Auf dem Weg zum Security-OS

Computerworld: Mit 3D-Security hat Check Point ein neues Sicherheitskonzept ausgearbeitet, das neben der Technik auch die beteiligten Menschen und die Sicherheits-Regeln der Firmen berücksichtigt. Inwiefern geben Sie dem “Faktor Mensch” in ihren Produkten künftig mehr Gewicht? Gil Shwed: Unsere Industrie bringt ständig bessere Techniken auf den Markt, um der Sicherheitsbedrohung Herr zu werden. Wir haben aber realisiert, dass das nicht genügt. Deswegen schlagen wir vor, den Blickwinkel von einem höheren Punkt auf das Unternehmen zu werfen und dabei drei Aspekte zu berücksichtigen: Erstens müssen die Policies und Ziele definiert werden. Der zweite Aspekt berücksichtigt den Faktor Mensch. Und das dritte Element kümmert sich um die Umsetzung und technische Realisierung. Wir - und mit uns die Industrie - hat erkannt, dass Sicherheit erst mit dem Einbeziehen der Menschen funktioniert. In viele Firmen beschränkt sich die Interaktion mit den Mitarbeitern darauf, dass diese eine 20-seitige Policy in die Hand gedrückt bekommen, die sie zu unterschreiben haben. In der Regel signieren sie dieses Dokument, ohne es gelesen zu haben. Als Firma haben Sie also im Endeffekt nichts erreicht.Wie beziehen Sie also die Leute besser ein? Ein einfaches Beispiel ist Data Leak Prevention (DLP), das ja ohne menschliches Dazutun als Problem gar nicht existieren würde. Hier gelangen tagtäglich Informationen in falsche Hände, weil etwa Anwender vertrauliche Informationen aus Versehen per E-Mail an die falsche Person versenden. Man könnte nun hergehen und einfach alle vertraulichen Dokumente blockieren, was viele DLP-Systeme tun. Unser Ansatz ist da ein anderer: Wenn jemand eine vertrauliche Information an jemanden verschicken will, der nicht dazu authorisiert ist, diese zu sehen, dann wird der User gefragt, ob er das wirklich will. Ist es ein Versehen, dann kann der Anwender nicht nur die Operation abbrechen, er hat auch noch etwas gelernt, nämlich, dass das File, das er verschicken wollte, nicht ausserhalb der Firma kursieren sollte. Es kann natürlich auch sein, dass der Benutzer tatsächlich die Datei verschicken muss, etwa weil es sich beim Adressaten um Anwälte handelt, die die Files brauchen. Dann kann der Benutzer die Dateien trotzdem schicken, er muss aber erläutern, warum er dies tut. Dadurch wird der Benutzer einerseits nicht in seiner Arbeit behindert. Andererseits übernimmt er die Verantwortung und wird als Mitarbeiter aufgewertet. Dieses Prinzip kann natürlich auf viele Bereiche in der IT angewendet werden, etwa, wenn man als Anwender ein fremdes Gerät mit dem Desktop verbinden will oder einen USB-Stick, dann hat er entweder die Option, dies sein zu lassen, oder die Möglichkeit, sein Tun zu erklären. Haben Sie dieses Produkt bereits in grösseren Unternehmen getestet? Was sind Ihre Erfahrungen? Ja, es läuft bereits bei einigen hundert Kunden von uns. Es ist noch recht neu, aber was ich sagen kann, ist, dass es gut aufgenommen wird. Wir haben dabei festgestellt, dass die Anwender es lieber mit einem Computer zu tun haben, wenn sie auf Fehler aufmerksam gemacht werden. Ein Pop-up-Fenster ist für viele wesentlich angenehmer, als wenn der Vorgesetzte anruft, und über den Fehler informiert. Dann versucht man sich als Benutzer zu verteidigen, fühlt sich gekränkt oder überwacht. Beim Computer ist die Gefühlslage um einiges neutraler.Wollen Sie die 3D-Verfahren neben DLP auf weitere Security-Aspekte ausweiten? Ja, wir arbeiten beispielsweise an einem solchen Verfahren für das Surfen im Web. Da kann dann etwa eine Firma verbieten, dass ihre Mitarbeiter auf Youtube gehen. Statt aber die Adresse ganz und gar zu blockieren, wird unser System es etwa zulassen, dass Benutzer mit triftigen Gründen - etwa weil sie auf Youtube ein Trainingsvideo anschauen