Exklusiv-Interview mit Check-Point-Chef
14.09.2015, 12:36 Uhr
«Die Cloud per se ist unsicher»
Schweizer Unternehmen, die Cloud-Dienste nutzen, sollten zusätzliche Sicherheitsmechanismen implementieren. Denn die Public Cloud per se sei unsicher, rät Amnon Bar-Lev, Präsident von Check Point Software.
Ist die Schweizer IT ausreichend geschützt? Computerworld sprach mit Amnon Bar-Lev, President des Sicherheitsanbieters Check Point Software, über die Stärken und Schwachstellen Schweizer Unternehmen. Wir trafen Bar-Lev am Rande des CIO-Roundtables „Security – one step ahead“. Schweizer Banken sind sehr sicherheitsbewusst und investieren grosse Summen in neue Technologien. Schwächen sieht Bar-Lev bei den Schweizer Infrastruktur-Anbietern: Energie, Wasser und Verkehr. Das Risiko, das vom mobilen Angriffsvektor ausgeht, hat stark zugenommen.
Herr Bar-Lev, was sind heute die Hauptherausforderungen in Sachen Sicherheit?
Bar-Lev: Ich unterscheide zwei Dinge: Sicherheitsherausforderungen und Herausforderungen punkto Operations. Die IT-Landschaft unserer Kunden ist in den letzten Jahren viel komplexer, elastischer und agiler geworden. Mobile Devices, die private und die public Cloud kamen hinzu. Die gesamte IT-Umgebung hat sich in den letzten Jahren stark verändert, und damit auch die Anforderungen an den Schutz dieser IT. Unsere Kunden machen sich sorgen, dass sie mit ihrer Sicherheitstechnologie nicht mehr Schritt halten können. Viele CIOs investieren grössere Summen in die Sicherheit ihrer IT, meist in Technologien unterschiedlicher Anbieter. Sie sind sich aber nicht sicher, ob sie in die richtigen Lösungen investiert haben, die ihnen auch tatsächlich Schutz bieten.
Absolut sicher ist man nie…
Bar-Lev: Ich denke, man kann sich schon ausreichend geschützt fühlen. Immer mehr Sicherheitstechnologie aufeinander zu türmen ist nicht die richtige Strategie. 100prozentige Sicherheit ist zwar nicht erreichbar. Aber Kunden sollten Vertrauen in die Technologie haben, in die sie investieren.
Nehmen wir zum Beispiel das Beschaffungsmodell Cloud Computing. Hier ist doch der Anbieter in der Pflicht, seine Cloud-Dienste ausreichend abzusichern, und nicht der Kunde. Der Kunde will sich ja gerade von diesen lästigen Arbeiten befreien, indem er seine IT-Dienste in die Cloud auslagert.
Bar-Lev: Es handelt sich aber um ihre Daten. Werden die Daten entwendet, hilft Ihnen die Tatsache, dass der Cloud-Anbieter für die Sicherheit verantwortlich ist, überhaupt gar nicht weiter. Stellen Sie sich vor, die Bank, bei der Sie ihr Geld angelegt haben, wird gehackt. Dann ist erst einmal ihr Geld weg, nicht das der Bank.
Diese Probleme lassen sich durch einen vertrauenswürdigen und sicheren Anbieter vermeiden. Diese Entscheidung muss der Kunde am Anfang in eigener Verantwortung fällen. Aber danach steht der Anbieter dafür gerade.
Bar-Lev: Lassen Sie mich etwas weiter ausholen. Es gibt verschiedene Arten von Clouds: Application clouds, Infrastructure Cloud, Platform Clouds. Kunden gewinnen dadurch an Flexibilität, und das sind ganz ausgezeichnete Angebote. Aber prinzipiell, das liegt in der Natur der Sache, wird die IT unsicherer, wenn sie in die Cloud ausgelagert wird.
Da möchte ich widersprechen. Die Kunden geben die Kontrolle über ihre Daten und ihre IT ab an den Anbieter. Aber warum sind Clouds prinzipiell unsicherer als On-premise-Lösungen?
