David Billeter verantwortet bei CA den Bereich Information Technology Cyber Security. Von Australien über Indien kommend, machte er auf der Heimreise nach Boston in Wien halt und sprach mit der COMPUTERWELT über Trends im Bereich Cybersecurity. [...]
Sehen Unternehmen nach all den Cyberattacken der jüngsten Zeit Security mittlerweile nicht nur als Kostenfaktor, der ja nicht ihr Kerngeschäft betrifft, sondern als wichtigen Bestandteil aktueller IT?
david Billeter Ich glaube nicht, dass sich das sehr geändert hat. Ich glaube jedoch, dass das Bewusstsein bezüglich der Gefahren deutlich zugenommen hat, aber die unternehmerische Bewertung des Securitybereichs hat sich nicht geändert. Nicht sehr viele Unternehmen sehen Security derzeit als Business-Enabler, sondern nach wie vor als Kostenfaktor.
Welche Trends im Bereich Cyberangriffe sehen Sie?
Viele Jahre lang standen vertrauliche Daten im Fokus der Angriffe. Deswegen sind viele Security-Softwareprodukte darauf ausgerichtet, diese vertraulichen Daten, die Kronjuwelen eines Unternehmens, zu schützen. Hier vollzieht sich gerade ein großer Wandel und man greift die Verfügbarkeit der Systeme an. Das ist eine ganz andere Herangehensweise der Angreifer. Natürlich gab es schon bisher DDoS-Attacken, aber die aktuellen Ransomware-Angriffe sind ein gutes Beispiel dafür, wie gezielt die Verfügbarkeit von Systemen angegriffen wird anstatt vertrauliche Daten zu stehlen.
Betrifft das nur große Unternehmen oder auch kleine und mittlere Unternehmen?
Das betrifft ganz klar auch kleinere Betriebe. Viele Angriffe unterscheiden auch nicht zwischen großen oder kleinen Unternehmen oder speziellen Firmen, sie suchen einfach nur leicht angreifbare, nicht ausreichende geschützte Systeme.
Wie kann CA hier helfen? Welche Produkte und Lösungen bieten Sie diesen Unternehmen?
Wir haben hier sehr viele Produkte. Um Systeme abzusichern, ist aber die Authentifizierung der Nutzer besonders erwähnenswert. Diese stellt sicher, dass nur die Leute mit den entsprechenden Rechten Software auf den Systemen ausführen können. Wir haben ein sehr großes Angebot bezüglich Identity Management, Authentication, Authorisation und umfassendes Privileged Access Management (PAM).
Wodurch unterscheidet sich CA im Angebot vom Mitbewerb?
Speziell bei großen Unternehmen sind viele IT-Systeme noch an den Geschäftsstandort (on-premise) gebunden. Hier gibt es viele Legacy-Systeme, die noch immer verwendet und nach wie vor für unternehmenskritische Prozesse eingesetzt werden. Darüber hinaus sehen wir einen großen Trend in Richtung Cloud und SaaS-Umgebungen. Und CA ist eines der wenigen Unternehmen, das es seinen Kunden ermöglicht, in beiden Welten zu arbeiten. Wir unterstützen on-premise-Systeme, aber auch Legacy-Applikationen sowie alle Cloud-Applikationen und zudem können wir auch spezielle on-Premise-Bereiche in die Cloud-Authorization bringen. Ich glaube, dass kaum ein anderes Unternehmen mit der Erfahrung, die wir in diesem Bereich haben, mithalten kann.
Viele Anwender meinen, dass erhöhte Security auch mit Bedienungsunfreundlichkeit einher geht. Wie sehen Sie das?
Wir arbeiten sehr hart daran, unsichtbare Security zu schaffen. Also Sicherheitslösungen, die die Menschen nicht bemerken und die sie überhaupt nicht bei ihrer Arbeit beeinflussen. Ich denke hier beispielsweise an Veracode (Anmerkung: CA hat den Secure-DevOps-Platform-Anbieter Veracode im April dieses Jahres übernommen). Dank Application Security Testing sichert Veracode Web-, Mobile- und Dritt-Applikationen während des gesamten Lebenszyklus in der Softwareentwicklung. Dabei ist es in die IDE (Integrated Development Environment = Entwicklungsumgebung) eingebaut. Mit Veracode passiert das Testen der Applikationen automatisiert und schon in den frühesten Phasen der Entwicklung. Beim Programmieren bemerken die Entwickler gar nicht, dass Veracode im Hintergrund läuft.
