CISOs wünschen sich in erster Linie absolute Transparenz. Sie möchten verstehen, welche Angriffe stattfinden, wer angegriffen wird, mit welchen Methoden und vor allem möchten sie wissen, wie die Schutzmechanismen greifen. In diesem Interview gibt Georgeta Toth, Senior Regional Director Zentral- und Osteuropa bei der Proofpoint GmbH, Empfehlungen, wie Security-Experten den Durchblick in der Cloud behalten.
Proofpoint hat es sich auf die Fahne geschrieben, mittels einer cloudbasierten Plattform Unternehmen, deren Mitarbeiter und Daten vor aktuellen und künftigen Bedrohungen und Compliance-Risiken zu schützen. Was genau muss man sich darunter vorstellen?
Georgeta Toth: Sie sprechen mit Ihrer Frage mehrere wesentliche Faktoren an. Einmal die Tatsache, dass wir cloudbasiert sind; warum ich das ausdrücklich hervorhebe, werde ich gleich beantworten. Und zum zweiten, dass wir im Rahmen unserer Lösungen den Mitarbeiter ins Zentrum der Sicherheitsbemühungen stellen, wir nennen das People-Centric Security. Darauf werde ich im zweiten Teil meiner Antwort eingehen.
Warum also sind wir überzeugt, dass eine Sicherheitslösung aus der Cloud wesentliche Vorteile bietet? Cybersecurity lebt von der Aktualität und Agilität, mit der gegen modernste Bedrohungen vorgegangen werden kann. Wenn man versucht diese Expertise im eigenen Unternehmen abzubilden, wird man schon bald an Kapazitätsgrenzen und Wissensgrenzen stoßen. Ich verwende hier zur Verdeutlichung gerne eine Analogie. Stellen Sie sich vor, zwei Piloten machen gemeinsam eine Ausbildung und lernen eine A 16 zu fliegen. Ein Pilot fliegt sie danach täglich, bildet sich beständig über Neuerungen weiter und kann viele Stunden Flugpraxis vorweisen. Der andere Pilot, der dieselben Grundvoraussetzungen hat, wird jedoch auf einem anderen Flugzeug eingesetzt, bekommt zwar die Updates zur A 16 per Newsletter mitgeteilt, hat aber kaum die Möglichkeit das Flugzeug einmal selbst zu steuern. Nun kommt es zu einer Extremsituation.
Wer denken Sie wird schneller und agiler reagieren können? Ähnlich ist es im Unternehmen. Der unternehmensinterne Security-Experte hat mit Sicherheit hervorragende Grundvoraussetzungen und wird auch sein Möglichstes unternehmen, um immer auf dem neuesten Stand zu bleiben. Doch defacto wird sein Wissen lange Zeit nicht benötigt werden, denn wir müssen uns verdeutlichen, dass Angriffe nicht kontinuierlich und tröpfchenweise stattfinden, sondern nach längeren Pausen unvorhergesehen in immer neuen Konstellationen und mit anderen Bedrohungen wellenartig das Unternehmen zu überrollen drohen. Hier kommen die Vorteile eines spezialisierten Cloud-Anbieters zum Tragen. Nicht nur hat das Unternehmen Zugriff auf die modernste Software, auch die Mitarbeiter sind auf dem neuesten Stand und extrem agil darin, den aktuellsten Gefährdungen zu begegnen.
Nun zum zweiten Teil Ihrer Frage. Noch immer ist Netzwerksicherheit sehr wichtig, jedoch zeigen unabhängige Untersuchungen – beispielsweise vom SANS Institut – dass 95 Prozent der Angriffe auf das Unternehmensnetz das direkte Resultat erfolgreicher Phishing-Attacken sind. D.h. der Cyberkriminelle legt die Bombe in die Hand des unwissentlichen Mitarbeiters und animiert ihn zu einer Aktion, wie etwa der Preisgabe seiner Zugangsdaten oder den Klick auf einen Link, den Download eines Anhangs. Nur wenn die Technologie Hand in Hand geht mit dem Bewusstsein des Mitarbeiters als größten Risikofaktor, lässt sich das Unternehmen und dessen Daten effektiv schützen. Großes Augenmerk sollte dabei auf der Schulung der Mitarbeiter liegen, die z.B. anhand aktuellster Szenarien über Bedrohungen und vorgetäuschten Angriffen für die Attacken sensibilisiert und hinsichtlich der richtigen Vorgehensweise geschult werden.
