«Die Cloud per se ist unsicher»

Ist die Schweizer IT ausreichend geschützt? Computerworld sprach mit Amnon Bar-Lev, President des Sicherheitsanbieters Check Point Software, über die Stärken und Schwachstellen Schweizer Unternehmen. Wir trafen Bar-Lev am Rande des CIO-Roundtables „Security – one step ahead“. Schweizer Banken sind sehr sicherheitsbewusst und investieren grosse Summen in neue Technologien. Schwächen sieht Bar-Lev bei den Schweizer Infrastruktur-Anbietern: Energie, Wasser und Verkehr. Das Risiko, das vom mobilen Angriffsvektor ausgeht, hat stark zugenommen.

Bar-Lev: Ich unterscheide zwei Dinge: Sicherheitsherausforderungen und Herausforderungen punkto Operations. Die IT-Landschaft unserer Kunden ist in den letzten Jahren viel komplexer, elastischer und agiler geworden. Mobile Devices, die private und die public Cloud kamen hinzu. Die gesamte IT-Umgebung hat sich in den letzten Jahren stark verändert, und damit auch die Anforderungen an den Schutz dieser IT. Unsere Kunden machen sich sorgen, dass sie mit ihrer Sicherheitstechnologie nicht mehr Schritt halten können. Viele CIOs investieren grössere Summen in die Sicherheit ihrer IT, meist in Technologien unterschiedlicher Anbieter. Sie sind sich aber nicht sicher, ob sie in die richtigen Lösungen investiert haben, die ihnen auch tatsächlich Schutz bieten.

Bar-Lev: Ich denke, man kann sich schon ausreichend geschützt fühlen. Immer mehr Sicherheitstechnologie aufeinander zu türmen ist nicht die richtige Strategie. 100prozentige Sicherheit ist zwar nicht erreichbar. Aber Kunden sollten Vertrauen in die Technologie haben, in die sie investieren.

Bar-Lev: Es handelt sich aber um ihre Daten. Werden die Daten entwendet, hilft Ihnen die Tatsache, dass der Cloud-Anbieter für die Sicherheit verantwortlich ist, überhaupt gar nicht weiter. Stellen Sie sich vor, die Bank, bei der Sie ihr Geld angelegt haben, wird gehackt. Dann ist erst einmal ihr Geld weg, nicht das der Bank.

Bar-Lev: Lassen Sie mich etwas weiter ausholen. Es gibt verschiedene Arten von Clouds: Application clouds, Infrastructure Cloud, Platform Clouds. Kunden gewinnen dadurch an Flexibilität, und das sind ganz ausgezeichnete Angebote. Aber prinzipiell, das liegt in der Natur der Sache, wird die IT unsicherer, wenn sie in die Cloud ausgelagert wird.

Bar-Lev: Die Cloud ist prinzipiell unsicherer, weil das Geschäftsmodell jedes Cloud-Anbieters auf Sharing von Ressourcen beruht. Kunden teilen sich Applikationen, Datenbanken, Netzwerke und Server. Und geteilte Ressourcen beinhalten das Risiko, dass ein Mitkunde sich ihrer Daten bemächtigt.

Bar-Lev: Dann handelt es sich nicht um eine Cloud, sondern um einen reinen Hosting-Dienst. Das ist völlig in Ordnung. Aber jede Cloud – wie Azure, Salesforce oder Amazon – basiert auf Ressourcenteilung. Wissen Sie, ich empfehle meinen Kunden nicht: Lassen Sie die Finger davon. Ich bin nicht gegen die Cloud. Die Cloud ist eine grossartige Sache. Aber ich empfehle, zusätzliche Sicherheitsmechanismen zu implementieren und sich genau zu überlegen, welche Daten und Dienste in die Cloud ausgelagert werden können, und welche nicht. Wir haben zum Beispiel Lösungen, die Anwender sicher mit ihrem Application Provider verbinden und garantieren, dass jeder Anwender sich korrekt authentifiziert. Es gibt Technologien, die Cloud sicherer zu machen.