Das Wichtigste ist, die Beeinträchtigung der Arbeit durch Security zu minimieren. Ich glaube nicht, dass das zu 100 Prozent möglich ist, denn man muss ja die Tür zumachen und abschließen, insofern gibt es eine kleine Beeinträchtigung. Aber man kann es einfacher gestalten, indem man eine automatische Tür installiert. Das ist es, was wir machen.
Apropos automatisch: Glauben Sie, dass künstliche Intelligenz (KI) im Malware-Bereich künftig stärker zum Einsatz kommt? In dem Sinne, dass letztlich Maschinen die Angriffe durchführen und Maschinen diese abwehren, da der Mensch eigentlich zu langsam ist, um adäquat zu reagieren?
Es gibt bereits automatisierte Angriffe (Anmerkung: David Billeter spricht auf Englisch von »technology based attacks«). Diese haben im letzten Jahr sehr stark zugenommen. Es gibt inzwischen mehr automatisierte Angriffe als manuell durchgeführte. Meiner Ansicht nach bedarf es bei automatisierten Angriffen auch einer automatisierten Abwehr. Viel zu oft beobachten wir hier, dass die Abwehr noch manuell gesteuert wird. Hier würde ich gerne mehr automatisierte Verteidigungsmaßnahmen sehen.
Das ist schneller?
Das ist das einzige, das schnell genug ist. Aber viele dieser automatisierten Angriffe sind nicht sonderlich elegant. Allerdings sind sie schier zu überwältigend und massiv, um darauf manuell reagieren zu können. Ja, es wird eine künftige Generation von Hackern kommen, die sich der KI bedient. Aber gegenwärtig sehe ich eher Bot-Attacken. Diese sind einfach, aber sehr massiv.
Forscht und investiert CA im Bereich künstliche Intelligenz?
Wir investieren sehr viel in Automatisierung. 20 Prozent der Ressourcen im Security-Bereich von CA werden in die Automatisierung von so vielen Aktivitäten wie nur möglich gesteckt, um eben schnell und zielgerichtet auf solche Angriffe reagieren zu können. Die Forschung im Bereich der KI ist noch nicht so stark. Aber in Data Analytics investieren wir sehr viel, um die Automatisierung dementsprechend zu optimieren.
Die Herangehensweise in der EU und den USA in Bezug auf Datenschutz scheint unterschiedlich zu sein, insbesondere mit Blick auf die kommende EU-DSGVO (EU-Datenschutz-Grundverordnung). Wie stehen Sie dazu? Werden Sie ihr Geschäftsmodell ändern und für die EU anpassen müssen?
Wir müssen uns hier natürlich anpassen, aber ich bin mir nicht sicher, ob wir viele Änderungen vornehmen müssen, da wir diesbezüglich schon ziemlich gut aufgestellt sind. Wir unternehmen große Anstrengungen um sicherzustellen, dass bei uns alles DSGVO-konform ist. Da sind wir bereits sehr weit fortgeschritten, denn wir haben schon vor der DSGVO viele Dinge implementiert, die dem Geist dieser Regulierung entsprochen haben. Deswegen glaube ich, dass CA keine so großen Unterschiede zur DSGVO aufweist, wie vielleicht andere Unternehmen. Wir haben viele der DSGVO-Prinzipien ja längst umgesetzt. Natürlich verfolgen wir die Entwicklung ganz genau und schauen, welche Entscheidungen getroffen werden. Aber die vorgegebene Richtung ist ja klar.
Verlangen ihre europäischen Kunden nach Rechenzentren in der EU
anstatt in den USA?
Manchmal ist das in Projektanforderung und Ausschreibungen vorgegeben, dann unterstützen wir das natürlich. Bezüglich unserer Cloud verwenden wir auch andere Services, zum Beispiel von Microsoft und Amazon. Diesbezüglich sind wir flexibel.
Wir groß ist ihr F&E-Budget in Sachen Security?
Wir investieren ungefähr 600 Millionen US-Dollar jährlich in Forschung und Entwicklung von Produkten. Die F&E-Zentren in der EMEA-Region befinden sich in Prag und im israelischen Herzliya. Weitere CA-Forschungsstätten gibt es in den USA und Indien. In der Forschung arbeitet CA zudem sehr intensiv mit universitären Einrichtungen, mit Standardisierungsverbänden sowie mit Kunden und Partnern zusammen.
Das Interview führte Klaus Lorbeer.
Be the first to comment