Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. IT WELT.at hat mit ihr über die gegenwärtige Sicherheitslage gesprochen und gefragt, welche Tipps sie für kleine und mittelständische Unternehmen hat. [...]
Meiner Meinung nach sind die Mitarbeiter nach wie vor das schwächste Glied in der Sicherheitskette eines Unternehmens. Aber kann die Zero-Trust-Technologie jemals alle Angriffe verhindern, oder wie effektiv ist diese Technologie?
Zero Trust ist weniger eine Technologie als vielmehr eine Denkweise – ein Design-Muster. Sie können dieses Muster bei jedem Teil Ihrer Infrastruktur sehen: Sie entscheiden, wie und wo Sie eine Zugriffsanfrage anhand mehrerer Faktoren validieren und unter welchen Bedingungen Sie sich veranlasst sehen, sie in Zukunft erneut validieren müssen. Aus dieser Perspektive könnte man Zero Trust genauso gut als „bessere Sicherheit“ bezeichnen. Niemand kann behaupten, dass dieser Rahmen alle Angriffe verhindern kann, aber wir versuchen nicht, einen Zustand der Perfektion zu erreichen; wir versuchen, die Sicherheit stetig zu verbessern, und die Implementierung von Zero Trust hilft ganz sicher dabei.
Unternehmen, die einem Angriff zum Opfer gefallen sind, sagen hinterher oft: „Wir hätten ohnedies nichts tun können.“ Hätten diese Unternehmen wirklich nicht geschützt werden können, oder sind unzureichende Sicherheitsmaßnahmen nach wie vor die Ursache für den Erfolg der Hacker? Sind sich die Unternehmen, mit denen Sie zu tun haben, der immensen Bedrohungslage bewusst?
Die Unternehmen haben einen schweren Stand, wenn es darum geht, alle Sicherheitsaspekte abzudecken, und manchmal sind die Kontrollen, die wir für die grundlegendsten und unbedingt nötigen halten, auch die am schwierigsten zu bewerkstelligenden. In einer dynamischen Umgebung gibt es immer noch etwas, das getan werden muss, und wenn man Glück hat, ist diese noch zu schließende Lücke nicht der Ort, an dem Angreifer zuschlagen. Die Unternehmen, mit denen ich spreche, sind sich der Bedrohungslandschaft größtenteils bewusst, aber sie müssen mit Ein- und Beschränkungen umgehen, von denen man üblicherweise nichts mitbekommt, etwa Zeit, Geld, Fachwissen, Abhängigkeiten von Anbietern, rechtliche Anforderungen und Fachleute. In dem Maße, in dem wir Informationen über Sicherheitsverletzungen besser weitergeben, können wir diesen Unternehmen helfen, herauszufinden, worauf sie ihre Bemühungen konzentrieren müssen.
Wenn Sie die Sicherheitsmaßnahmen von Unternehmen in den USA mit denen in Europa vergleichen, welche Unterschiede stellen Sie fest? Was kann die eine Seite von der anderen lernen?
Viele Sicherheitsaspekte sind nicht technologischer, sondern kultureller und rechtlicher Natur. In Ländern, in denen das Vertrauen in die Regierung größer ist, bieten sich großartige Möglichkeiten für Partnerschaften auf einer Ebene, die für Länder wie die Vereinigten Staaten schwieriger zu erreichen ist. Die Datenschutz-Grundverordnung betrifft jeden, der in Europa Geschäfte macht, aber die Unternehmen gehen je nach ihrem Geschäftsumfeld unterschiedlich an die Einhaltung der Vorschriften heran. Ich denke, dass die US-Unternehmen viel davon lernen können, wenn sie sich mehr über die Sicherheitsherausforderungen kleiner und mittlerer Unternehmen in Europa informieren.
Hacker verlassen sich zunehmend auf automatisierte Angriffe mit Hilfe von KI. Auch die Verteidigung ist automatisiert. Welche Rolle wird der Mensch bei der Sicherheit in Zukunft spielen?
