Sie sind hier: Home » Markt » Interviews

Das Security-Denken verändert sich


Interview mit Roger Scheer, Regional Director Germany bei RSA: "Wir sehen einen Chief Compliance Officer viel häufiger"
Risk Management und IT-Security besitzen heute einen höheren Stellenwert im Unternehmen als früher

Roger Scheer, RSA:
Roger Scheer, RSA: "Wir als RSA sagen: "Assume you are compromised", Bild: RSA - EMC

(16.09.13) - In der neuen Welt von Cloud und Big Data ist das Thema "Trust" - Vertrauen - essentiell. EMC subsumiert darunter drei Themen: "Identifying & Repelling Threats" (d.h. Identifizierung und die Abwehr von Bedrohungen - Advanced Security), Datenschutz- und Sicherheit (Integrated Backup & Recovery) sowie die Sicherstellung der Verfügbarkeit von Daten, Applikationen und Systemen (Continuous Availability). Gerade die Identifizierung und die Abwehr von Bedrohungen stellen auf Security-Seite eine neue Herausforderung dar. Roger Scheer, Regional Director Germany bei RSA, The Security Division of EMC, erklärt, warum.

Welche Auswirkungen haben Cloud Computing und Big Data auf das Security-Umfeld von Unternehmen?

Roger Scheer: Ich glaube, dass Big Data und Cloud einen Paradigmenwechseln bei den Sicherheitsanforderungen zwingend erfordern. Die dunkle Seite der Macht ist technologisch und monitär exzellent aufgestellt und will mit den wertvollen Daten, den Kronjuwelen des Unternehmens, Geld verdienen. Diesen Cyber-Kriminellen wird es auch immer gelingen, in die Netzwerke einzudringen. Warum? Weil die klassischen perimetrischen Sicherheitslösungen nicht mehr ausreichend Schutz bieten. Sie sind signaturbasiert. Heutige Angriffe sind sogenannte Advanced Persistent Threats (APTs), zielgerichtete, komplexe Angriffe, und mit herkömmlichen Methoden nicht erkennbar.

Lesen Sie zum Thema "Cloud Computing" auch: SaaS-Magazin.de (www.saasmagazin.de)

Die Angreifer wissen manchmal besser über die internen Prozesse des Unternehmens Bescheid als das Unternehmen selbst, das von ihnen attackiert wird. Diese Angreifer finden die Kronjuwelen, ziehen diese ab, löschen alle Spuren wie z.B. Log Files und verschwinden. Die Cyberkriminellen von heute sind sowohl technologisch als auch von ihrem Business-Know-how sehr gut aufgestellt.

RSA geht davon aus, dass nahezu jedes Unternehmen bereits attackiert wurde. Ist das richtig?

Scheer: Ja, wir als RSA sagen: "Assume you are compromised" - Gehen Sie als Unternehmen davon aus, dass ein Hacker in Ihr Netzwerk eingedrungen ist und Sie dies nicht mit den alten perimetrischen, signaturbasierten Sicherheitstechnologien erkannt haben bzw. erkennen können. Das heißt auch, die Unternehmen benötigen einen neuen Sicherheitsansatz - gerade in Zeiten von Big Data und Cloud -, um zu begreifen, was eigentlich im Unternehmens-Netzwerk vor sich geht. Wenn ich als IT-Administrator nicht erkenne, dass ein Angreifer in meinem Netzwerk ist, weiß ich auch nicht, wie ich mich dagegen schützen soll. Ich sehe ihn ja nicht, und der Angreifer kann warten. Er hat viel Geduld, um sein Ziel zu ereichen.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Es gibt Studien, die herausgefunden haben, dass Cyber-Kriminelle mehrere Monate im Netzwerk eines Unternehmens unerkannt und still verweilen. Erst wenn sie sich die entscheidenden Zugriffsmechanismen "abgephisht" haben, wird zugeschlagen.

Im Grunde gibt es zwei Klassen von Firmen: Die einen wissen, dass sie gehackt wurden, und die anderen sagen: "Wir sind nicht gehackt worden", aber wissen nur nicht, dass sie doch gehackt wurden. Wir reden über eine Hyper-Connect-World. Alles ist vernetzt, und das machen sich auch Angreifer zu Nutze. Wenn wir über Big Data sprechen, sprechen wir über Daten, die für Unternehmen einen hohen Nutzen besitzen - aber eben auch für Cyber-Kriminelle. Diese Daten muss ich zu schützen wissen.

Hoffnungsträger Big Data
Hoffnungsträger Big Data Mit Big Data-Technologien Cyber-Attacken abwehren, Bild: EMC


Die Ausgaben für Security steigen doch stetig. Läuft trotzdem was falsch?

Scheer: Derzeit gehen 85 Prozent aller Investitionen im Bereich Security noch in präventive Maßnahmen wie Antivirus-Technologien, Firewalls und dergleichen. Lediglich 10 Prozent der Security-Ausgaben wandern in den Bereich Monitoring / Detecting und nur 5 Prozent werden im Bereich Response eingesetzt, d.h. in Reaktions-Technologien. Um aber Advanced Persistent Threats zu erkennen, sollte ich meine IT-Security-Investitionen mehr im Bereich Monitoring / Detecting und Remediation platzieren, nur dann erreicht ein Unternehmen einen breitbandigen Schutz.

