Herr Rakowski, welche Trends im Bereich Security sehen Sie in den kommenden zwölf Monaten?Mike Rakowski: Durch mobile Geräte, schnellere Internetverbindungen und immer mehr Geräte mit Netzwerkanbindung, etwa Fernseher, NAS-Systeme und ähnliches, werden neue Einfallstore für Hacker eröffnet. Die Wirtschaftsspionage floriert weiterhin, aber hier geht es nicht mehr klassisch darum, einer IT-Landschaft Schaden zuzufügen, sondern um das gezielte und spurlose Ableiten von Wissen und Daten. Dieses Know-how lässt sich schnell und einfach zu Geld machen. Gerade bei kleinen und mittelständischen Unternehmen, wo die Konkurrenz groß und die Bereitschaft für Absicherung der IT gering ist, steigt die Gefährdung.
Welche Geschäftschancen ergeben sich daraus für Fachhändler und Systemhäuser?Rakowski: In Zukunft wird es an immer mehr Stellen Einfallstore in die Netzwerke und Systeme geben. Somit ist ein ganzheitlicher Ansatz vonnöten. Eine klassische Firewall hilft heute nur noch bedingt, die weitverketteten Angriffe abzuwehren. Es gibt neue Methoden, um diese Advanced Persistent Threats (APT) zu blockieren – das erfordert jedoch ein tiefes Wissen über diese Angriffe und einen ganzheitlichen Sicherheitsansatz für ein Netzwerk. Das umfasst unter anderem die Endpoints, alle Netzwerkkomponenten bis hin zur sicheren Anbindung von Cloud-Storage. Am wichtigsten bleibt aber die Ausbildung und Sensibilisierung der eigenen Mitarbeiter.
Womit genau werden Fachhändler und Systemhäuser im Bereich Security künftig ihr Geld verdienen?Rakowski: Consulting, Beratung und Schulung für komplexe IT-Sicherheitsstrukturen bilden nur die eine Seite der IT-Security-Medaille. Auf der anderen Seite gibt es im Security-Bereich noch gute Margen und der Fachhändler kann – gerade über den Verkauf von Lizenzen – Kundenbindung erfolgreich praktizieren.
Welche Security-Produkte verkaufen sich aktuell besonders gut?Rakowski: Ungebrochen ist die Nachfrage nach UTM-Appliances (Unified Thread Management) und nach Firewall-Peripherie. Stark ansteigend ist das Interesse an mobiler Sicherheit und am sinnvollen Einsatz der Verschlüsselung von Daten – egal ob lokal, mobil oder in der Cloud.
Mit welchen Services können Fachhändler und Systemhäuser im Security-Bereich künftig punkten?Rakowski: Die ganzheitliche Betreuung des Endkunden inklusive eines Wartungsvertrages und die ständige Überwachung der Systeme machen einerseits ein lukratives Geschäft aus, sind andererseits heutzutage schon fast Pflichtprogramm. Die IT Abteilungen vieler Endkunden sind maßlos überlastet und freuen sich über jeden Arbeitsschritt, der durch Dienstleister abgenommen werden kann. Hier gibt es viele Produkte, welche die Überwachung und das Management von Netzwerken um ein vielfaches vereinfachen.
Verfügt er über keine Strategie, wird sich ein Investment kaum lohnen. Hat er doch eine, die allerdings eher zweifelhaft ist, macht ein Auftrag ebenfalls keinen Sinn.
Wenn die Führung einer Organisation die Cyber-Sicherheit nicht als Priorität ansieht, dann wird das auch die Belegschaft nicht tun. Anders, wenn Security integraler Bestandteil der Unternehmens-DNA ist.
Je ranghöher die Mitglieder eines solchen Ausschusses besetzt sind, desto mehr können Sie darauf vertrauen, dass es sich nicht nur um Lippenbekenntnisse handelt.
Tragen bestimmte Vorstände persönliche Verantwortung für die Umsetzung der Sicherheitsstrategie beim Kunden?
Ist die Sicherheitsstrategie des Anbieters nur bei einigen wenigen Stellen konzentriert, kann sie nicht Teil der Unternehmens-DNA sein.
Trägt jeder Teil des Anbieters zur Umsetzung der Sicherheitsstrategie bei oder wird dies durch ein spezielles Team verantwortet? Im zweiten Falle kann die Verantwortung leicht abgeschoben werden.
Hat sich das Management nicht mit diesen Vorfällen befasst, dann kann Security auch kein integraler Bestandteil des Unternehmens sein.
Der Anbieter sollte die Anwendung seiner eigenen Medizin in seiner Organisation demonstrieren können.