Ohne die Maschinen werden wir die Abwehr nicht in dem Maß skalieren können, das wir brauchen. Die „ground truth“ kann von Menschen kommen, und dann können wir sie in Software umwandeln, so dass sie skaliert werden kann. Leider stellt alles, was wir schaffen und zu einem System hinzufügen, auch eine neue potenzielle Angriffsfläche dar, so dass wir der Komplexität wenn irgend möglich immer einen Schritt voraus sein müssen.
Welche Sicherheitsempfehlungen haben Sie für kleine und mittlere Unternehmen, die sich nicht die umfassende Sicherheit leisten können, die große Unternehmen haben?
Aus unseren Untersuchungen zu Sicherheitsergebnissen wissen wir, dass es fünf Top-Praktiken gibt, die am stärksten mit starken Sicherheitsprogrammen korrelieren. Die ersten beiden – die proaktive Aktualisierung Ihrer Technologie und deren bestmögliche Integration – erfordern möglicherweise die Hilfe von Partnern und Lieferanten. Aber die anderen drei – rechtzeitige Reaktion auf Zwischenfälle, schnelle disaster recovery und genaue Erkennung von Bedrohungen – können jedoch praktiziert werden, ohne dass man unbedingt so viel Geld ausgeben muss, wie sich das üblicherweise nur große Unternehmen leisten können. Wenn ich nur zwei Dinge empfehlen könnte, dann wäre das die Führung einer genauen Liste Ihrer Assets und Benutzer und die Implementierung einer Multi-Faktor-Authentifizierung für jeden einzelnen Benutzer.
Welche Sicherheitslösungen bietet Cisco an und was ist ihr Vorteil gegenüber der Konkurrenz?
Cisco bietet ein komplettes Lösungspaket für End-to-End-Sicherheit an, darunter: Zero Trust, sichere Konnektivität, Netzwerksicherheit, Threat Detection & Response und Sicherheit von Cloud-Anwendungen. Das Herzstück von Ciscos Ansatz ist die Integration. Das Sicherheitsportfolio von Cisco reduziert die Komplexität, die entsteht, wenn man Dutzende Produkte verschiedener Unternehmen verwalten muss, und arbeitet dennoch nahtlos mit allen Tools zusammen, die Kunden von anderen Anbietern verwenden. Die Sicherheitsprodukte von Cisco werden von Cisco Talos, dem weltweit größten kommerziellen Threat Intelligence Team, unterstützt. Schätzungsweise 80 Prozent des weltweiten Internet-Verkehrs laufen über die Cisco-Infrastruktur, so dass wir mehr Einblick und fortschrittliche Informationen haben als jeder andere.
Zur Person: Wendy Nather
Wendy Nather ist Leiterin der CISO-Beratung bei Cisco. Zuvor war sie Forschungsdirektorin beim Retail ISAC, wo sie dafür verantwortlich war, den Stand der Ressourcen und des Wissens voranzutreiben, um Unternehmen bei der Verteidigung ihrer Infrastruktur gegen Angreifer zu unterstützen. Nather war außerdem Forschungsdirektorin der Informationssicherheitspraxis beim unabhängigen Analystenunternehmen 451 Research, wo sie die Sicherheitsbranche in Bereichen wie Anwendungssicherheit, Bedrohungsdaten, Sicherheitsdienste und andere neue Technologien untersuchte.
Wendy Nather war als CISO sowohl in der Privatwirtschaft als auch im öffentlichen Sektor tätig. Sie leitete die IT-Sicherheit für die EMEA-Region der Investmentbanking-Abteilung der Swiss Bank Corporation (jetzt UBS) sowie für die Texas Education Agency. Sie hält weltweit regelmäßig Vorträge zu Themen wie Bedrohungsanalyse, Identitäts- und Zugriffsmanagement, Risikoanalyse, Reaktion auf Vorfälle, Datensicherheit sowie gesellschaftliche und private Fragen.
Wendy ist Mitautorin von The Cloud Security Rules und wurde 2018 vom SC Magazine als eine der Reboot Leadership „Influencers“ und 2014 als Women in IT Security „Power Players“ gelistet. Sie ist Mitglied des Beirats der RSA Conference und gehört dem Beirat von Sightline Security an, einer Organisation, die gemeinnützigen Gruppen hilft, sich abzusichern.
Be the first to comment