Anton Kreuzer, CEO (r.) und Udo Riedel, Unternehmensgründer (l.) des deutschen Security-Spezialisten DriveLock sprechen über moderne Sicherheitskonzepte mit einem datenzentrischen Ansatz.
Herr Kreuzer, welche Entwicklungen gab es in den vergangenen Jahren mit Blick auf die IT-Sicherheit?
Kreuzer: Einerseits sind die Angriffe deutlich mehr geworden und haben eine sehr hohe Qualität. Mittlerweile haben wir es mit einer Reihe von ausgesprochen professionell agierenden Tätern zu tun. Andererseits sind Hacker faul – oder freundlicher formuliert – effizient. Weil es billiger ist, bekannte Schwachstellen auszunutzen als neue ausfindig zu machen, setzen sie darauf, dass Unternehmen Patches und Updates nicht regelmäßig einspielen. In 99 Prozent aller Fälle von Datenklau war genau das das Problem. Daraus lässt sich ableiten, dass Unternehmen »Zero-Day-Attacken« nicht überpriorisieren sollten.
Welche besonderen Herausforderungen entstehen durch Megatrends wie Digitalisierung und Internet der Dinge?
Kreuzer: In diesem Bereich wiederholt sich gerade einer der Geburtsfehler des Internets. Dazu ein bisschen IT-Geschichte: Bereits Mitte der 60er Jahre waren die technischen Grundlagen für das Internet gelegt und schon gegen Ende der 70er Jahre setzte ein massiver Boom bei vernetzten Rechnern im Unternehmensbereich ein. Erst 18 Jahre später, im Jahr 1988, gab es dann die erste Malware, die sich über das Internet verbreitete. Der durch ein Versehen entstandene Morris-Wurm legte 6.000 von 60.000 Internet-Hosts lahm.
Erst dann wurde das Thema IT-Sicherheit überhaupt angegangen. In den Jahren zuvor hat es einfach keine Rolle gespielt. Dass Sicherheit nicht ein zentraler Bestandteil der grundsätzlichen Netzarchitektur ist, macht uns heute sehr zu schaffen. Letztlich werden immer wieder nur Lücken gestopft und grundsätzliche Mängel durch Hilfskonstruktionen beseitigt.
Inwiefern wiederholt sich dieser Prozess nun?
Kreuzer: Die Vernetzung von Maschinen, Sensoren und unterschiedlichen Devices wird mit viel Euphorie vorangetrieben. Laut der Umfrage Digital Transformation Security Survey verfolgen 97 Prozent der Unternehmen derzeit Projekte in den Bereichen Business Enabling, Cloud Infrastructure, Mobile, Cloud Applications oder Internet of Things. Aber nur 18 Prozent der Befragten gaben an, dass dabei auch Sicherheitsaspekte von Anfang an Teil der Überlegungen waren. Das spricht doch eine deutliche Sprache.
Mit welchen Konzepten können Unternehmen sich schützen?
Kreuzer: In der Vergangenheit wurden Daten wie in einer Burg mit hohen Mauern geschützt. Niemand sollte von außerhalb darauf zugreifen dürfen. Dieses Konzept funktioniert heute überhaupt nicht mehr. Mit der engen Verzahnung zwischen Unternehmen und Dienstleistern, dem Trend zum Home Office und mobilen Mitarbeitern sind die Daten in einem permanenten Fluss. Deshalb müssen Unternehmen entscheiden, ob die Datenisolation heute noch das richtige Modell für sie ist oder ob permanenter Zugriff nicht doch das ist, was sie eigentlich wollen.
Geht das ohne das Risiko vor Datenverlusten?
Riedel: Wer seine Daten ganz ohne Risiko lagern möchte, wird höchstwahrscheinlich auch kein Geld verdienen. Letztlich müssen Unternehmen selber entscheiden, wie weit sie gehen möchten. Gleichzeitig ist Endpoint Security heute nur noch garantiert, wenn mehrere Bereiche perfekt ineinander greifen: Der Cloud Access Security Broker (CASB) kümmert sich um den Zugang zur Cloud und deren Schutz. Er muss einen umfassenden Überblick über die gesamte Cloud-Nutzung im Unternehmen bieten, die Einhaltung von Compliance-Initiativen überwachen und das Anlegen von Policies ermöglichen, Schutz und Analyse von internen und externen Bedrohungen liefern, kritische Daten verschlüsseln und sich um die Vergabe von Zugriffsberechtigungen kümmern.
Schon heute bieten das viele Tools. Gefragt ist jedoch die Endpoint Security der nächsten Generation. Bei dieser werden auch die Ansätze People Centric Security (PCS) sowie Data Centric Audit and Protection (DCAP) berücksichtigt und integriert.
Was sind die Vorteile von DCAP?
