Uwe Gries, Country Manager DACH bei Stormshield, über das Management von Gefahren, die aus den Weiten des World Wide Webs kommen.
Zum Thema Cybersecurity gibt es immer neue Tools. Was ich vermisse sind die Aspekte Strategie und Prozesse.
Uwe Gries: Sie haben Recht, egal ob man heute auf eine Messe geht oder Internetrecherche betreibt, es herrscht kein Mangel an Tools. Wenn man das Thema Cybersecurity von der Toolseite her angeht, kommt schnell das Erwachen, damit löst man nur teilweise das Problem oder es tauchen neue Bedrohungen / Bedürfnisse auf. Ist dann wieder ein neues Tool die Lösung? Wichtig ist es, zuerst eine Bestandsaufnahme durchzuführen. Was will ich erreichen? Wo habe ich Sicherheitslücken? Welche Strategie habe ich und welche Prozesse benötige ich?
Und genauso gehen wir vor. Wir müssen heute nicht mehr missionarisch unterwegs sein. Die Unternehmen kennen in der Regel die eigenen Schwachstellen. Unsere Produkte sind darauf ausgerichtet, sie sind modular und leistungsfähig. Damit können wir also in vielerlei Hinsicht Abhilfe schaffen. Wir eruieren mit den Kunden was ihnen wichtig ist und wie wir das Problem mit dem größten Mehrwert lösen können.
Wie schaut es Ihrer Meinung nach mit dem Thema der Risikobewertung und damit der Priorisierung von Angriffsvektoren aus?
Uwe Gries: In der Regel ist es relativ einfach, so banal das klingt. Das Unternehmen weiß in der Regel um die eigene Situation. Zeit-, Budget- und Personalmangel sind ein Problem, daher werden potentielle Sicherheitslücken oft verzögert angegangen. Die Bestandsaufnahme und Evaluierung offener Angriffsflächen an sich erfolgen ziemlich schnell. Wichtig ist es jedoch, Vertrauen zwischen dem Kunden und dem Lieferanten aufzubauen. Man muss über Probleme offen sprechen.
Eine Managementkonsole ist quasi das Backbone Ihrer Lösung. Wo liegen die Unterschiede zu Security Information and Event Management-Systemen, kurz SIEM?
Uwe Gries: Technisch gesehen ist das nicht das gleiche. Eine Managementkonsole wie das Stormshield Management Center dient dazu, alle Stormshield-Produkte zu managen. Natürlich kann man auch andere Lösungen integrieren. Ein SIEM hingegen ist ein Log-Management-Tool, in dem ich die Daten unterschiedlicher Hersteller und produktübergreifend alle Informationen in einer Datenbank speichere und visuell darstelle. Das kann eine Managementkonsole nicht. SIEM fügt also eine zusätzliche Berichterstattungsschicht hinzu, die ebenfalls zum allgemeinen Sicherheitsniveau einer Infrastruktur beiträgt, jedoch in der Regel nur in größeren Unternehmen zum Einsatz kommt, denn es handelt sich um eine größere Investition in ein Produkt mit Lizenzen, Einführung, Wartung und Personal.
Neben den Angriffen von außen gibt es ja das gleiche Risikopotenzial quasi gespiegelt noch einmal von innen. Kann man das aus einer ganzheitlichen Betrachtungsweise ausblenden? Was empfehlen Sie Unternehmen hier?
Uwe Gries: Ja und es verhält sich wie die zwei Seiten einer Medaille. Die Angriffe von außen sind sicher die publikumswirksameren. Die von innen sind gefährlicher, weil perfider, man rechnet einfach nicht damit. Angriffe von innen kann man im Wesentlichen mit den gleichen Tools begegnen. Der Unterschied ist, man muss mehr über die Prozesse nachdenken, etwa in puncto Zugriffsrechte. Aber man kann sich nicht immer 100%ig vor dem Menschen schützen, wenn er schlechte Absichten verfolgt. Die Frage ist, welchen Mitarbeitern kann man im hochsensiblen Bereich vertrauen?
Wie plant und implementiert man eine „richtige“ Sicherheitslösung? Gibt es eine Art Vorgehensmodell und/oder Best Practices?
Uwe Gries: Oft verfügt der Kunde bereits über ein oder mehrere Schutzmodelle, die er einsetzen möchte. Um diese erfolgreich in die Tat umzusetzen, müssen beide Seiten (Kunde und Anbieter) das gleiche Verständnis über das in Frage kommende Modell teilen, dessen Tragweite ermitteln und gemeinsam definieren, wo der größte Mehrwert liegt. Ein innovativer, differenzierter Ansatz bei der Auswahl der dazu passenden Cybersicherheitslösungen spielt dabei eine genauso wichtige Rolle wie die erfolgreiche Einführung von digitalen Hygiene-Maßnahmen, die mittlerweile in jedem Unternehmen unerlässlich sind.
