„Wir müssen die Bad Guys draußen halten“

Amit Yoran: Nun, wir waren mit einem Stand vertreten und Joe Tucci hat uns in einer seiner Keynotes vorgestellt.

Yoran: Gute Frage. Ich glaube, die Veranstaltung war nur zwei Wochen nach unserer RSA-Konferenz in San Francisco. Diese Konferenz führen wir jedes Jahr durch und sie ist immer sehr gut besucht.

Yoran: Dieses Jahr haben wir 33.500 Besucher gezählt. Die Konferenz ist die größte Security-Veranstaltung weltweit.

Yoran: Ja, genau. Danke.

Yoran: Wir sind nicht wichtiger als EMC, aber in der Welt der Security haben wir eine gewisse Bedeutung. Nicht nur als RSA mit unseren Lösungen und Services, sondern auch als allgemeines Event für andere Anbieter. Das letzte Mal hatten wir mehr als 500 Unternehmen, die als Sponsoren und Aussteller bei uns vertreten waren, darunter auch viele unserer Konkurrenten.

Yoran: Da stimme ich Ihnen zu, aber darüber müssten Sie mit Joe Tucci sprechen.

Yoran: Ich glaube, man kann drei Generationen von Security-Tools unterscheiden. In der ersten Generation ging es eher um einfache Angriffe auf die IT von Unternehmen. Es waren viele Teenager am Werk und zum Teil wurde aus Neugier gehackt. Hauptsächlich ging es da­rum, Passwörter zu knacken oder nach Schlupflöchern in Firewalls zu suchen. Auch wurden erste Intrusion-Detection-Versuche unternommen.

Dann kamen Antivirus-Produkte in Mode und wir erlebten die zweite Generation: Die Angreifer gingen überlegter vor und hatten auch mehr IT-Kenntnisse. Und sie erkannten, dass man auf diesem Gebiet Geld verdienen kann. Ungefähr ab dem Jahr 2000 haben Cyberkriminelle mit Zero Day Exploits begonnen, mit angepassten Attacken. Sie haben nicht mehr nur Kopien irgendeines Virus eingesetzt, sondern neue Malware, zielgerichtete Software, um bei den angegriffenen Unternehmen ganz bestimmte Manipulationen oder Schädigungen der IT herbeizuführen.

In diese Zeit fiel auch das Aufkommen von Next Generation Firewalls. Sie hatten sich auf die neuen Angriffsmethoden eingestellt. Ihre Aufgabe: das Erkennen und Vermeiden von bisher nicht gekannten Angriffen.

Jetzt leben wir in einer Zeit, in der es eine neue Qualität von Attacken gibt – durch Staaten und organisierte Kriminalität. Wir wissen nicht zuletzt durch die Snowden-Enthüllungen, dass hier die US-Regierung und inzwischen praktisch jede Regierung auf dem Globus aktiv ist. Mit diesen Formen von Cyberkriminalität sind wir etwa seit 2010 konfrontiert.

Yoran: Eigentlich ist es simpel. Wir müssen versuchen, die Bad Guys außen vor zu lassen, was vor allem bedeutet, grundsätzlich geeignete Gegenmaßnahmen sowie Präventionsmöglichkeiten zu entwickeln. Für uns als RSA heißt das auch, einen ganzheitlichen Ansatz zu entwickeln und in die Praxis umzusetzen. Das unterscheidet uns von den meisten unserer Konkurrenten, die sich nur auf Einzelaspekte konzentrieren.

Unsere Leitlinie lautet: Wenn die Bad Guys in Computer und Netzwerke eines Unternehmens eingedrungen sind, wie lässt sich dann der Schaden begrenzen? Wir müssen schneller erfahren, ob etwas passiert ist. Und wir müssen schneller reagieren können.

Yoran: Nein. Und sie haben es sogar leichter als in der Vergangenheit. Weltweit haben wir es mit einer Unzahl an Regelungen und Gesetzen zu tun, die international operierenden Gruppen vielmehr Möglichkeiten lassen als früher. Es mangelt an der wirksamen gemeinsamen Bekämpfung der Cyberbedrohungen.

Die Cyberkriminellen können angesichts der vielen nationalen Gesetze schnell das Territorium wechseln. Sie und die diversen Regierungen mit ihren Internetaktivitäten arbeiten letztlich in völliger Straffreiheit – in einem rechtsfreien Raum. Das Resultat ist eine sehr aggressive Bedrohung der Web- und Computing-Strukturen weltweit.

Yoran: Ja, eine interessante Gemeinschaft, mit der wir es da zu tun haben. Das hört sich nicht gut an, ist aber die Realität.

Yoran: Es gibt eine Reihe von Initiativen zum Schutz von Daten, die einige Regierungen ins Auge gefasst haben, so in Deutschland, Frankreich und auch in den USA.

Auf der anderen Seite behalten sich Regierungen das Recht vor, auf verschlüsselte Informationen zuzugreifen. Es gibt konkurrierende Interessen der Regierungen, was ihre Geheimdienst-, Verteidigungs- oder Cyberspace-Aktivitäten angeht.

