Im Interview skizziert Holger Suhl, Country Manager DACH des IT-Sicherheitsspezialisten Eset, aktuelle Bedrohungsszenarien und zeigt auf, wie man mit Threat Intelligence Herr der Lage bleibt und sein Unternehmen und die Daten bestmöglich schützen kann. [...]
Sie sind seit April 2018 Sie als Country Manager bei Eset tätig. Welche Ziele verfolgen Sie seitdem?
Wir wollen das Angebot insbesondere im Geschäftskundenumfeld ausbauen und das eigene Wachstum kontinuierlich vorantreiben. Im Zuge dessen haben wir vor rund einem Jahr acht neue Enterprise-Produkte vorgestellt, was dem größten Produktlaunch in der fast 30-jährigen Firmengeschichte von Eset gleichkam.
Der Launch gilt als Startschuss für die Entwicklung eines komplett neuen Portfolios, wobei wir unser Augenmerk verstärkt auf die neuen Threat-Intelligence-Services gelegt haben. Damit möchten wir im B2B-Umfeld und insbesondere im Enterprise-Segment wachsen. Alles in allem versprechen unsere neuen Unternehmenslösungen jeglicher Größe mehr Sicherheit und eine noch einfachere Administration.
Wie sehen Sie sich im Geschäftskundenumfeld positioniert?
Bei kleinen und mittleren Firmen sind wir bereits gut aufgestellt. Daneben arbeiten wir in DACH mit rund 6.500 Händlern und zahlreichen Partnern zusammen, die unsere Lösungen auch bei größeren Unternehmen etablieren. Trotz verstärkter B2B-Ausrichtung werden wir aber auch das Endkundengeschäft nicht vernachlässigen. Denn dieses stellt nach wie vor ein wichtiges Standbein für uns dar.
Mit welchen wichtigen Neuerungen wartet die angesprochenen B2B-Lösungen auf?
Zunächst geht damit eine Neuausrichtung der Architektur einher, in deren Rahmen wir bei allen Lösungen die unterschiedlichen Security-Layer harmonisiert haben. Aufgrund dessen können wir komplette Data-Center-Umgebungen noch wirkungsvoller schützen und unkompliziert verschiedenste IT-Systeme einbinden, etwa Linux-, Sharepoint- oder virtualisierte Umgebungen.
In welchen Funktionen spiegelt sich die Neuausrichtung wider?
Wie erwähnt haben wir die Threat Intelligence ausgebaut. Wir bieten mit dem Enterprise Inspector eine umfassende EDR-Lösungen, die gerade im Enterprise-Umfeld nachgefragt wird. Damit durchleuchten unsere Kunden ihre Netzwerke und erkennen en detail, an welchen Stellen Angriffe auf welche Art und Weise stattgefunden haben. Anhand der ermittelten Daten können sie eigene Schlüsse ziehen und entsprechende Maßnahmen ableiten.
Dies geht weit über eine reine Virenabwehr hinaus, da sich genau nachvollziehen lässt, wie die Angreifer ins Firmennetz gelangten, auf welche Endgeräte der Angriff abzielte und wie die Cyberattacken schließlich abgewehrt wurden. Darüber hinaus bieten wir wie kaum ein anderer Hersteller, ein umfassendes Lösungsportfolio an, das moderne Verschlüsselungstechnologien und eine einfach zu implemetierende Zwei-Faktor-Authentifizierung (2FA) umfasst. Nicht zuletzt haben wir neben der Analyse und Auswertung von Cybergefahren mit dem Security Management Center auch ein vereinfachtes Management etabliert: Das System ermöglicht über reine Administrationsprozesse hinaus ein intelligentes Management, tiefgehende Analysen und ansprechende Visualisierungen. Damit können beispielsweise Anbieter von Managed Security Services die Sicherheitsumgebungen ihrer Kunden effektiv steuern.
Wie hoch ist derzeit die Nachfrage nach Managed Security Services bei bestehenden aber auch potenziell neuen Kunden?
Die Kunden fragen zunehmend nach MSP. Zum einen, da die Dienstleister herstellerunabhängig aufgestellt sind und daher die jeweils am besten passenden Lösungen implementieren können. Zum anderen hat der Fachkräftemangel auch die IT-Sicherheit erreicht. Es ist für die Verantwortlichen nicht einfach, Security-Experten für den eigenen Betrieb zu finden, weshalb man verstärkt auf externes Expertenwissen setzt.
