Interview mit RSA-Geschäftsführer Thomas Heiser

Auf der RSA Conference Europe wurde deutlich, dass die Security Division von EMC ihre informationszentrierte Unternehmensstrategie forciert. Geschäftsführer Thomas Heiser stand Rede und Antwort, auch zu eigenen Fehlern.

CW: Sie beschweren sich über sensationsheischende und oberflächliche Berichterstattung in den Medien zum Thema IT-Sicherheit. Welche Schlagzeile würden Sie denn gerne einmal lesen?

Heiser: Aus altruistischer Sicht «RSA besiegt Advanced Threats». Aus unternehmerischer Sicht wäre das aber weniger gut, weil es dann für uns nichts mehr zu verkaufen gäbe.

CW: Definieren Sie doch einmal die «bösen Buben», von denen alle immer reden. Es werden wohl kaum die Kapuzenpulliträger aus den dunklen Kellerlöchern sein, deren Fotos Sie in Ihren Präsentationen immer so schön darbieten.

Heiser: Wir gruppieren sie in verschiedene Kategorien. Da sind zum einen staatliche Einrichtungen, die es vor allem auf geheime Verteidigungsstrategiepapiere oder Industriepatente abgesehen haben. Denen kommt es nicht auf das schnelle Geld an, das damit gemacht werden kann. Es stecken längerfristige Überlegungen dahinter. Weil hier Daten kopiert und nicht im eigentlichen Wortsinne «entwendet» werden, fallen solche Vorfälle selten auf. Zum anderen gibt es die Hacktivisten, die sich durch soziale, gesellschaftliche oder moralische Antriebe zu kriminellen Handlungen genötigt sehen. Als dritte Kategorie gibt es noch diejenigen, die sich direkt bereichern wollen und einen schnellen «Return on Investment» anstreben. Sie sind gut organisiert, manchmal staatlich subventioniert und arbeiten wie normale Unternehmen.

CW: Sind alle Gruppen gleich wichtig für Ihr Geschäft?

Heiser: Sobald staatliche Stellen und Behörden mit im Spiel sind, bewegen wir uns auf einem ganz anderen Bedrohungsniveau. Gerade hier sehen wir uns als RSA mit unseren «Security Analytics»-Produkten bestens aufgestellt, was die Themen Deep Packet Inspection, dauerhafte Überwachung des Datenverkehrs, Anti-Betrug und Risikobewertung angeht.

CW: Was wollen Ihre Kunden?

Heiser: Unsere Authentifizierungslösungen helfen den meisten sofort weiter.

CW: Und die anderen Produkte, die Sie aufzählen?

Heiser: Ich hatte mich beispielsweise vor eineinhalb Jahren mit dem CIO eines Unternehmens aus dem Gesundheitswesen getroffen. Er wollte, dass wir uns seine IT-Infrastruktur anschauen und ihm berichten, wo die Schwachstellen liegen. Also haben wir eine Risikobewertung vorgenommen und ihm bei der Entwicklung einer Prioritätenliste geholfen, die er innerhalb seiner Abteilung abarbeiten wollte. Damit gehört er natürlich schon zu den fortgeschrittenen Anwendern, die nicht nur reagieren, wenn gerade etwas passiert. Er hatte jedoch vergessen, dass viele der aufgedeckten Schwachstellen nicht nur kritisch für seine eigene Abteilung, sondern kritisch für das gesamte Business waren. Nicht, dass seine Strategie falsch war, sondern er hatte schlichtweg Entscheidendes ausser Acht gelassen. Nachdem er Ende des vergangenen Jahres nach Abschluss unserer Beratung NetWitness-Services implementiert hatte, bekam ich im Februar eine Mitteilung von ihm, dass sein Netz von staatlicher Seite infiltriert worden war. Beim gemeinsamen Frühstück vor einigen Wochen dankte er mir dann dafür, dass er nur dank unserer Produkte davon umgehend Kenntnis erlangt hatte und Gegenmassnahmen einleiten konnte. Das Gute daran war, dass er diesen Vorfall seinen Vorgesetzten vorlegen konnte, um diesen klarzumachen, dass das Investment richtig gewesen war. Die Geschichte zeigt, dass die Bereitschaft, sich aktiv um IT-Sicherheit zu kümmern, schon viel wert ist. Zudem ist es eine Auszeichnung für uns als Sicherheitsfirma, wenn ein Kunde dank unserer Produkte derartige Erfolge erzielen kann.

Lesen Sie auf der nächsten Seite: Das lernte Heiser aus dem Angriff auf RSA Security