Erst wenn stets die neuesten Standards übernommen werden, lässt sich von einer Sicherheitsstrategie "up-to-date" sprechen.
Der Anbieter sollte über ein definiertes Verfahren verfügen, um neue Standards zu überprüfen und rechtliche Konflikte auszuschließen.
Neben der Verschlüsselung sollte auf die Prozess-Standards der ISO 27000-Serie sowie Industriestandards wie X.805, PCI und OWASP geachtet werden.
Der Anbieter muss zeigen können, wie er auf teilweise widersprüchliche Gesetze in den verschiedenen Ländern reagiert.
Können sich die verschiedenen Länderteams beim Gesamtmanagement Gehör verschaffen? Nimmt das Management Rücksicht auf Gesetze?
Der Anbieter muss integrale Prozesse vorweisen können, um auch hier sicherzustellen, dass die gesetzlichen Bestimmungen ausreichend Berücksichtigt werden.
Der Anbieter muss definierte Vorgaben für den Umgang mit geschützten Inhalten vorweisen können, die auch ethnische und regionale Unterschiede in Betracht ziehen.
Vertriebler wollen verkaufen und betrachten dabei Gesetze und Vorgaben oft als lästig. Es braucht stringente unternehmensinterne Regeln, um diese Teams auf die jeweils gültigen Regeln einzuschwören.
Vertragswerke sind in der Regel sehr komplex, dennoch muss ein Verfahren bestehen, mit dem sie auf ihre "Wasserdichtheit" bezüglich der jeweils geltenden Gesetze überprüft werden können.
Der Anbieter muss Kontrollmechanismen vorweisen können, um etwa Lizenzkonflikte auszuschließen.
Solange das Management – und hier besonders das mittlere Management – keine Vorbildfunktion einnimmt, werden auch die Angestellten eine laxe Haltung der Sicherheit gegenüber einnehmen.
Jeder Mitarbeiter des Anbieters, der auf Ihr System und Ihre Daten Zugriff hat, muss ganz besonders geschult werden, um seiner Verantwortung gerecht werden zu können.
Interne Gefahren sind größer als externe, Sie müssen sowohl darauf vorbereitet sein als auch darauf reagieren können.
Wenn das Wissen der entscheidenden Mitarbeiter nicht "up-to-date" ist, gehen Sie ein hohes Risiko ein.
Kritische Posten müssen definierte Prozesse der Fortbildung durchlaufen.
Der Anbieter muss standardisierte Verfahren vorweisen können, mit denen Mitarbeiter die Gesetzeslage nahe gebracht wird.
Die Mitarbeiter, nicht das Management, haben den Finger am Puls des Kunden und spüren als erstes, wenn etwas schief läuft. Es muss dezidierte Abläufe für Alarmrufe an das Management geben.
Mitarbeiter haben oft jede Menge Erfahrungen gesammelt – profitiert der Anbieter davon, auch wenn der Mitarbeiter das Unternehmen verlässt, etwa dadurch, dass er ihn abschließend befragt? Auch hier sollte es festgelegte Mechanismen geben.
Wie will der Anbieter gegen Mitarbeiter vorgehen, die wissentlich gegen die Vorgaben und Regularien zur Cybersicherheit verstoßen haben?
Verstöße sollten erst gar nicht passieren, da das Management seine Mitarbeiter streng überwachen sollte. Bei Vorfällen sollten sich diese übergeordneten Stellen nicht aus der Verantwortung stehlen können.
Der Anbieter muss ein Regelwerk vorlegen können, um sichere Entwicklungsprozesse gewährleisten zu können. Hier gibt es keinen globalen Standard, jedes Unternehmen muss seine eigenen Prozesse definieren.
Der Anbieter muss belegen können, dass sein Sicherheitskonzept dynamisch und fest im Entwicklungsprozess integriert ist.
Jedes Land hat andere Gesetze – unflexible Prozesse sind nicht in der Lage, darauf adäquat zu reagieren.
Wie schließt der Anbieter Konflikte zwischen Sicherheitsanforderungen und gewünschten Funktionen über den gesamten Lifecycle hinweg aus?
Software kann sehr komplex sein, ihre Weiterentwicklung muss in einem eng gesteckten Rahmen erfolgen, sonst wird sie leicht überladen und kontraproduktiv.
Ungeprüfte Unterprogramme von Dritten können ein System behindern oder gar lahmlegen, von der mangelnden Sicherheit ganz abgesehen.
Der Anbieter sollte die Integration einer neuen Software in das bestehende System demonstrieren können.
Es gilt, interne Gefahren einzudämmen, indem nicht zu viel Verantwortung in eine Hand gelegt wird.
Die Software Ihres Anbieters mag konfliktfrei und sicher sein – stimmt dies aber auch für alle fremden Teile?
Die Qualitätskontrolle muss auch auf Software von Dritten angewandt werden.
Wie sieht die Qualitätskontrolle konkret aus?
Guter Code findet sich oft in vielen Bereichen eines Systems – ein Fehler darin muss methodisch und überall behoben werden.
Im Laufe des Bestehens eines Unternehmens sammeln sich viele verschiedene Programme an – mit welchen Mitteln stellt der Anbieter sicher, dass sie alle auf ihre Sicherheit hin überprüft werden?
Ohne genauen Überblick über alle eingesetzten Komponenten kann die Fehlersuche Tage oder gar Wochen dauern. In dieser Zeit können Sie das Angebot nicht nutzen.
Automatisierte Programme und Werkzeuge sollten für eine dynamische und permanente Überprüfung des Systems sorgen.
Ihr Anbieter sollte Ihnen garantieren können, dass sein Produkt nicht nur zu 95 sondern zu 100 Prozent marktreif ist.
Sie wollen sich nicht immer aufs Neue mit einem bekannten Problem herumschlagen. Wie stellt der Anbieter sicher, dass ein Defekt ein und für alle mal aus dem System verschwindet?
Niemand kann Experte für alles sein. Es muss unter den Entwicklern spezielle Personen für die Sicherheit von Codes geben.
Nicht nur bekannte Gefahren gilt es abzuwehren, auch für künftige müssen Sie gewappnet sein. Wie will dies der Anbieter garantieren?
Für jeden Prozess ihres Anbieters sollte es eine Reihe von integrierten Plattformen geben.
Hier gibt es kein "richtiges" Modell, Sie müssen einfach überprüfen, ob das Release Management Ihres Anbieters zu Ihnen passt.
Entwickler haben ihre eigene Sicht der Dinge – erst eine unabhängige Instanz sorgt für ausreichend Objektivität.
Der unabhängigen Testinstanz muss ein Vetorecht zugebilligt werden.
Welche Methoden kommen zum Einsatz, um die Produkte des Anbieters wasserdicht zu halten?
Ein gewisser Wettbewerb zwischen interner und externer Kontrollinstanz gewährt ein Plus an Sicherheit.
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
Je offener Ihr Anbieter Ihnen gegenüber auftritt, umso sicherer können seine Produkte werden.
Erhalten Sie von dem unabhängigen Testlabor einen ungeschminkten Ist-Bericht oder will der Anbieter diesen schönen?
Kennt ihr Anbieter die eingesetzten Untersuchungsmethoden, dann kann er sich dafür präparieren.
Fehlerreports dürfen nicht einfach in der Ablage P oder einer Schublade landen.
Vermeintlich "gesäuberte" Software ist nur vermeintlich sicher – sie muss neuerlich überprüft werden.
Fehler (und Lösungen) müssen systematisch gesammelt werden, damit sie in Zukunft ausgeschlossen werden können.
Wie garantiert Ihr Anbieter, dass alle von Zulieferern bezogenen Produkte Ihren Sicherheitserwartungen entsprechen?
Hier wird es schnell unübersichtlich: Zertifikate können dabei helfen, die Produkte von Zulieferern der Zulieferer als sicher zu behandeln.
Zulieferer müssen wissen, was von ihnen in Sachen Sicherheit erwartet wird.
Zulieferer kommen und gehen – es muss eine davon unabhängige und festgeschriebene Methode zur Überprüfung der Einhaltung des Maßnahmenkatalogs vorgesehen sein.
Immer wieder treten in Anwendungen erst nach einiger Zeit Probleme auf. Ihr Anbieter muss darüber schnellstmöglich informiert werden, so dass er Sie schützen kann.
Ein Zulieferer muss dazu gebracht werden können, Sicherheitsüberprüfungen durchzuführen und Maßnahmen zu verbessern. Ist dies aus welchen Gründen auch immer nicht möglich, müssen weitere Maßnahmen greifen.
In verschiedenen Ländern gelten verschiedene Standards – Ihr Anbieter sollte eine wirklich große Palette an unterstützten Protokollen vorweisen können.
Ein kollaborativer Ansatz kann Ihnen, Ihrem Anbieter und seinen Zulieferern helfen, Produkte sicherer zu machen.
