Adam Philpott, Director EMEAR Cyber Security von Cisco Systems, war diese Woche anlässlich des KSÖ Sicherheitskongresses in Wien. Computerwelt.at hat die Gelegenheit genutzt, um mit dem Security-Experten über die aktuellen Gefahren und Herausforderungen am Security-Sektor zu sprechen – und wie es mit der IT-Sicherheit im anbrechenden Zeitalter des "Internet of Everything" aussehen wird. [...]
Heartbleed, Shellshock, der Sony-Hack, die Equation Group, Carbanak … In den letzten Jahren, sogar in den letzten Wochen, waren die Medien voll von Berichten über neue Hacks, Exploits und Cyber-Attacken. Man könnte meinen, dass der Security-Gedanke langsam in den Köpfen der Menschen angekommen sein sollte. Auf der anderen Seite gibt es Untersuchungen, wie beispielsweise den aktuellen Annual Security Report von Cisco, die belegen, dass viele Unternehmen nicht ausreichend vorbereitet sind. Wieso ist das so? Können Sie sich das erklären?
Adam Philpott: Eine der wichtigsten Zahlen unseres Annual Security Reports ist, dass etwa 90 Prozent der befragten Unternehmen das Gefühl haben, sie hätten gute Defensiv-Tools. Aber 57 Prozent mussten zugeben, dass es bei ihnen trotzdem Security-Vorfälle gegeben hat. Das ist eine interessante Schere, die da aufgeht: Ich glaube ich bin gut vorbereitet, und werde dennoch gehackt.
IT-Security ist ein sehr dynamisches Feld. Die Angriffe sind sehr fortschrittlich, es wird immer leichter, solche Angriffe selbst durchzuführen und die Art, wie Attacken ausgeführt werden, ändert sich ständig. Wir haben im Annual Security Report noch ein paar weitere Dinge herausgefunden. Eines davon ist, dass oft die Basics vernachlässigt werden. Patching findet zum Beispiel nicht ausreichend statt. Eine weitere Zahl aus dem Report: 56 Prozent der Befragten haben OpenSSL-Versionen installiert, die älter als 50 Monate sind – trotz des massiven Sicherheitsproblems mit Heartbleed. Es kriselt also schon bei den Basics und ich denke, das ist weil es einfach so viel zu tun gibt. Laut unserem letztjährigen Security Report gibt es außerdem ein Defizit von einer Million Security-Experten weltweit. Es gibt also auch zu wenige Fachleute.
Überspitzt formuliert: Sind es wirklich die Kriminellen, denen man die Schuld daran geben sollte, dass sie schwache Sicherheitsvorkehrungen und einfache Exploits ausnutzen? Sollte Software nicht sicherer geschrieben werden? Oder sind es die User, beziehungsweise die Unternehmen, die dem Hacker seinen Job zu leicht machen?
Ich würde niemals dem Opfer die Schuld an einem Verbrechen geben. Die Schuld trägt immer einzig und allein der Übeltäter. Aber klar: Wenn man seine Vordertüre offen lässt, dann gäbe es sicher mehr, dass man zu seinem Schutz tun könnte. Unternehmen haben die Verpflichtung, sich so gut wie möglich zu schützen. Es ist eine Verpflichtung gegenüber ihren Kunden, deren Daten, ihren Mitarbeitern und ihren Shareholders.
Es gibt bei unseren Kunden vernünftige Abwehrmaßnahmen die greifen, bevor ein Angriff stattfindet – Application Visibility Control, Firewalls, Identity Access Management. Die entwickeln sich ständig weiter, und das ist auch gut so. Einige unsere Kunden, die schon etwas weiter sind, haben auch gute Maßnahmen getroffen, um einen laufenden Angriff zu bemerken – beispielsweise Content Security, Web- und E-Mail-Security, Next-Generation Intrusion Prevention Systems. Bei unseren fortschrittlicheren Kunden sehen wir aber immer mehr Investments, die in die „After Attack“-Phase gehen. Sie wissen, dass sie selbst mit den besten Abwehrmaßnahmen der Welt niemals zu hundert Prozent sicher sein werden. Deswegen wollen sie sicher gehen, dass sie die richtigen Prozesse, Leute und Tools haben um schnell zu erkennen, dass sie gehackt wurden – und um herauszufinden, welche Systeme kompromittiert worden sind. Es ist eine Sache zu wissen, dass man gerade gehackt wurde, aber eine ganz andere auch zu wissen, was dabei genau passiert ist.
Wie Sie gerade gesagt haben: Es gibt keine hundertprozentige Sicherheit. Aber wie kann ein Unternehmen sein Security-Niveau überprüfen und herausfinden, was es noch zu tun gibt?
Es gibt eine Reihe von Frameworks, Services und Tools, die dazu genutzt werden können den aktuellen Stand seiner IT-Security zu überprüfen: Blue Team/Red Team, Penetration Tests, Security-Audits und -Assessments, auch Compliance gehört da dazu. Außerdem gibt es die Möglichkeit, beispielsweise im Rahmen von Foren und anderen Veranstaltungen – wie auch dem KSÖ Sicherheitskongress – Informationen mit anderen Unternehmen und Experten zu teilen. Alles in Allem ist es wichtig eine richtige Security-Strategie zu entwickeln, und keine reaktive Konsum-orientierte Strategie nach dem Muster: Ich habe gerade ein Problem und kaufe mir jetzt eine Lösung dafür. Wir nennen das eine „accidental architecture“. Auf diese Weise können sich Unternehmen nicht länger schützen. Die Komplexität und Fragmentierung dieser Systeme steht dem entgegen, was die Unternehmen damit erreichen wollen. Es geht um einen holistischeren Ansatz beim Thema Security. Es geht darum wie die Architektur, die man hat, und die Technologien, die man nutzt, integriert werden können, damit sie Teil eines Systems werden, statt eines Sets von getrennten Silos – und wie die Prozesse und Mitarbeiter in dieses System passen. 