Bar-Lev: Sie benutzen ein VPN (Virtual Private Network) und authentifizieren sich nicht direkt bei Salesforce, sondern über ein separates Gateway, das sie dann mit Salesforce verbindet. Das dabei benutzte Protokol heisst SML (smart message language). Die Idee dahinter: Nur berechtigte Anwender können sich über eine verschlüsselte Transportverbindung und durch starke Authentifizierung in die Salesforce Cloud einloggen.

Bar-Lev: Sie können zusätzliche Sicherheitsmechanismen einsetzen. Kritische Daten lagern Sie zum Beispiel auf dem eigenen On-Premise-Speicher und verlinken dann auf die entsprechenden Datensätzen in der Salesforce Cloud. Das sind Beispiele, wie die Cloud zusätzlich sicherer gemacht werden kann. Und ich empfehle, bei der Auswahl eines Cloud Providers darauf zu achten.

Bar-Lev: Banken gehören zu den Kunden, die sehr viel Geld in sehr ausgefeilte Sicherheitsmechanismen investieren. Sie gehören zu unseren am weitesten fortgeschrittenen Avantgarde-Kunden. Und ich verrate Ihnen sicher kein Geheimnis: Banken haben gar kein Geld, dort stehen nur Computer mit jeder Menge virtueller Einträge. Ihr Geld ist nur ein Eintrag im Computer. Das ganze Geld liegt nicht mehr im Safe, es handelt sich um digitale Einträge, also um Daten. Deshalb unternehmen Banken riesige Anstrengungen, um ihre Daten vor dem Einfluss Dritter zu schützen. Es gibt eine ganze Reihe erprobter Best Practices für die Bankenindustrie.

Bar-Lev: Ich nennen ihnen einen Vektor, der definitiv über bessere Sicherheitsmechanismen nachdenken sollte: die kritische Infrastruktur, also Energie, Wasser, Transport. Unternehmen, die in diesen Branchen tätig sind, bestehen eigentlich aus zwei Firmen unter einem Dach. Auf der einen Seite gibt es die IT mit ihren Anforderungen wie Speicher, Rechenzeit und Intrusion Protection, auf der anderen Seite steht die operationale Technologie (OT), die zum Beispiel die erzeugte Energiemenge misst und den Transport der Energie organisiert.

Die IT dieser Unternehmen ist sehr weit fortgeschritten, aber die OT ist sehr konservativ ausgelegt: Solange die Operations gut funktionieren, also zum Beispiel die Energieversorgung garantiert ist, wird nichts verändert. Aus diesem Grund ist die OT etwa der Energie- und Wasserversorger verwundbar und nur sehr rudimentär abgesichert. Einige OTs sind noch nicht einmal mit dem Internet verbunden, was aber nicht heisst, dass sie sicher sind. Kriminelle können Malware auch auf USB-Sticks ins Innere der Gebäude schmuggeln. Oder ein Techniker spielt ein Update für ein PLC auf und benutzt dafür einen Laptop, der infiziert ist. Schon ist die Malware im System.

Bar-Lev: Der Mensch, also die Mitarbeiter eines Unternehmens, ist immer das schwächste Glied in der Sicherheitskette. So etwas passiert. Der entscheidende Punkt ist aber: Falls etwas geschieht, dann muss die Malware so schnell wie möglich eingegrenzt und isoliert werden. An dieser Stelle hilft Technologie, das menschliche Risiko zu minimieren. Netzwerksegmentierung zum Beispiel erhöht die Sicherheit, oder Controls, die automatisch ablaufen, um zum Beispiel das Verhalten der Anwender zu überwachen.