In der Fertigung kommen viele komplexe Prozesse und Verfahren zum Einsatz. Ihr Anbieter sollte einen holistischen Ansatz dafür darlegen können, in dem die besten international gültigen Standards und Ansätze versammelt sind.
Treten Anwendungsfehler im Betrieb auf, müssen die betreffenden Teile separiert und geprüft werden, bevor sie zurück ins System gespielt werden.
Ihr Anbieter sollte keinem seiner Zulieferer Vertrauen schenken, sondern auf Nummer Sicher gehen.
Wieder gilt es, die internen Gefahren im Haus des Anbieters zu minimieren.
Fertige, aber noch nicht eingesetzte Produkte bieten ideale Möglichkeiten für Manipulationen. Wie schützt sich der Hersteller dagegen in seinen Fabriken und Lagerhallen?
Logistikströme müssen überwacht und vor Manipulationen geschützt sein.
Software ist oft fehlerhaft und braucht Updates. Der Einsatz der jeweils neusten Releases minimiert das Fehlerrisiko.
Ihr Anbieter muss eine lückenlose End-to-End-Integration demonstrieren können.
Gerade während der Fertigung braucht Software besonderen Schutz. Eine Monitoring-Lösung sollte den Zugriff von Unautorisierten verhindern.
Offene Ports erlauben es, auch noch nachträglich Manipulationen am fertigen Produkt vorzunehmen.
Ein Produkt, das einem Abnehmer fix zugeordnet ist, lädt zu Angriffen auf eben diesen spezifischen Abnehmer ein. Anonymisierte Software minimiert dieses Risiko.
Wieder muss Ihr Anbieter beweisen können, dass er niemandem traut – noch nicht einmal Ihnen!
Oft handelt es sich um Kundendaten, und die dürfen schon aus datenschutzrechtlichen Gründen nicht weitergegeben werden, natürlich auch nicht an Ihren Software-Anbieter.
Auch beim Beheben von Fehlern darf der Anbieter von seinem Konzept der absoluten Überwachung nicht abweichen.
Die Sicherheit einer Software kann nur durch eine lückenlose Überwachung und Dokumentation gewährleistet werden.
Auch die von Ihnen eingesetzte Software benötigt Wartung – Sie dürfen aber die Kontrolle über den Zugang dazu nie verlieren.
Der Anbieter muss Richtlinien und Verfahren vorweisen können, wie die Zugangsdaten geschützt sind und was mit Ihnen nach Beendigung der Wartung passiert.
Sind die Rechner der Mitarbeiter verseucht, besteht auch höchste Gefahr für Ihre Anwendung und Ihre Daten.
Produkte für Unternehmenskunden sind oft sehr komplex, Teile davon benötigen Updates etc. Ihr Anbieter muss nachweisen können, dass stets die aktuelle Version bearbeitet wird.
Hier müssen Methoden installiert sein, um das Korrumpieren Ihres Produkts zu verhindern.
Auch alle Hardware-Komponenten müssen abgesichert werden.
Es muss Vorschriften und Regeln über den Umgang mit Kundendaten geben, diese muss man Ihnen vorlegen können.
Sie müssen sich mit Ihrem Anbieter auf Vorgaben einigen, was in diesem Fall erlaubt ist und was nicht. Bedenken Sie dabei immer die Datenschutzrichtlinien der betreffenden Länder.
Auch für das Löschen von Daten müssen automatisierte Methoden vorliegen, diese muss man Ihnen demonstrieren können.
Hier sollten industrieweit anerkannte Überwachungsprotokolle zum Einsatz kommen.
Business Continuity muss neben der Sicherheit ganz oben auf der Prioritätenliste Ihres Anbieters stehen.
Vorkonfigurierte Prozesse und ein jederzeit erreichbares Kriseninterventionsteam minimieren den Schaden.
Ihr Anbieter sollte sich als flexibel genug erweisen, um mit Ihnen beziehungsweise Ihrem Team auch im Krisenfall reibungslos zusammenarbeiten zu können.
Ihr Anbieter muss sich als lernfähig erweisen und in Sachen Sicherheitsbedrohungen auf dem jeweils neusten Stand sein.
Treten Probleme auf, zählt jede Sekunde. Stellen Sie sicher, dass es vorkonfigurierte Kommunikationskanäle vom Anbieter zu verantwortlichen Stellen in Ihrem Unternehmen gibt.
Je mehr Feedback die Konzernspitze Ihres Anbieters über die eigene Sicherheitslage erhält, umso vertrauenswürdiger ist er.
Je offener ein Anbieter für Untersuchungen und Expertisen von Dritten ist, desto wahrscheinlicher ist sein Unternehmen ein sicheres.