CW: Sie beschweren sich über sensationsheischende und oberflächliche Berichterstattung in den Medien zum Thema IT-Sicherheit. Welche Schlagzeile würden Sie denn gerne einmal lesen?
HEISER: Aus altruistischer Sicht "RSA besiegt Advanced Threats". Aus unternehmerischer Sicht wäre das aber weniger gut, weil es dann für uns nichts mehr zu verkaufen gäbe.
CW: Definieren Sie doch einmal die "bösen Buben", von denen alle immer reden. Es werden wohl kaum die Kapuzenpulliträger aus den dunklen Kellerlöchern sein, deren Fotos Sie in Ihren Präsentationen immer so schön darbieten.
Foto: Uli Ries
HEISER: Wir gruppieren sie in verschiedene Kategorien. Da sind zum einen staatliche Einrichtungen, die es vor allem auf geheime Verteidigungsstrategiepapiere oder Industriepatente abgesehen haben. Denen kommt es nicht auf das schnelle Geld an, das damit gemacht werden kann. Es stecken längerfristige Überlegungen dahinter. Weil hier Daten kopiert und nicht im eigentlichen Wortsinne "entwendet" werden, fallen solche Vorfälle selten auf. Zum anderen gibt es die Hacktivisten, die sich durch soziale, gesellschaftliche oder moralische Antriebe zu kriminellen Handlungen genötigt sehen. Als dritte Kategorie gibt es noch diejenigen, die sich direkt bereichern wollen und einen schnellen "Return on Investment" anstreben. Sie sind gut organisiert, manchmal staatlich subventioniert und arbeiten wie normale Unternehmen.
CW: Sind alle Gruppen gleich wichtig für Ihr Geschäft?
HEISER: Sobald staatliche Stellen und Behörden mit im Spiel sind, bewegen wir uns auf einem ganz anderen Bedrohungsniveau. Gerade hier sehen wir uns als RSA mit unseren "Security Analytics"-Produkten bestens aufgestellt, was die Themen Deep Packet Inspection, dauerhafte Überwachung des Datenverkehrs, Anti-Betrug und Risikobewertung angeht.
CW: Was wollen Ihre Kunden?
HEISER: Unsere Authentifizierungslösungen helfen den meisten sofort weiter.
CW: Und die anderen Produkte, die Sie aufzählen?
HEISER: Ich hatte mich beispielsweise vor eineinhalb Jahren mit dem CIO eines Unternehmens aus dem Gesundheitswesen getroffen. Er wollte, dass wir uns seine IT-Infrastruktur anschauen und ihm berichten, wo die Schwachstellen liegen. Also haben wir eine Risikobewertung vorgenommen und ihm bei der Entwicklung einer Prioritätenliste geholfen, die er innerhalb seiner Abteilung abarbeiten wollte. Damit gehört er natürlich schon zu den fortgeschrittenen Anwendern, die nicht nur reagieren, wenn gerade etwas passiert. Er hatte jedoch vergessen, dass viele der aufgedeckten Schwachstellen nicht nur kritisch für seine eigene Abteilung, sondern kritisch für das gesamte Business waren. Nicht, dass seine Strategie falsch war, sondern er hatte schlichtweg Entscheidendes außer Acht gelassen. Nachdem er Ende des vergangenen Jahres nach Abschluss unserer Beratung NetWitness-Services implementiert hatte, bekam ich im Februar eine Mitteilung von ihm, dass sein Netz von staatlicher Seite infiltriert worden war. Beim gemeinsamen Frühstück vor einigen Wochen dankte er mir dann dafür, dass er nur dank unserer Produkte davon umgehend Kenntnis erlangt hatte und Gegenmaßnahmen einleiten konnte. Das Gute daran war, dass er diesen Vorfall seinen Vorgesetzten vorlegen konnte, um diesen klarzumachen, dass das Investment richtig gewesen war. Die Geschichte zeigt, dass die Bereitschaft, sich aktiv um IT-Sicherheit zu kümmern, schon viel wert ist. Zudem ist es eine Auszeichnung für uns als Sicherheitsfirma, wenn ein Kunde dank unserer Produkte derartige Erfolge erzielen kann.
CW: Es ist nun 19 Monate her, dass Ihr Unternehmen selbst Opfer eines Cyberangriffs geworden ist. Was haben Sie aus diesem Vorfall gelernt?
HEISER: Eine Menge. Unser CISO hat RSA seitdem zu einem sehr viel sichereren Ort gemacht. Was aber noch viel wichtiger ist: Wir haben Kommunikation gelernt - Kommunikation mit unseren Kunden, Kommunikation mit der Presse. Heute kommunizieren wir anders mit unseren Kunden als früher - heute wissen die innerhalb von 24 Stunden, was los ist. Wir hatten verschiedene Teams und Projekte dazu, wir haben Summits veranstaltet, um nach innen und außen aufzuklären und transparent zu sein. Dieser Vorfall war auch für mich persönlich eine Lehre fürs Leben, was die Themen Kommunikation und Transparenz angeht.
CW: Inwiefern hat sich Ihre Unternehmensstrategie wegen des Vorfalls inhaltlich verändert?
HEISER: Unser "Intelligence driven Security"-Ansatz war nur mittelbar betroffen. Er entstand aus der Übernahme von NetWitness, die bereits einige Monate zuvor eingeläutet worden war. Als der Vorfall geschah, befanden wir uns inmitten der Akquisition und haben sie schließlich zwei Wochen später abgeschlossen. Ich habe häufig gehört und gelesen, dass wir NetWitness nur gekauft hätten, weil es diesen Sicherheitsvorfall gegeben habe - das ist nicht wahr. Eine Übernahme schließen Sie nicht innerhalb von ein paar Wochen ab. Die Pläne für eine neue Unternehmensstrategie entsprangen der Tatsache, dass unser "Critical Response Center" bei EMC schon drei Jahre Kunde bei NetWitness gewesen war. Wir kannten daher die Stärken dieses Unternehmens und ahnten, das es gut in unser Portfolio und unsere Strategie passen würde. Dass der Angriff dann während des Übernahmeprozesses vonstatten ging, hat uns aber noch einmal in unseren Plänen bestärkt: Die NetWitness-Produkte konnten ihre seine Stärken direkt beweisen. So passten verschiedene Faktoren auch zeitlich ganz gut zusammen.
CW: Sie waren beileibe nicht der einzige Anbieter, dem schon sensible Informationen abhanden kamen. Im Lichte der Erfahrungen, die Sie gemacht haben: Was empfehlen Sie Mitbewerbern, Kunden, Sicherheitsexperten und auch Politikern? Wie sollen sie der aktuellen Bedrohungslandschaft begegnen?
HEISER: Das Wichtigste ist für alle, zu verstehen wo die potenziellen Risiken für Ihr Business verborgen sind; sowohl aus internem Blickwinkel heraus als auch aus externem. Erst wenn Sie das geschafft haben, können Sie eine Security-Strategie entwickeln, die greift. Das Beispiel, was mir immer als erstes in den Sinn kommt, ist der Diebstahl von Intellectual Property. Die meisten Risiken sind aber branchen- und unternehmensabhängig.