Egal, ob ich ein DAX-30-Unternehmen oder ein Mittelständler bin - es geht um die Intellectual Property - und die muss geschützt werden. Deutschland ist ein Ingenieursstandort, und wir investieren viel mehr als andere Länder in Research und Development. Ratsam also ist eine Drittelung der Security-Investitionen zwischen Prevention, Monitoring und Response.

Wird Big Daten das Security-Bewusstsein verändern?

Scheer: Ja. Im Zeichen der Big Data-Analyse heißt es auch: "Ich habe soviel Daten - welches sind denn meine kritischen Daten?" Er wird immer schwieriger bei all der Datenvielfalt zu erkennen, wenn Informationen ein auffälliges Verhalten anzeigen. Wir sprechen hier von Anomalien. Und diese Anomalien sollte man sehr schnell erkennen, weil man ja viel mehr Daten als früher zur Analyse heranziehen kann. Big Data und Cloud haben eine große Auswirkung auf das Security-Denken, Security-Strategien und -Technologien, die man einsetzen muss, weil man in Echtzeit viele Daten zu analysieren hat. Big Data wird für das Security-Bewusstsein eine ganz neue Bedeutung erlangen.

Wichtig ist, dass wir uns dem Thema öffnen: "Allein der Schutz am Perimeter, das reicht nicht mehr." Der IT-Verantwortliche muss in einer Hyper-Connected-World die IT-Security garantieren, die Verfügbarkeit garantieren, Backup und Archivierung garantieren, obwohl er nicht mehr der alleinige Owner der IT-Infrastruktur ist. In Zeit der Advanced Persistent Threats muss die IT-Security die sogenannte "Dwell Time", also die Verweildauer, d.h. die Zeit, in der ein Angreifer sich im Unternehmensnetz befindet, entscheidend verkürzen. Der Prozess läuft ja so ab: Der Angreifer kommt ins Netzwerk, wird nicht gesehen und hat Zeit, sich in Ruhe erst mal zu orientieren, um dann zuzuschlagen. Je schneller man aber realisiert, dass da etwas nicht Normales im Netzwerk passiert, desto geringer wird der Schaden sein.

Neue IT-Technologien im Bereich Security: Erfordert dies auch eine personelle Aufstockung der IT-Security-Abteilungen?

Scheer: Ja, auch und gerade in den Zeiten von Big Data muss ich in der Lage sein, zu erfassen, was nicht normal ist. Dazu brauche ich entsprechende Strategien und Technologien, diese großen Datenmengen auch analysieren zu können. Dazu wiederum braucht man aber auch neue Skills, d.h. es werden auch neue Mitarbeiter notwendig sein, die in der Lage sind, Business-Prozess-, Applikations-, Netzwerks- und Speicherinfrastruktur-Themen in Korrelation zu setzen. Wenn sie einen Incident, einen Zwischenfall im Unternehmen sehen, müssen sie ableiten können: "Das ist nicht normal." Sie müssen in Echtzeit auf solche Incidents reagieren können.

Um einen Zwischenfall richtig bewerten zu können, brauchen Sie aber auch externe Threat-Intelligence. Das ist etwas, was wir als RSA beispielsweise im Rahmen unseres Lösungsportfolios anbieten: Die Übersicht darüber, was auf der Welt gerade an Bedrohungen passiert, wo sich gerade diese aktuellen Threats abspielen. Diese Informationen lassen wir live in unsere Systeme einfließen. Das ist ein Service von uns, damit man erkennen kann:

"Oh, hier ist etwas nicht normal. Wir haben sogar am anderen Ende der Welt schon mal einen ähnlichen Vorfall zu verzeichnen gehabt. Dahinter versteckt sich ein bestimmter Angriffs-Vektor. Bitte stoppen."

Kommunikation ist angesagt: In der Industrie müssen wir uns viel mehr untereinander austauschen. Nur so können wir uns auf neue IT-Bedrohungen und Risiken, die auf uns zukommen, einstellen. Denn eines steht fest: "Assume you are compromised. Geh' davon aus, dass der Angreifer in deinem Netz ist".

Haben heute Risk Management und IT-Security einen höheren Stellenwert im Unternehmen als früher?

Scheer: Durchaus. Wir sehen heute, dass sich der CIO viel stärker als früher dem Security-Thema öffnet. Außerdem bemerken wir bei unseren Kunden, dass in diesem Bereich stetig neue Stellen geschaffen werden: Wir sehen den Chief Security Officer viel häufiger, wir sehen einen Chief Risk Officer viel häufiger, wir sehen einen Chief Compliance Officer viel häufiger. Diese Positionen gab es früher so nicht. Da wurde alles subsumiert in einer Person. Heute ist alles so komplex, dass es verschiedene Ansprechpartner gibt.
RSA, EMC: ra)

RSA: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Orientierung am "Goldstandard" DSGVO

    "Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen