Das Security-Denken verändert sich
Interview mit Roger Scheer, Regional Director Germany bei RSA: "Wir sehen einen Chief Compliance Officer viel häufiger"
Risk Management und IT-Security besitzen heute einen höheren Stellenwert im Unternehmen als früher
(16.09.13) - In der neuen Welt von Cloud und Big Data ist das Thema "Trust" - Vertrauen - essentiell. EMC subsumiert darunter drei Themen: "Identifying & Repelling Threats" (d.h. Identifizierung und die Abwehr von Bedrohungen - Advanced Security), Datenschutz- und Sicherheit (Integrated Backup & Recovery) sowie die Sicherstellung der Verfügbarkeit von Daten, Applikationen und Systemen (Continuous Availability). Gerade die Identifizierung und die Abwehr von Bedrohungen stellen auf Security-Seite eine neue Herausforderung dar. Roger Scheer, Regional Director Germany bei RSA, The Security Division of EMC, erklärt, warum.
Welche Auswirkungen haben Cloud Computing und Big Data auf das Security-Umfeld von Unternehmen?
Roger Scheer: Ich glaube, dass Big Data und Cloud einen Paradigmenwechseln bei den Sicherheitsanforderungen zwingend erfordern. Die dunkle Seite der Macht ist technologisch und monitär exzellent aufgestellt und will mit den wertvollen Daten, den Kronjuwelen des Unternehmens, Geld verdienen. Diesen Cyber-Kriminellen wird es auch immer gelingen, in die Netzwerke einzudringen. Warum? Weil die klassischen perimetrischen Sicherheitslösungen nicht mehr ausreichend Schutz bieten. Sie sind signaturbasiert. Heutige Angriffe sind sogenannte Advanced Persistent Threats (APTs), zielgerichtete, komplexe Angriffe, und mit herkömmlichen Methoden nicht erkennbar.
Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)
Die Angreifer wissen manchmal besser über die internen Prozesse des Unternehmens Bescheid als das Unternehmen selbst, das von ihnen attackiert wird. Diese Angreifer finden die Kronjuwelen, ziehen diese ab, löschen alle Spuren wie z.B. Log Files und verschwinden. Die Cyberkriminellen von heute sind sowohl technologisch als auch von ihrem Business-Know-how sehr gut aufgestellt.
RSA geht davon aus, dass nahezu jedes Unternehmen bereits attackiert wurde. Ist das richtig?
Scheer: Ja, wir als RSA sagen: "Assume you are compromised" - Gehen Sie als Unternehmen davon aus, dass ein Hacker in Ihr Netzwerk eingedrungen ist und Sie dies nicht mit den alten perimetrischen, signaturbasierten Sicherheitstechnologien erkannt haben bzw. erkennen können. Das heißt auch, die Unternehmen benötigen einen neuen Sicherheitsansatz - gerade in Zeiten von Big Data und Cloud -, um zu begreifen, was eigentlich im Unternehmens-Netzwerk vor sich geht. Wenn ich als IT-Administrator nicht erkenne, dass ein Angreifer in meinem Netzwerk ist, weiß ich auch nicht, wie ich mich dagegen schützen soll. Ich sehe ihn ja nicht, und der Angreifer kann warten. Er hat viel Geduld, um sein Ziel zu ereichen.
Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)
Es gibt Studien, die herausgefunden haben, dass Cyber-Kriminelle mehrere Monate im Netzwerk eines Unternehmens unerkannt und still verweilen. Erst wenn sie sich die entscheidenden Zugriffsmechanismen "abgephisht" haben, wird zugeschlagen.
Im Grunde gibt es zwei Klassen von Firmen: Die einen wissen, dass sie gehackt wurden, und die anderen sagen: "Wir sind nicht gehackt worden", aber wissen nur nicht, dass sie doch gehackt wurden. Wir reden über eine Hyper-Connect-World. Alles ist vernetzt, und das machen sich auch Angreifer zu Nutze. Wenn wir über Big Data sprechen, sprechen wir über Daten, die für Unternehmen einen hohen Nutzen besitzen - aber eben auch für Cyber-Kriminelle. Diese Daten muss ich zu schützen wissen.
Die Ausgaben für Security steigen doch stetig. Läuft trotzdem was falsch?
Scheer: Derzeit gehen 85 Prozent aller Investitionen im Bereich Security noch in präventive Maßnahmen wie Antivirus-Technologien, Firewalls und dergleichen. Lediglich 10 Prozent der Security-Ausgaben wandern in den Bereich Monitoring / Detecting und nur 5 Prozent werden im Bereich Response eingesetzt, d.h. in Reaktions-Technologien. Um aber Advanced Persistent Threats zu erkennen, sollte ich meine IT-Security-Investitionen mehr im Bereich Monitoring / Detecting und Remediation platzieren, nur dann erreicht ein Unternehmen einen breitbandigen Schutz.