Interaktion als tragende Säule eines kollaborativen Sicherheitskonzeptes
Erfolgreich kann eine Umsetzung nur dann sein, wenn bestimmte immer wiederkehrende Aufgaben automatisiert ausgeführt werdenkönnen. Dazu sind Tools notwendig, wovon es aber Hunderte am Markt gibt. Was tun?
Uwe Gries: Wie erwähnt: An Tools mangelt es definitiv nicht. Doch wichtig für eine teilweise Automation der Cybersicherheit ist deren Fähigkeit miteinander zu interagieren. Genau diese Interaktion ist die tragende Säule unseres kollaborativen Sicherheitskonzeptes, das wir mit unseren Lösungen zum Schutz vom Unternehmensperimeter, von Hosts (Server / Workstations) und Daten verfolgen. Darüber hinaus sollte eine gewisse Interaktion mit Monitoring-Tools von Drittanbietern gewährleistet sein, damit z.B. die Firewall sofort eingreift, falls eine Sonde eine Anomalie erkennt. Dies ist z.B. wichtig im Industrie-Umfeld, wo ein verzögertes Greifen der Abwehrmechanismen katastrophale Folgen haben könnte. Dasselbe gilt für die Übertragung oder Streichung von Anwender- und Gruppenpolicies bei Neuzugängen oder Austritten. Das sollte zum Beispiel anhand festgelegter Kriterien mit wenigen Klicks erfolgen oder gar automatisch, sobald sich ein neuer legitimer Benutzer ans Netz anmeldet oder der Mitarbeiter von der Firma ausscheidet. Unsere Produkte bieten solche Automatisierungstools und sind modular aufgebaut. Die Größe und Funktionalität ergibt sich aus dem Kundenbedarf gekoppelt mit dem angestrebten Sicherheitslevel. Welche Teile machen Sinn auf Anwenderseite? Ein Beispiel hierfür wäre das Erkennen von Spam. Man kann, muss aber diesen Teil nicht aktivieren und das gilt auch für andere Teilbereiche. Für manche Teillösungen verfügt der Kunde vielleicht bereits über ein anderes Tool, das er favorisiert.
Ein anderes Beispiel: Viele Kunden nutzen hybride Lösungen. Hier könnte der Beratungsansatz lauten: Der Kunde gibt ganze Bereiche wie etwa sein Spesentool mit persönlichen Daten in die Cloud. Hier würde zum Beispiel der Inhalt verschlüsselt, das Cloudmodell und die Daten sind also kein Problem. Alles wäre genauso sicher wie bei einer Inhouse-Lösung.
Dashboards, ein übersichtliches Reporting , Alert-Anzeigen, das sind heute für das Management wichtige Funktionen. Wie sieht da Ihre Umsetzung aus?
Uwe Gries: Ja, so sollte es sein und genauso machen wir das auch. Als Betriebssystem nutzen wir Free BSD, es ist quelloffen, also kein geschlossenes Systems. Alle Reports können die Kunden selbst ändern und außerhalb von Stormshield auch neu schreiben, falls das gewünscht wird.
Mit Zero Trust ist in den letzten Monaten verstärkt ein neuer Begriff aufgetaucht. Ist das ein Paradigma für die Zukunft?
Uwe Gries: Zero Trust ist so definiert keinem Benutzer und keinem Gerät grundsätzlich zu vertrauen. Im Prinzip ist das nicht neu, doch wurde diese Absicherungsstrategie zugunsten weniger streng geregelter Zugriffe auf Unternehmensressourcen nicht konsequent eingesetzt. Die aus der Not teilweise überhastete Umstellung auf Heimarbeit zeigte allerdings die vielen Gefahren laxer Sicherheitspolices, weswegen wir der Meinung sind, dass gut geführte Unternehmen über ein ausgereiftes Benutzer- und Rechtemanagement, kurz IAM, verfügen müssten. Dann ist eine Art Grundgerüst vorhanden. Mit „Zero Trust“-Modellen wird dies Grundgerüst stärker: Eine sehr strenge Auslegung von Regeln, die wenig zulassen und Stück für Stück Gruppen und Benutzern mehr Rechte einräumt, sind auch zukünftig der richtige Weg.
Gibt es noch flankiernde Maßnahmemöglichkeiten?
Uwe Gries: Ein Trend wäre, Mitarbeiter zu schulen, um das Bewusstsein für die IT-Sicherheit zu stärken. Das wäre dann eine zusätzliche Sicherheitsebene. Im Unternehmensbereich vertraut der Mitarbeiter der IT. Man sollte stets wachsam und in einem gewissen Grad auch misstrauisch sein.
Herr Gries, wir danken für dieses Gespräch.
Das Gespräch führte Ulrich Parthier.