Bar-Lev: Ich unterscheide zwischen dem Schutz des Netzwerkes und dem Schutz der Endpoints, also der Anwender-Devices. Ein wirksamer Netzwerkschutz besteht aus zwei Komponenten: Einer Firewall plus Zugriffskontrolle (access control), ergänzt durch ein Intrusion-Prevention-System (IP). IP hat es mit bekannten und bislang unbekannten Bedrohungen zu tun, und muss mit beiden fertig werden. Zu den eingesetzten Technologien zählen zum Beispiel Anti-Malware-Programme oder Sandboxing, wo verdächtige Dateien in einer isolierten, gesicherten Umgebung quasi ausgetestet werden.

Die erste Hauptsäule ist der Schutz des Netzwerkes und des IT-Systems (Zugriffskontrolle plus Intrusion Prevention), die zweite der Schutz der Daten selbst.

Bar-Lev: Durch Data Leak Prevention, kryptographische Verfahren, es gibt dort mehrere Dinge, die man tun kann, um Daten besser zu schützen. Und dann nehmen Sie die ganze Technologie und schützen damit mobile Komponenten wie Smartphones, Tablets und Laptops.

Viele Schweizer Unternehmen schützen ihre Infrastruktur und ihre Daten mithilfe unserer Sicherheitstechnologien. Ich wünsche mir von Schweizer CIOs, dass sie verstärkt ein Bewusstsein für die aktuellen Sicherheitsrisiken entwickeln, denen sie ausgesetzt sind, und dass sie ihre Sicherheitsstrategie den aktuellen Bedrohungsszenarien anpassen. Beides ist sehr, sehr wichtig.

Normalerweise ist es gut, länger nachzudenken und sich dann zu entscheiden. Aber unter Sicherheitsaspekten dürfen sich CIOs nicht zu konservativ verhalten und nicht zu lange zögern. Denn wir haben diese Zeit nicht.

Bar-Lev: Wir haben die beste Sicherheitssoftware mit der höchsten Erkennungsrate, das haben uns auch externe Labors wie die NSS Labs wiederholt bestätigt (Breach Detection Test Report: Check Point 13500 Next Generation Threat Prevention Appliance with Thread Emulation Cloud Service R77.20). Wir haben das beste Sicherheits-Management zurzeit, um internationale Unternehmen mit Niederlassungen in mehreren Ländern von einer einzigen Lokation aus mit Sicherheitssoftware zu versorgen. Viele unserer Konkurrenten haben Defizite, grosse und verteilte IT-Landschaften zu managen.

Das wichtigste Argument: Wir verkaufen keine punktuelle Lösung, sondern eine modular aufgebaute und skalierbare Architektur. Sie können bei Bedarf die Sicherheit erhöhen, indem Sie zum Beispiel zusätzliche Lizenzen aktivieren.

Bar-Lev: Weltweit haben wir etwa 100 000 Kunden. In der Schweiz erreichen wir eine Marktdurchdringung von 70 bis 80 Prozent. Die Schweiz ist ein sehr guter Markt, weil Schweizer Kunden den Wert von Qualität und Best-of-Breed-Lösungen zu schätzen wissen.

Bar-Lev: Die Welle mobiler Malware, die zurzeit auf uns zurollt, ist schon beeindruckend. Kriminelle attackieren mobile Geräte, um Daten zu stehlen, die Lokation ihrer Eigentümer festzustellen und vieles andere anzuzapfen. Kriminelle wissen dann alles über ihre Kontakte und ihre Mails und können zum Beispiel die Diskussionen während eines Business-Meetings mitschneiden. Das Gerät funktioniert wie eine mobile Wanze.

Ein beliebter Trick funktioniert zum Beispiel so: Anwender fahren ihr Smartphone herunter, aber das Gerät bleibt weiter angeschaltet. Sämtliche Funktionen - das Mikrofon, die Kamera, Mail und SMS - funktionieren nach wie vor, weil die Malware ein graues JPEG aufspielt, das ein ausgeschaltetes Display nur vortäuscht.