-Verantwortliche die Gelder bekommen haben, die sie gebraucht hätten, um alle ihre Anforderungen zu erfüllen. Wer hat schon die Muße, drei- bis viermal soviel für Security ausgeben zu können wie für die gesamte übrige IT? Auch wenn das immer noch wenig ist, wenn ich die möglichen Risiken für geschäftskritische Anwendungen bedenke. Also bleibt es eine Frage der Priorisierung der Gelder, die man bekommt. Bestimmte Dinge müssen dann einfach liegen bleiben - welche, ändert sich ständig. Reine Antivirus-Lösungen beispielsweise spüren heute nur noch durchschnittlich 20 bis 30 Prozent der potenziellen Gefahren innerhalb eines Netzes auf. Vielleicht würde ich als CISO dort derzeit als erstes sparen. Eines weiß ich aber mit Sicherheit: Kunden, die mir sagen "Ich bin sicher", bekommen von mir den Todeskuss verpasst. So eine Aussage ist absolut naiv. Natürlich müssen Menschen wie ich paranoid sein, um in der Security-Industrie arbeiten zu können, aber Kunden mit solchen Aussagen sind in meinen Augen garantiert diejenigen, die es bei der nächsten Angriffswelle am härtesten erwischen wird.
CW: Security-Investitionen werden derzeit in weltweit tätigen Konzernen auch stark in den Auf- oder Umbau von internen Expertenteams gesteckt. Inwiefern ist das der richtige Weg?
HEISER: Regierungsbehörden und militärische Einrichtungen haben damit begonnen, weil sie als erstes Opfer von komplexen IT-Angriffen geworden sind. Nun beginnt auch die Privatwirtschaft mit diesen Maßnahmen. Aktuell ist es besonders die Finanzindustrie, die verstärkt attackiert wird und entsprechende Gegenmaßnahmen ergreifen muss. Was machen diese Unternehmen also? Sie rekrutieren ihre Sicherheitsexperten bei staatlichen Stellen, weil dort das benötigte Know-How bereits vorliegt. Einziger Unterschied: Statt ein Land verteidigen diese nun eine Bank oder Versicherung.
CW: Dennoch werden die Fachkräfte, die wir haben, bei weitem nicht ausreichen, der Lage Herr zu werden. Einer von Ihnen zitierten Untersuchung von Frost & Sullivan zufolge würden den Unternehmen weltweit in drei Jahren rund zwei Millionen Security-Spezialisten fehlen. Wie lösen Sie dieses Problem?
HEISER: Das, was wir als RSA tun können, ist zum einen intelligentere Software zu entwickeln, damit ein Teil des menschlichen Verstands durch Technik ersetzt werden kann. Zum anderen müssen wir noch stärker mit Universitäten und Bildungseinrichtungen zusammenarbeiten, um für kompetenten Security-Nachwuchs zu sorgen. Bei RSA arbeiten viele Studenten, die ihr Wissen einbringen und wiederum von unserem profitieren.
CW: Zu einem umfassenden IT-Sicherheitswissen gehört auch das Know-how jedes einzelnen. Was tun Sie persönlich, um ihr digitales Leben sicher zu gestalten?
HEISER: Ich bin nicht bei Facebook angemeldet. Mein Linkedin-Profil habe ich wieder gelöscht. Ich gebe keinerlei persönliche Daten im Internet preis. Ich bin wie bereits angedeutet ein sehr paranoider Mensch. Ich würde niemals, niemals, niemals (sic!) mein Smartphone oder Tablet unverschlüsselt irgendwo herumliegen lassen. Ich ändere ständig alle meine Passwörter. Man könnte also meinen, ich bin gut erzogen. Selbstredend liegt der Grund dafür auch in meiner beruflichen Funktion - zum einen muss ich Vorbild sein, zum anderen bin ich als Vorstand eines der größten Security-Anbieter natürlich auch immer ein potenzielles Angriffsziel.
CW: Wie viele Passwörter verwenden Sie denn?
HEISER: Darf ich Ihnen nicht sagen. Sonst müsste ich Sie töten. Aber es sind eine ganze Menge.
CW: Wie können Sie sich die alle merken?
HEISER: Gar nicht. Ich verteile deshalb überall Post-it's... Nein, ich mache Spaß!
- Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern. - Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden. - Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten. - Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden. - Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? - IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.