Beschäftigen Firmen heute überhaupt noch eigene IT-Sicherheitsspezialisten?
Insbesondere große Unternehmen betreiben eigene Computer Emergency Response Teams (Certs), die in der Regel mehr als 10.000 Arbeitsplätze betreuen. Bei Mittelständlern hingegen fungiert der IT-Verantwortliche zugleich auch als Sicherheitschef. Auf den klassischen Chief Information Security Officer (CISO) trifft man hier eher selten.
Inwieweit ist der Führungsriege die Notwendigkeit von IT-Sicherheit bewusst?
Wir bemerken, dass gerade Threat Intelligence für die Managementebene immer wichtiger wird. Mit ihr lassen sich potenzielle Bedrohungen branchenspezifisch analysieren und separieren. Beispielsweise ist es für Finanzinstitute eher unwichtig, welche Angriffsvektoren bei autonomen Fahrzeugen auftreten. Andererseits könne sie daraus allgemeine Botnet-Analysen ableiten, die sehr wohl interessieren. Auf diese Weise wissen Sicherheitsspezialisten stets proaktiv, was draußen vorgeht, wie die derzeitige Bedrohungslage aussieht und wie sie sich entwickeln wird.
Wie weiß man denn, wie man auf diese Bedrohungen reagieren sollte?
Cyberangriffe sind vielschichtig, weshalb auch die Reaktionen darauf sehr unterschiedlich ausfallen. Geht es um URL- oder Phishing-Angriffe, sollte das Netzwerk entsprechend sensibilisiert werden. Darüber hinaus kommen bei Phishing-Attacken auch immer die Mitarbeiter als beliebte Einfallstore ins Spiel. Deshalb sollten sie zeitnah über laufende Attacken und deren Methodik informiert werden. Zudem empfiehlt es sich, stets auch die eigene Kundenbasis vor aktuellen Betrugsversuchen warnen.
Welche Maßnahmen greifen bei Hackerattacken?
Neben den verschiedenen Schutztechnologien unserer Lösungen, wie etwa dem Exploitblocker oder dem Schutz vor Netzwerkattacken, der WannaCry & Co. schon vor dem Endpoint abwehrt, sollte man auch über allgemeine Vorgehensweisen nachdenken. Dazu folgendes Beispiel: Vor einigen Jahren gab es Angriffe auf AutoCAD-Programme im Maschinenbau, die es gezielt auf Ingenieure abgesehen hatten. Werden solche Vorgänge publik, sollten die Verantwortlichen sofort reagieren und die eigenen Systeme auf Schwachstellen hin überprüfen. Finden sie welche, müssen die entsprechenden Patches unmittelbar eingespielt werden. Eine andere Möglichkeit wäre es, möglicherweise betroffene Systeme vorsorglich aus dem Netzwerk zu nehmen. Hier geht es darum, offene Ports schnellstens zu schließen oder die Systeme zu kapseln.
Lassen sich die Systeme denn einfach so vom Netz nehmen?
Man sollte natürlich nicht die ganze Systemlandschaft offline stellen und damit den Betrieb lahmlegen. Allerdings sollte man hinterfragen, welche Systeme wirklich ans Internet angebunden werden müssen. Geht es um den Datenaustausch in Echtzeit – etwa bei Industrie 4.0 oder dem Internet der Dinge – wird sich dies nicht vermeiden lassen. Denn insbesondere Roboter agieren oftmals als »Echtzeitsysteme«, weshalb sie sich mit klassischen Antivirenprogrammen nicht schützen lassen. Hier gilt es, die sich darum befindlichen Industrieumgebungen abzusichern – und dies am besten mit mehreren Schutzschichten.
Auf welche Sicherheitsproblematik trifft man im Industriebereich noch?
Häufig stößt man auf Produktionsstraßen, die vor zwanzig oder dreißig Jahren installiert wurden. Auf deren Systemen laufen Betriebssysteme, für die es längst keinen Support und damit auch weder Patches noch Updates seitens der Hersteller gibt. Hört man von ersten Angriffen auf solche Systeme, sollte man sie unmittelbar isolieren.
Geht es demgegenüber um moderne Produktionsstraßen, bieten die Hersteller meist sehr schnell passende Patches, die die Anwender wiederum zügig einspielen sollten. In der Praxis klappt dies jedoch nicht immer, da die Unterbrechung laufender Produktionsprozesse nicht einfach so möglich ist.
