EgoSecure setzt auf schöne IT-Security

Sergej Schlotthauer ist Chef des Software-Unternehmens EgoSecure, dessen Wurzeln bis in das Jahr 2005 zurückreichen. Der frühere Entwickler und IT-Leiter Schlotthauer befasste sich zunächst mit einer Lösung zur Verwaltung von USB-Sticks. „Schön einfach und unkompliziert sollte sie sein“, erläutert er im Gespräch mit com! professional. Denn schließlich interessiere es die meisten Unternehmen nicht, welche Technik sich hinter einer Lösung verbirgt, solange diese funktioniere und das alltägliche Geschäft nicht beeinträchtige.

„Das Problem bei Security ist, dass sie keiner haben will. Sie ist oft aufwendig, kostet Geld und bringt kein Geld ein. Daher hat sich EgoSecure zum Ziel gesetzt, diese negativen Eigenschaften von Security zu minimieren“, führt Schlotthauer weiter aus.

Daher musste eine praxisnahe und ganzheitliche Lösung her, wodurch sich das entwickelte Devicemanagement zu einer umfassenden Datasecurity-Lösung entwickelte, die heute das primäre Standbein der Ettlinger Firma darstellt.

Das Grundprinzip von EgoSecure baut dabei auf dem sogenannten C.A.F.E.-Prinzip auf, wobei C.A.F.E. für Control, Audit, Filter und Encrytption steht.

Regelt die Zugriffsrechte zu den einzelnen Datenspeichern auf Endpoints oder in der Cloud. So kann damit etwa festgelegt werden, dass eine Nutzergruppe Daten nur einsehen darf, während eine andere vollen Zugriff darauf hat. Hierdurch sollen sich laut Schlotthauer bereits viele potentielle Gefahrenquellen umgehen lassen.

Im zweiten Schritt wird die Nutzung der Daten protokolliert. Speziell personenbezogene Daten müsse man gemäß des Bundesdatenschutzgesetzes protokollieren, um nachzuweisen, welcher Nutzer wann auch welche Datei zugegriffen habe, so der Sicherheitsexperte. Um eine systematische Kontrolle der Mitarbeiter allerdings zu vermeiden, kann bei EgoSecure der Betriebsrat des jeweiligen Unternehmens als Kontrollinstanz mit einem eigenen Passwort zugeschaltet werden. „Damit können gesetzliche Vorschriften eingehalten werden ohne Mitarbeiter-Monitoring zu betreiben.“

„Einzelne Endpunkte oder die Cloud aus dem Firmennetz auszusperren, ist nicht zeitgemäß.“ Vielmehr solle gefiltert werden, welche Dateitypen wirklich genutzt werden dürfen. So können beispielsweise Dokumente freigeschalten werden, während ausführbare Dateien gesperrt sind. Hier können Unternehmen auch einen potentiellen Datenabfluss verhindern, indem sie bestimmen, dass Dokumente zwar in das Firmennetz aufgenommen, aber nicht nach außen geschickt werden dürfen.

„Grundsätzliche gilt bei uns die Vorgabe, dass Daten möglichst verschlüsselt den Rechner verlassen, egal ob sie im Netzwerk, in die Cloud oder auf einen USB-Stick übertragen werden. Daher verwendet unsere Lösung eine On-the-fly-Verschlüsselung, die ohne Zutun des Nutzers funktioniert.“ Verliert ein Mitarbeiter beispielsweise einen USB-Stick, auf dem Unternehmensdaten gesichert sind, kann dennoch nicht auf die Daten zugegriffen werden. Außerdem könne man damit Ängste vor der Cloud-Nutzung beseitigen, da die Daten ohnehin nur verschlüsselt auf die Rechenzentren übertragen werden und die dazugehörigen Schlüssel niemals das eigenen Firmennetz verlassen.

In der Praxis soll die Lösung von EgoSecure für den einzelnen Mitarbeiter an sich nicht wahrnehmbar sein. Erst wenn Regeln verletzt und gewisse Tätigkeiten blockiert werden, zeigt sich die Dataprotection. Zusätzliche Passworte oder Schulungen für die Mitarbeiter sind nicht erforderlich, wodurch weiterer Aufwand für die Admins vermieden wird.

Mit diesem Sicherheitskonzept hat EgoSecure bislang über 2.000 Kunden in 42 Ländern überzeugt, wobei der Großteil davon im DACH-Raum angesiedelt ist. Die Spanne reicht von kleinen Betrieben bis hin zu Großkonzernen aus der Automobil oder Finanzbranche. Mit dabei ist etwa auch die Deutsche Telekom, die 167.000 Lizenzen besitzt.

Von anderen Dataprotection-Lösungen will sich der Hersteller vor allem durch seinen Funktionsumfang abheben: So gebe es etwa viele Verschlüsselungs-Tools für einzelne Komponenten wie etwa die Cloud oder andere Datenspeicher. Lösungen, die sämtliche Endpunkte und Speicher abdecken und gleichzeitig eine Protokollierung samt Zugriffsregelungen bieten, gebe es hingegen bedeutend weniger und genau dort setze EgoSecure an, so der Firmenchef.

Eine weitere Differenzierung von anderen Herstellern will EgoSecure mit Insight bieten: „Die Lösung analysiert die Gesamtsituation im Netzwerk und zeichnet unter anderem auf, welche Anwendungen und USB-Speichermedien genutzt werden, was auf ihnen gespeichert wird und welche Daten in der Cloud landen." Damit erhalten Kunden einen Überblick und können selbst entscheiden, ob Gefahrenquellen im Unternehmen bestehen oder nicht.

Zur CeBIT (Stand J15 in Halle 6) will EgoSecure außerdem eine neue Version vorstellen, die Insight mit einer Automatisierung verbindet. Diese soll das Netzwerk permanent auf Anomalien prüfen und im Bedarfsfall einschreiten. So können sich Admins etwa automatisch alarmieren lassen, sobald etwa ungewöhnlich viele Daten in die Cloud transferiert werden. Ebenso möglich sei es, den betroffenen Account automatisch zu sperren.

Die größte Herausforderung für Cyber-Security sieht der EgoSecure-Chef aktuell in der fehlenden Awareness am Markt. Viele Unternehmen seien davon überzeugt, allein mit einer Firewall und Antivirus-Tools für ausreichend Sicherheit zu sorgen.

"Besonders der Mittelstand will sich häufig nicht mit der Thematik befassen, da viele Unternehmen den potentiellen Schaden durch fehlende IT-Security nur schwer erfassen können." Prinzipiell seien Sicherheitslösungen mit Versicherungen vergleichbar. Man investiere, um den potentiellen Schaden zu minimieren.

Eine weitere Herausforderung besteht in der Abkehr von der Dämonisierung von Gefahren. Es mag zwar Cyberkriminelle geben, die viel Energie dafür aufwenden, um an sensible Daten zu gelangen, aber viele Gefahren entspringen der menschlichen Natur und sind keineswegs bösartig. „Die meisten Probleme entstehen intern, durch Mitarbeiter die einmal einen Fehler begehen und beispielsweise einen USB-Stick verlieren. Und dieses Problem hat jede Firma, denn auch ganz normale, alltägliche Vorgänge können schiefgehen.“