Sie sprechen tagtäglich mit den CISOs führender Unternehmen und diskutieren mit ihnen mit Sicherheit auch diese Zusammenhänge. Was sind Ihrer Ansicht nach die größten Herausforderungen, denen sie sich gegenübersehen?
Georgeta Toth: Es gibt drei große Themenblöcke, die hier erwähnt werden sollten. Meiner Erfahrung nach wünschen sich CISOs in erster Linie absolute Transparenz. Sie möchten verstehen, welche Angriffe stattfinden, wer angegriffen wird, mit welchen Methoden, und vor allem möchten sie wissen, wie die Schutzmechanismen greifen. Hier sind wir also beim Thema aktuelle Bedrohungen meistern.
Das zweite Kernthema auf der Agenda eines jeden CISOs sind die künftigen Bedrohungen. Wie kann er oder sie sicherstellen, dass das Unternehmen durch kontinuierliche Qualitätskontrolle adäquat auf alle neuen Bedrohungen reagieren kann. Wir wissen, dass Cyberkriminelle ihr Vorgehen und ihre Methoden ändern, immer wieder andere Mitarbeiter im Unternehmen ins Visier nehmen – hier nicht nur auf Technologieebene, sondern eben auch und vor allem durch Schulungen der Mitarbeiter stets agil reagieren zu können, darin liegt die Pflicht und auch die Kunst.
Thema drei schließlich ist es, die Benutzerfreundlichkeit für die Mitarbeiter zu gewährleisten und gleichzeitig dem Ziel Cybersecurity gerecht zu werden. Der Mitarbeiter wünscht sich vielleicht sämtliche Freiheiten und vertraut darauf, dass ihn die Technologie schon schützen wird, während der Security Experte weiß, dass über 95 Prozent aller Angriffe eine aktive, wenn auch nicht in der Art beabsichtigte, Aktion des Mitarbeiters voraussetzen. Auf der anderen Seite ist der Wunsch des Sicherheitsbeauftragten nach Internetzugriff nur mit VPN und dem Ausschluss jeglicher Web-Apps sicherlich nicht zeitgemäß und würde nicht zur Wettbewerbsfähigkeit des Unternehmens beitragen. Hier gilt es höchstmögliche Sicherheit mit Benutzerfreundlichkeit zu vereinbaren.
Ich sehe schon – CISOs stehen einer Herkulesaufgabe gegenüber. Welche Empfehlungen können Sie geben?
Georgeta Toth: Wenn Unternehmen wissen möchten, wo sie gerade stehen, empfehle ich in der Regel eine Fake-Attacke durchzuführen, in deren Rahmen das Unternehmen auf mehreren Ebenen und über verschiedenste Vektoren angegriffen wird. Auf diese Weise wird schnell und für alle offenkundig deutlich, wo Schwachstellen bestehen bzw. kann so auch geprüft werden, ob bestehende Mechanismen greifen.
Im Gegensatz zu einer Einheitslösung propagieren wir deshalb einen mehrstufigen Ansatz, der darauf ausgelegt ist, Schwachstellen zu erkennen und die gesamte Strategie auf den Menschen auszurichten. Leider wird noch immer der überwiegende Teil der Sicherheitsbudgets für Firewalls und Endpoint Security ausgegeben – die Sicherheit von Cloud Services und die Sensibilisierung und Schulung der Mitarbeiter oftmals wie ungeliebte Stiefkinder behandelt. Glücklicherweise ändert sich das, und immer mehr Unternehmen erkennen die Notwendigkeit für fortschrittliche Technologie gepaart mit effektivem IT-Sicherheitstraining. Diese Kombination bietet die beste Verteidigung, wenn es darum geht, die auf dem Vormarsch befindlichen Social-Engineering-Attacken zu stoppen.
Vielen Dank für das Gespräch!