Inwiefern lassen sich IoT-Geräte in die IT-Sicherheitssysteme integrieren?
Grundsätzlich lassen sie sich problemlos in vorhandene Firewalls einbetten. Die Schwierigkeit liegt jedoch darin, zunächst einmal herauszufinden, wie viele IoT-Geräte überhaupt im Unternehmen vorhanden sind. Ein Beispiel: Der Sicherheitsverantwortliche eines großen Einzelhändlers wollte ermitteln, wo im Betrieb überall IoT-Geräte eingesetzt werden. Im ersten Schritt kam man auf rund 1.000 Geräte, darunter auch die umfangreiche Sensorik entlang der Kühltheken. Bei näherer Betrachtung stieß man dann auf strukturell gewachsene Versäumnisse. So entdeckte man, dass die Kaffeeautomaten ins Produktivnetzwerk integriert waren. Service-Techniker konnten vor Ort oder webbasiert neue Services einspielen und Software-Updates einspielen. Ohne Wissen der IT stellten die Kaffeemaschinen somit offene Einfallstore ins Firmennetz dar.
Gibt es weitere Beispiele?
Ein anderer Großkunde ließ Penetrationstests durchführen. Bereits nach wenigen Minuten kam der damit beauftragte Spezialist mehreren offenen Ports auf die Schliche. In diesem Fall waren es Rauchmelder, die mit der lokalen Feuerwehrstation über eine ungeschützte Verbindung verknüpft waren.
Wie lassen sich solche Situationen vermeiden?
Indem wir den Kunden bei der Implementierung entsprechender Sicherheits-Software helfen und für einen ganzheitlichen Security-Ansatz sorgen. Zudem können hier Managed Security Services greifen, mit denen sich weltweit sämtliche Netze und Endgeräte absichern lassen.
Worauf sollten die Verantwortlichen generell bei der Auswahl von Sicherheitslösungen achten?
Insbesondere bei Großkunden und Konzernen spielen unabhängige Analysen bei der Herstellerauswahl eine große Rolle. Von daher sind die Einschätzungen von Gartner oder Forrester für uns sehr wichtig. Bei letzteren sind wir mit unserem Angebot als Strong Performer gelistet, wenn es um Endpunktsicherheit geht. Bei Gartner fungieren wir derzeit als einziger »Challenger Endpoint Protection Platforms«.
Laut Gartner ist ESET weltweit der viertgrößte Anbieter von IT-Sicherheitslösungen im Endpoint Protection Markt. Unser Ziel ist es natürlich, diese Marktposition weiter auszubauen und die Spitze zu übernehmen. Dafür beschäftigen wir bereits jetzt mehr als 1.600 Mitarbeiter und betreiben weltweite Forschungseinrichtungen. Unser Hauptsitz befindet sich in Bratislava, womit wir nicht nur dem EU-Recht unterliegen, sondern auch als größter Sicherheitsanbieter in der EU agieren.
In diesem Zusammenhang ist eine weitere Erhebung von Interesse: Bei der Bewertung durch Gartner-Kunden konnten wir uns unter den Sicherheitsherstellern ganz vorne behaupten. Dabei hatten wir hinsichtlich Implementierungskosten und -dauer sowie der Benutzerfreundlichkeit die Nase vorn. Generell sollte IT-Sicherheit keine Belastung für die Unternehmen sein – auch, da unkomfortable IT-Security von den Anwendern häufig umgangen wird.
Anders als bei betriebswirtschaftlichen Anwendungen ist der Nutzen der IT-Sicherheit nicht auf den ersten Blick ersichtlich.
Dennoch ist der Managementebene mittlerweile die Wichtigkeit der IT-Sicherheit bewusst. Die jüngsten, vielfach erfolgreichen Cyberattacken und die damit verbundenen Image- und finanziellen Schäden haben zu einem Umdenken geführt. Das Top-Management sieht IT-Sicherheit mittlerweile als Wegbereiter, da sich nur auf sicheren Infrastrukturen entsprechend erfolgreiche digitale Geschäftsprozesse aufsetzen lassen. Zudem sind Sicherheit und Datenschutz mittlerweile obligatorisch, da sie u.a. von der EU-Datenschutz-Grundverordnung (DSGVO) oder dem hiesigen IT-Sicherheitsgesetz eingefordert werden.