Unternehmen und ganze Volkswirtschaften hängen von einer sicheren Internetumgebung ab, während die Regierungen das nur teilweise zum Ziel haben.

Yoran: Nicht alles ist von der Wirtschaft bestimmt, der Staat hat seine eigenen Interessen – die sich von denen der Gesetzgebung oder der nationalen Verteidigung unterscheiden.

Yoran: Wenn man amerikanische Security-Reports liest, dann scheint es ausgemacht, dass die Angreifer mehrheitlich aus Russland oder China stammen. Liest man Reports aus russischen Quellen, dann wird auf die USA als eigentlicher Urheber all der Cyberangriffe gedeutet. Die Wahrheit ist, dass es für jedes Unternehmen, vor allem wenn es international tätig ist, viele potenzielle und reale Angreifer gibt. Man muss sehr aufmerksam sein und sich gegen Regierungen und Cyberkriminelle schützen. Die Bad Guys finden sich in allen Regierungen und in kriminellen Organisationen.

Es gibt eine Reihe von Studien, zum Beispiel von Blurr oder von Verizon, die sich gründlich damit befassen, wer mit diesen Aktivitäten Geld verdient.

Yoran: Das ist schwer zu sagen. Nehmen wir als Beispiel die Rüstungsindustrie in den USA: Das Verteidigungsministerium hat zwar die Sicherheitsmaßnahmen dieses wichtigen Wirtschaftszweigs beobachtet und kontrolliert, aber der Security-Standard war an vielen Punkten nicht besonders ausgereift. So gelang es China, diverse Cyberattacken gegen einige dieser Unternehmen zu starten. Schließlich griff die US-Regierung ein, um die Sicherheit zu verbessern.

Dasselbe finden wir in der Finanzbranche. Die meisten Banken haben im Lauf der Jahre viel in die Sicherheit investiert und verfügen über diverse Kontrollmechanismen. In der Folge haben sich professionelle Hacker weniger gut geschützte Ziele oder Ziele in der Supply Chain der Banken gesucht, um von deren Lieferanten von Produkten oder Dienstleistungen aus in die Banksysteme einzubrechen. Für diese Problematik haben wir eine Plattform namens „Vendor Risk Management“ eingerichtet, um Unternehmen bei der Analyse ihrer Supply Chain und möglicher Gefahren zu unterstützen.

Yoran: Wir haben keine Tools, die sich mit Daten in ihren verschiedenen Phasen befassen. Aber wir beobachten unterschiedliche Gefahren für Daten, die online, beim Backup oder im Archiv sind. Ob Security-Tools sinnvoll sind, hängt davon ab, für was die Daten benutzt werden.

Yoran: Nun, dadurch sind wir ein großer Partner für T-Systems, Verizon oder andere Anbieter, die nicht IBM sind. Das eröffnet uns neue strategische Geschäftsmöglichkeiten. Letztlich kommt es darauf an, sich auf bestimmte Kernbereiche zu konzentrieren – in unserem Fall auf die besten Technologien für Security. Und das machen wir ganz erfolgreich.

Im Übrigen haben wir auch eigene Services im Programm – zum Beispiel „Consumer Online Banking“, ein Service, der von über 400.000 Usern bei den meisten großen Banken weltweit eingesetzt wird. Wir überwachen das Online-Banking und greifen ein, wenn es zu verdächtigen Transaktionen kommt. Im Juni 2015 haben wir „Identity as a Service“ he­rausgebracht. Mit „SecurID“ sind wir der führende Anbieter von Identification-Software. Und auf unserer letzten RSA-Konferenz in San Francisco haben wir die Plattform „VIA“ angekündigt, mit der Unternehmen die User-IDs für mehrere mobile Geräte und Cloud-Software „as a Service“ verwalten können – darunter Office 365, Salesforce, Box und ähnliche Angebote. Das fügt sich in unsere bestehenden Produkte für Managed Services ein.

Yoran: Ja. Es geht uns auch etwas um die Skalierung unserer Produktpalette, wir wollen nicht stehen bleiben. Wir sind ein Unternehmen mit 3000 Mitarbeitern, und mit denen allein können wir nicht alle Sicherheitsbedürfnisse auf dem Globus abdecken. Die Kunden können sich aussuchen, mit wem sie unsere Services einsetzen wollen – mit uns als RSA oder mit unseren „Trusted Partners“ wie T-Systems und anderen.

Yoran: Wir haben eine Menge in der Pipeline. Dabei konzentrieren wir uns auf drei Gebiete. Erstens: Authentication und Identity Management, weil dies kritisch für alle Bedrohungen ist. Wir investieren hier viel in mobile Plattformen, Services oder Anwendungen, was wir bisher nicht so intensiv gemacht haben. Zweitens wollen wir den Unternehmen beim Next-Generation-Security-Monitoring helfen, On-Premise, aber auch bei den cloudbasierten Services. Das dritte Gebiet betrifft Governance Risk and Compliance, bei dem wir einen engeren Business-Zusammenhang liefern wollen, indem wir die Geschäftsrisiken in den Vordergrund rücken.

Yoran: Leider kann ich nicht die Regierungspolitik diktieren, weil ich nicht der US-Präsident bin, sondern nur der von RSA.