Eva Chen hat 1988 zusammen mit Steve Chang und Jenny Chang Trend Micro gegründet. Das Unternehmen hat - wie damals alle - als Anti-Virus-Firma angefangen - und erlebte schon einige Höhen und Tiefen. Es hat sich in der dynamischen Cybersecurity-Branche aber bislang gut behaupten können. Geholfen hat dabei der frühe Fokus auf Enterprise-Technologie, schließlich hat Microsoft mit seinen Bemühungen den Desktop-Security-Anbietern rasch das Wasser abgegraben - nachdem es von ihnen zuerst milde belächelt wurde. Für Firmen von Avira bis Norton brachte die Entwicklung aber dramatischen Veränderungen mit sich.
Jetzt sieht Eva Chen einen ähnlichen, aber noch wesentlich tiefgreifenderen Wandel bevorstehen. Katalysator für eine rasche Veränderung dürfte die Update-Panne bei CrowdStrike sein. Zwar hätte sie vielen Wettbewerbern so oder so ähnlich passieren können, aber bei CrowdStrikle war sie wegen der großen Marktbedeutung des Unternehmens besonders gravierend. Noch sind die juristischen Folgen längst nicht ausgestanden. Dass sich Veränderungen anbahnen, zeigen aber Forderungen des BSI und Pläne von Microsoft.
Vor dem Hintergrund hat Chen auf der dem AI Summit der Cybersicherheitskonferenz Black Hat USA ihre Sicht auf die künftige Entwicklung dargelegt. Angesichts eines revolutionären Technologiewechsels (durch KI) und neuer Bedrohungen mahnte sie dabei zu einem "Gleichgewicht zwischen Cybersicherheits- und Geschäftsstrategie".
Business Continuity muss in den Fokus rücken
"Mit der Verlagerung der Verantwortung für die Cybersicherheit vom regulären IT-Betrieb hin zum spezialisierten SOC vergrößerte sich die Kluft zwischen den Sicherheitszielen und den Unternehmenszielen", so Chen. "Der jüngste Ausfall ist symptomatisch für diese Diskrepanz. Unternehmen und Security-Anbieter müssen ihre Sicherheitsziele neu ausrichten, um die Business Continuity besser zu unterstützen und nachhaltige Sicherheitsstandards sowie reibungslose Geschäftsabläufe zu gewährleisten. Als Branche sind wir gefordert, kreativer darüber nachzudenken, wie wir diesen Anforderungen bestmöglich gerecht werden können."
Chen prangerte zwar auch unverantwortliche Qualitätssicherungsprozesse an, wies aber auch auf die mangelnde Verzahnung von Cybersecurity mit spezifischen Unternehmensbedürfnissen und eine "One-Size-Fits-All"-Mentalität bei der Bedrohungserkennung im Endpoint-Bereich hin. Diese Kombination habe schließlich zum Scheitern geführt.
Nach Ansicht von Chen sollten Anwender und Anbieter Cybersecurity über die reine Bedrohungserkennung hinaus denken und auch Anforderungen an Verfügbarkeit und Kontinuität berücksichtigen. Viele Security Operations Center hätten diese Gedanken bereits aufgegriffen und betrachteten Cyberaktivitäten im Kontext eines ganzheitlichen Risikomanagements - verbinden also technische und nicht-technische-Ziele.
Kritik am Single-Agent-Ansatz
Die meisten Anbieter setzen bei Endpunkt-Sicherheit laut Chen jedoch weiterhin auf starre Single-Agent-Ansätze. Die könnten ein Risiko für die Business Continuity darstellen: "Starre Single-Agent-Ansätze im Endpunkt- und EDR-Bereich tragen zum Kontinuitätsrisiko bei. Das Konzept eines pauschalen Einheitsansatzes ist nicht nur veraltet, sondern 2024 auch gefährlich naiv", sagte Chen.
Endpunkte, Server und Workloads hätten jeweils einzigartige Risikoprofile und erfordern einen speziellen Schutz, erklärte Chen. Deshalb sei ein angepasster und modularer Ansatz unerlässlich, um einerseits die digitale Infrastruktur zu sichern und andererseits die geschäftliche Widerstandsfähigkeit zu gewährleisten. Sie plädiert dabei für Module, die innerhalb eines Lösungspakets auf bestimmte Anwendungsfälle zugeschnitten sind und mit denen sich Funktionen flexibel aktivieren und deaktivieren lassen.
IDC-Analyst unterstützt Chen
"Die jüngsten Ausfälle zeigten, wie anfällig unser IT-Stack sein kann. 'Silent Patching' oder 'Silent Upgrades', bei denen die Kunden oft nicht den Luxus haben, die Aktualisierungen überprüfen zu können, stellen das implizite Vertrauen in Frage, das wir zu unseren Softwareanbietern haben, und müssen überdacht werden", erklärt Frank Dickson, Group Vice President, Security & Trust bei IDC.
"Das gilt auch für das Thema System-Rollback und -wiederherstellung, das in vielen virtualisierten Umgebungen verfügbar ist. Zudem sind unternehmenskritische Server keine Desktop-Computer und sollten auch nicht als solche behandelt werden. Sie würden ja auch keinen Helm im Auto oder einen Sicherheitsgurt auf dem Motorrad tragen. Es erscheint mir ebenso unsinnig, unternehmenskritische Server mit einer Lösung zu schützen, die für einen Laptop gedacht ist."
Opfer der CrowdStrike-Panne in Deutschland gesucht