Wie ist der aktuelle Stand hinsichtlich dieser gesetzlichen Vorgaben?
Die DSGVO hat das Bewusstsein für IT-Sicherheit bei unseren Kunden nochmals geschärft, wobei sich die meisten bereits seit über zwei Jahren damit beschäftigen.
Im Rahmen des IT-Sicherheitsgesetzes gibt es für die Betreiber von kritischen Infrastrukturen eine Meldepflicht bei Sicherheitsvorfällen. Diese wird auch eingehalten, läuft aber oftmals abseits der Öffentlichkeit ab. Überdies ist noch nicht abschließend geklärt, welche Organisationen zu den Betreibern kritischer Infrastrukturen zählen. Hier muss seitens des Gesetzgebers nachgebessert werden.
Generell könnten die mit der Umsetzung der DSGVO und des IT-Sicherheitsgesetzes verbundenen hohen Strafen und der einhergehende Reputationsverlust Unternehmen extrem empfindlich treffen. Um dies zu vermeiden, bieten wir Technologien und Lösungen für die Einhaltung der gesetzlichen Regelungen an – inklusive durchgängiger Verschlüsselung und Zwei-Faktor-Authentifizierung.
Können Sie Beispiele für den Einsatz nennen?
Hier geht es beispielsweise um die Frage, wie unsicher Notebooks sind, die in der Öffentlichkeit verlorengehen. Sind diese passwortgeschützt, ist der Zugang zu den darauf befindlichen Informationen mit relativ einfachen Mittel möglich. Hier empfehlen wir klar, alle Firmen-Notebooks voll zu verschlüsseln. Im Schadensfall sind so sensible Daten – wie Kalkulationen oder Kundendaten – wirkungsvoll vor Fremdzugriff geschützt und unbefugte können nichts mit den verschlüsselten Daten anfangen. Hier bieten eigene, extrem starke Verschlüsselungstechnologien an, die selbst den hohen NATO Standards genügen.
Ein weiterer Schwachpunkt bei der Absicherung der IT-Infrastruktur stellen Passwörter dar. So ist es unserer Einschätzung für die IT-Sicherheit nicht dienlich, wenn Mitarbeiter alle vier oder sechs Wochen ihre Passwörter erneuern müssen. In der Regel vermischen sich nach relativer kurzer Zeit private und dienstliche Passphrasen. Um das zu vermeiden, haben wir ESET Secure Authentication entwickelt. Ein Hardware-Security-Token ist dabei nicht erforderlich. Mittels einer speziellen Smartphone-App wird ein Einmal-Codes generiert, der zusätzlich zu Benutzername und Passwort den Zugang zu Unternehmensanwendungen absichert.
Hilft die Verschlüsselung auch gegen Ransomware und welche Bedrohungsszenarien sind aktuell auch sehr heikel?
Eigentlich nicht, da Ransomware-Attacken einfach über die bereits verschlüsselten Daten eine weitere Verschlüsselung aufsetzen. Von daher ist es eher wichtig, die Schadsoftware so früh wie möglich abzufangen oder mittels verhaltensbasierter Lösungen dingfest zu machen. Sobald die Ransomware im Netzwerk einen Verschlüsselungsvorgang auslöst, sollte dieser bemerkt und unmittelbar isoliert werden. Häufig finden gezielte Angriffe auf Mitarbeiter statt, sodass die Endnutzer nach wie vor eine große Schwachstelle für die Unternehmenssicherheit darstellen. Während Ransomware-Attacken eher für kleinere Firmen und Privatpersonen das totale Desaster bedeuten können, sind größere Kunden beim Ransomwareschutz mittlerweile recht gut aufgestellt. Gerade letztere werden daher wieder verstärkt mittels Social Engineering, wie etwa durch den sogenannten CEO-Fraud, angegriffen. Noch immer sind viele Unternehmen viel zu sorglos. Sie gehen davon aus, dass sie im Wettbewerb zu unbedeutend seien und ihnen daher nichts passieren werde. Dabei zählen viele zu den Weltmarktführern von Nischenprodukten, was sie für Cyberkriminelle naturgemäß äußerst interessant macht. Denn für sie ist nicht die Größe von Unternehmen, sondern deren Innovationskraft entscheidend.
Be the first to comment