Egal, ob ich ein DAX-30-Unternehmen oder ein Mittelständler bin - es geht um die Intellectual Property - und die muss geschützt werden. Deutschland ist ein Ingenieursstandort, und wir investieren viel mehr als andere Länder in Research und Development. Ratsam also ist eine Drittelung der Security-Investitionen zwischen Prevention, Monitoring und Response.
Wird Big Daten das Security-Bewusstsein verändern?
Scheer: Ja. Im Zeichen der Big Data-Analyse heißt es auch: "Ich habe soviel Daten - welches sind denn meine kritischen Daten?" Er wird immer schwieriger bei all der Datenvielfalt zu erkennen, wenn Informationen ein auffälliges Verhalten anzeigen. Wir sprechen hier von Anomalien. Und diese Anomalien sollte man sehr schnell erkennen, weil man ja viel mehr Daten als früher zur Analyse heranziehen kann. Big Data und Cloud haben eine große Auswirkung auf das Security-Denken, Security-Strategien und -Technologien, die man einsetzen muss, weil man in Echtzeit viele Daten zu analysieren hat. Big Data wird für das Security-Bewusstsein eine ganz neue Bedeutung erlangen.
Wichtig ist, dass wir uns dem Thema öffnen: "Allein der Schutz am Perimeter, das reicht nicht mehr." Der IT-Verantwortliche muss in einer Hyper-Connected-World die IT-Security garantieren, die Verfügbarkeit garantieren, Backup und Archivierung garantieren, obwohl er nicht mehr der alleinige Owner der IT-Infrastruktur ist. In Zeit der Advanced Persistent Threats muss die IT-Security die sogenannte "Dwell Time", also die Verweildauer, d.h. die Zeit, in der ein Angreifer sich im Unternehmensnetz befindet, entscheidend verkürzen. Der Prozess läuft ja so ab: Der Angreifer kommt ins Netzwerk, wird nicht gesehen und hat Zeit, sich in Ruhe erst mal zu orientieren, um dann zuzuschlagen. Je schneller man aber realisiert, dass da etwas nicht Normales im Netzwerk passiert, desto geringer wird der Schaden sein.
Neue IT-Technologien im Bereich Security: Erfordert dies auch eine personelle Aufstockung der IT-Security-Abteilungen?
Scheer: Ja, auch und gerade in den Zeiten von Big Data muss ich in der Lage sein, zu erfassen, was nicht normal ist. Dazu brauche ich entsprechende Strategien und Technologien, diese großen Datenmengen auch analysieren zu können. Dazu wiederum braucht man aber auch neue Skills, d.h. es werden auch neue Mitarbeiter notwendig sein, die in der Lage sind, Business-Prozess-, Applikations-, Netzwerks- und Speicherinfrastruktur-Themen in Korrelation zu setzen. Wenn sie einen Incident, einen Zwischenfall im Unternehmen sehen, müssen sie ableiten können: "Das ist nicht normal." Sie müssen in Echtzeit auf solche Incidents reagieren können.
Um einen Zwischenfall richtig bewerten zu können, brauchen Sie aber auch externe Threat-Intelligence. Das ist etwas, was wir als RSA beispielsweise im Rahmen unseres Lösungsportfolios anbieten: Die Übersicht darüber, was auf der Welt gerade an Bedrohungen passiert, wo sich gerade diese aktuellen Threats abspielen. Diese Informationen lassen wir live in unsere Systeme einfließen. Das ist ein Service von uns, damit man erkennen kann:
"Oh, hier ist etwas nicht normal. Wir haben sogar am anderen Ende der Welt schon mal einen ähnlichen Vorfall zu verzeichnen gehabt. Dahinter versteckt sich ein bestimmter Angriffs-Vektor. Bitte stoppen."
Kommunikation ist angesagt: In der Industrie müssen wir uns viel mehr untereinander austauschen. Nur so können wir uns auf neue IT-Bedrohungen und Risiken, die auf uns zukommen, einstellen. Denn eines steht fest: "Assume you are compromised. Geh' davon aus, dass der Angreifer in deinem Netz ist".
Haben heute Risk Management und IT-Security einen höheren Stellenwert im Unternehmen als früher?
Scheer: Durchaus. Wir sehen heute, dass sich der CIO viel stärker als früher dem Security-Thema öffnet. Außerdem bemerken wir bei unseren Kunden, dass in diesem Bereich stetig neue Stellen geschaffen werden: Wir sehen den Chief Security Officer viel häufiger, wir sehen einen Chief Risk Officer viel häufiger, wir sehen einen Chief Compliance Officer viel häufiger. Diese Positionen gab es früher so nicht. Da wurde alles subsumiert in einer Person. Heute ist alles so komplex, dass es verschiedene Ansprechpartner gibt.
RSA, EMC: ra)
RSA: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>