möchten - die Site trotzdem ansteuern können. Zudem könnte man sich vorstellen, dass eine Firma den persönlichen Gebrauch gewisser Webseiten nicht völlig verbieten will, sondern den Anwendern täglich ein gewisses Zeitkontingent zur Verfügung stellt, dass dann nicht überschritten werden kann. Auch hier weiss der Anwender, dass sein Tun nötigenfalls kontrolliert wird und verhält sich entsprechend. Dies kommt natürlich ganz auf die Policy der Firma an. Apropos Policy. Ein Teil Ihrer 3D-Sicht der Security-Dinge beinhaltet auch, dass sie Firmen bei der Formulierung und der Umsetzung einer Sicherheits-Policy helfen wollen. Wie setzen Sie diesen Vorsatz um? Das ist natürlich noch ein ganz neues Thema, bei dem wir noch keine Patentrezepte haben. Aber soviel kann ich sagen: Wir verfolgen hier grundlegend einen Ansatz, der vom Management ausgeht, der also von oben auf die Security-Bedürfnisse einer Firma schaut. Es nützt nämlich wenig, wenn man von der Technik ausgeht und so die Policies definiert. Dann tendieren diese nämlich dazu, viel zu umfangreich zu werden, was wiederum zur Folge hat, dass niemand sie kennt und befolgt. Ich nehme uns als Beispiel: Bei unserer Policy haben wir uns gefragt, was für uns besonders schützenswert ist. Das ist der Quelltext unserer Software. Somit haben wir formuliert, dass auf den Source Code unserer Produkte nur von Entwicklern zugegriffen werden darf, und dies auch nur in unseren Gebäuden. Diese Policy ist eineinhalb Sätze lang und dürfte von jedem verstanden werden. Aus dieser simplen Vorschrift haben wir dann etwa 20 Security-Massnahmen abgeleitet. Von unserer eigenen Erfahrung ausgehend wollen wir nun für unsere Produkte analog zehn Vorlagen, sogenannte Templates, von High-Level-Policies ausarbeiten, wie sie von vielen Firmen übernommen werden können. Dann werden wir aufzeigen, wie die Unternehmen mit unseren Produkten diese Vorschriften durchsetzen können. Sie haben zusammen mit dem Ponemon-Institut eine Studie veröffentlicht, die die Komplexität der Security-Landschaft anprangert. Inwiefern ist die Bedrohungslage komplex geworden? Grundsätzlich  haben mit der Einführung jeder neuen Technik auch die Bedrohungen zugenommen. Vor zwanzig Jahren mussten Sie sich davor hüten, dass Ihr PC sich über Disketten mit einem Virus infiziert. Mit Techniken wie dem Netzwerk und dem Web haben sich die Bedrohungen multipliziert. Darüber hinaus hat die Security-Industry für jede Bedrohung auch ein Gegenmittel entwickelt. Ich möchte ja nicht als Nestbeschmutzer gelten: Natürlich sind all diese Gegenmassnahmen und diese Sicherheitstechniken, auch jene von uns, sehr gut. Aber viele Firmen haben es heute mit zu vielen Security-Produkten von zu vielen Anbietern zu tun. Unsere Absicht ist es aber nicht, die Firmen dazu zu bewegen, dass sie nur noch auf einen Anbieter setzen sollten. Aber eine gewisse Konsolidierung auch im Security-Umfeld tut Not. Wir wollen daher künftig ein “Betriebssystem der IT-Security” anbieten, also einen einheitlichen Layer für Sicherheit, der die Basis darstellt für alles andere. Zur Person Gil Shwed ist CEO der IT-Sicherheitsfirma Check Point Software Technologies. Der Israeli hat das Unternehmen mit Sitz in Tel Aviv 1993 zusammen mit Marius Nacht und Shlomo Kramer gegründet. Zu den ersten Produkten der Firma gehörten eine Firewall und die weltweit erste VPN-Lösung (Virtual Private Network). Shwed gilt auch als Mitentwickler der Firewall-Technik «Stateful Packet Inspection», welche die Firma patentieren liess. Auf die Idee, wie man den Datenverkehr besser schützen könne, kam Shwed zusammen mit Nacht und Kramer während ihrer Dienstzeit bei der israelischen Armee. Sie alle waren Mitglieder der selben Einheit (Unit 8200), die unter anderem für Abhörtechniken und die Verschlüsselung der eigenen Kommunikation zuständig ist.