Dieser System-Ansatz ist sehr interessant. Wenn man Lösungen von vielen verschiedenen Anbietern im Einsatz hat, dann arbeiten die meistens nicht sehr gut zusammen und man braucht viele Mitarbeiter, um sich um diese Umgebung zu kümmern. Das ergibt keine Plattform die besonders gut geeignet ist, um sich zu schützen. Wir versuchen deswegen einen Plattform-Ansatz. Cisco ist ein Networking-Anbieter. Wir haben einen ordentlichen Networking-Footprint und damit verbunden Big Data, was uns hilft unsere Kunden zu schützen. Wir sammeln Informationen im Netzwerk, die auf einer übergeordneten Ebene analysiert werden, und die dann automatisiert getroffenen Entscheidungen werden im Netzwerk, auf den Access Points und Switches, umgesetzt. Das ist eine sehr mächtige Plattform. Dabei geht es nicht nur um Informationen aus lokalen Netzen. Cisco ist ein globales Unternehmen, wir sammeln Security-relevante Daten in einem riesigen Netzwerk – und teilen sie mit unseren Kunden.
Wenn Sie von automatisierten Entscheidungen sprechen, die das Netzwerk selbst trifft, könnte man denken es ist gar nicht schlimm, dass so viele Security-Experten fehlen. Brauchen wir vielleicht bald keine Security-Profis mehr, wenn alles automatisch läuft?
Unglücklicherweise – oder glücklicherweise – nein. Es geht darum, den Experten die simplen Tasks abzunehmen und so Kapazitäten für wichtigere Aufgaben freizumachen. Machine Learning, künstliche Intelligenz, alle diese algorithmischen Fähigkeiten machen uns besser darin, Gefahren automatisiert zu erkennen. Aber wir brauchen die Menschen für wichtigere Dinge, als nur die Maschinen am Laufen zu halten.
Welches sind heute die größten Gefahren für die IT-Sicherheit von Unternehmen?
Die Angriffsvektoren ändern sich ständig. Wir schützen uns vor der einen Art von Attacken und schon taucht die nächste auf. Das ist auch kein Wunder, schließlich ist das ein lukratives Geschäft: Die Kosten für Attacken sinken, die Einnahmen steigen. Das ist attraktiv für Hacker. Ein Beispiel: In den vergangenen Jahren wurden häufig Exploit Kits eingesetzt. Aber wir, die Security-Industrie und unsere Kunden, sind viel besser darin geworden, damit fertig zu werden. Das Resultat: Die Angreifer haben aufgehört, die bekannten Exploit Kits zu nutzen. Sie nutzen stattdessen sehr spezialisierte Exploit Kits oder überhaupt ganz andere Tools. Anstatt Server anzugreifen nehmen viele mittlerweile den User ins Visier – denn er ist das schwächste Glied der Kette. Deswegen gibt es jetzt auch wieder mehr Phishing, E-Mails und Browser als Angriffsvektoren – und mehr Malvertising. Wir müssen uns bewusst sein: Es geht nicht nur um Technologie, es geht auch um Prozesse, die Ausbildung der User und einen holistischeren Security-Ansatz.
Und es wird in Zukunft nicht leichter werden. Immer mehr Dinge, Daten und Systeme werden mit Netzwerken verbunden. Dazu kommen Themen wie „Internet of Everything“ und „Internet of Things“. Schon heute sind mehr als 10 Milliarden Geräte mit dem Internet verbunden – das ist eine Zahl die etwas höher ist als die aktuelle Weltbevölkerung. Wir erwarten, dass es in 5 Jahren 50 Milliarden Geräte sein werden. Das lässt sich nicht mehr mit menschlichen Experten absichern, dafür braucht man intelligente Systeme. Ein anderer interessanter Punkt beim „Internet of Everything“ ist, dass das typische Endgerät keine eingebauten Security-Funktionen besitzt. Beispielsweise ein sehr schlanker Sensor, der weder die Akku-Kapazität noch die CPU-Power hat, um ein Security-Programm laufen zu lassen. Die früheste Möglichkeit, um hier IT-Security ins Spiel zu bringen, ist wenn das Gerät sich mit dem Netzwerk verbindet. Deswegen braucht es intelligente Netzwerke.
Das Gespräch führte Rudolf N. Felser.
Adam Philpott
Vor seiner Zeit bei Cisco war der Engländer Adam Philpott bei verschiedenen Value Added Distributoren tätig. 2002 stieß er als Teil des ANZ-Führungsteams (Australien und Neuseeland) zum Netzwerk-Spezialisten. Etwa 2010 übersiedelte der passionierte Thai-Boxer nach Singapur, um das Strategie- und Business-Development für Ciscos Networking- und Security-Portfolio in der Region Asia Pacific anzuführen. Mittlerweile ist Philpott wieder in seine Heimat UK zurückgekehrt und versucht als Director EMEAR Cyber Security (Europa, Mittlerer Osten, Afrika und Russland) Security Ciscos Kunden zu helfen, sich vor, während und nach IT-Security-Vorfällen zu schützen.
Be the first to comment