Riedel: Beim Data Centric Security Approach werden Daten je nach Art und Verwendungszweck individuell behandelt. Unternehmen – und letztlich die betroffenen Mitarbeiter – haben dabei die Möglichkeit, perfekt angepasste Policies zu entwickeln. Die Möglichkeiten sind im Prinzip unbegrenzt: Ein PDF mit elektronischer Unterschrift muss besser geschützt werden als ein bloßer Entwurf als Word-Datei. Beim Wort »Vertrag« im Dateinamen wird der höchste Schutz verwendet.
Eine weitere wichtige Rolle spielt die persistente Verschlüsselung – die Daten bleiben in jeder Phase verschlüsselt. Besonders hier trennt sich die Spreu vom Weizen, denn viele Anbieter versprechen zwar die Verschlüsselung, nutzen diese jedoch nur in der Cloud. Auf den eigenen Servern liegen die Daten ungeschützt.
Der dritte wichtige Aspekt, den eine solche Lösung abdecken muss, ist das umfassende Monitoring. Also die Frage, wer wann auf welche Daten zugegriffen hat.
Welche Vorteile hat der Ansatz People Centric Security?
Riedel: Im Kern geht es darum, dem Mitarbeiter mehr Verantwortung zuzuweisen und ihm zu vertrauen. Dadurch kann auf restriktive Sicherheitskontrollen und erzwungene Richtlinien und Regeln verzichtet werden. Somit wird seine Produktivität nicht länger eingeschränkt. Letztlich werden herkömmliche Sicherheitsstrategien über Bord geworfen. Zugleich bildet eine Lösung, die auf diesen Ansatz setzt, die Arbeit in einem modernen Unternehmen viel besser ab.
Weitere wichtige Vorteile sind die erhebliche Minimierung des Risikos, die individuelle Gestaltung von IT-Services und Produktivitätssteigerungen. Außerdem wird die IT-Abteilung nicht länger als Hindernis wahrgenommen, sondern als strategischer Partner bei risikobasierten Sicherheitsentscheidungen.
Was bietet die DriveLock-Lösung darüber hinaus?
Riedel: Mit DriveLock ist es möglich, den Datenaustausch in einer Simulationsumgebung zu testen. Im simulierten Praxiseinsatz können Unternehmen überprüfen, ob möglichst viel Usability mit viel Verantwortung für die Mitarbeiter oder höchste Sicherheit mit wenig Flexibilität zu einem besseren Ergebnis führen. Als Indikator dafür lässt sich zum Beispiel bestimmen, wie viele Dateien von welchen Mitarbeitern aus dem System gezogen und zum Beispiel auf USB-Sticks gespeichert werden. Darauf basierend können die Regularien verstärkt oder gelockert werden. Am Ende dieses Feintunings steht eine gute Balance zwischen Flexibilität für die Mitarbeiter und Sicherheit, bevor das System live geschaltet werden kann.
Warum ist DriveLock eine gute Antwort auf Sicherheitsprobleme im Industrie-4.0-Umfeld?
Kreuzer: DriveLock SE unterstützt viele alte Windows-Betriebssysteme (etwa Windows 98 und XP). Dies ist sehr ressourcenschonend, da die alte Hardware nicht entsprechend performant ist. Die Lösung ist echtzeitfähig, was im Umfeld der Industrie besonders wichtig ist. Mit Device- und Application Control sowie Festplattenverschlüsselung können Systeme umfangreich abgesichert werden.
Welches Risiko trägt der Faktor Mensch bei Industrial IT-Security?
Kreuzer: Maschinenbediener nutzen zum Beispiel USB-Schnittstellen um Smartphones und Tablets aufzuladen, die E-Zigarette mit Strom zu versorgen und somit kann Malware eingeschleust werden.
In der Fertigung wird verstärkt der 3-D-Druck einziehen. Welche Sicherheitsprobleme offenbart diese Art der Fertigung?
Kreuzer: Diese Art von Devices sind oft nicht gegen internen und externen Zugriff geschützt und besonders bei intern fehlenden Zugriffssteuerungen können wertvolle Produktinformationen unerlaubt abgerufen (kopiert) werden. DriveLock SE hat für die anstehenden Probleme die entsprechenden Lösungen, um Unternehmen unterschiedlicher vertikaler Märkte zu schützen.
Herzlichen Dank für das Gespräch.
Das Gespräch führte Philipp Schiede
Bilder: © Oleh Markov/shutterstock.com; drivelock
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
IT-Sicherheit, Cloud Computing und Internet of Things sind Top-Themen des Jahres 2017
Vorhersagen zu wachsenden IT-Sicherheitsbedrohungen werden Realität
IT-Sicherheit 2017: Sicherheitslücken im Internet der Dinge besser schließen
Verschärfte IT-Sicherheitslage: 2016 vermehrt Angriffe auf Linux und Mac OS
IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen
IT-Sicherheitstrends 2017: Datenschutz ist für die Wirtschaft am wichtigsten