Bar-Lev: Die Cloud ist prinzipiell unsicherer, weil das Geschäftsmodell jedes Cloud-Anbieters auf Sharing von Ressourcen beruht. Kunden teilen sich Applikationen, Datenbanken, Netzwerke und Server. Und geteilte Ressourcen beinhalten das Risiko, dass ein Mitkunde sich ihrer Daten bemächtigt.
Geteilte Ressourcen sind kostengünstiger, für den Anbieter und den Kunden. Aber fast alle Cloud-Service-Provider bieten doch dedizierte Dienste an, wo der Kunden nichts mit anderen Kunden teilen muss.
Bar-Lev: Dann handelt es sich nicht um eine Cloud, sondern um einen reinen Hosting-Dienst. Das ist völlig in Ordnung. Aber jede Cloud – wie Azure, Salesforce oder Amazon – basiert auf Ressourcenteilung. Wissen Sie, ich empfehle meinen Kunden nicht: Lassen Sie die Finger davon. Ich bin nicht gegen die Cloud. Die Cloud ist eine grossartige Sache. Aber ich empfehle, zusätzliche Sicherheitsmechanismen zu implementieren und sich genau zu überlegen, welche Daten und Dienste in die Cloud ausgelagert werden können, und welche nicht. Wir haben zum Beispiel Lösungen, die Anwender sicher mit ihrem Application Provider verbinden und garantieren, dass jeder Anwender sich korrekt authentifiziert. Es gibt Technologien, die Cloud sicherer zu machen.
Nächste Seite: Wie sicher ist die Salesforce Cloud?
Nehmen wir zum Beispiel die Salesforce Cloud, die auch in der Schweiz immer populärer wird. Was können Kunden tun, um den Einsatz der Salesforce Cloud sicherer zu machen, zusätzlich zu den Sicherheitstechnologien, die Salesforce selbst bereits implementiert hat?
Bar-Lev: Sie benutzen ein VPN (Virtual Private Network) und authentifizieren sich nicht direkt bei Salesforce, sondern über ein separates Gateway, das sie dann mit Salesforce verbindet. Das dabei benutzte Protokol heisst SML (smart message language). Die Idee dahinter: Nur berechtigte Anwender können sich über eine verschlüsselte Transportverbindung und durch starke Authentifizierung in die Salesforce Cloud einloggen.
Macht das Salesforce nicht schon alles selbst?
Bar-Lev: Sie können zusätzliche Sicherheitsmechanismen einsetzen. Kritische Daten lagern Sie zum Beispiel auf dem eigenen On-Premise-Speicher und verlinken dann auf die entsprechenden Datensätzen in der Salesforce Cloud. Das sind Beispiele, wie die Cloud zusätzlich sicherer gemacht werden kann. Und ich empfehle, bei der Auswahl eines Cloud Providers darauf zu achten.
In der Schweiz sind die Finanzindustrie und der Versicherungssektor ein sehr starker Wirtschaftsfaktor. Aus der Perspektive des Sicherheitsspezialisten: Welche Vorkehrungen sollten diese Industrien treffen, um sich so gut wie möglich zu schützen?
Bar-Lev: Banken gehören zu den Kunden, die sehr viel Geld in sehr ausgefeilte Sicherheitsmechanismen investieren. Sie gehören zu unseren am weitesten fortgeschrittenen Avantgarde-Kunden. Und ich verrate Ihnen sicher kein Geheimnis: Banken haben gar kein Geld, dort stehen nur Computer mit jeder Menge virtueller Einträge. Ihr Geld ist nur ein Eintrag im Computer. Das ganze Geld liegt nicht mehr im Safe, es handelt sich um digitale Einträge, also um Daten. Deshalb unternehmen Banken riesige Anstrengungen, um ihre Daten vor dem Einfluss Dritter zu schützen. Es gibt eine ganze Reihe erprobter Best Practices für die Bankenindustrie.
Gut, die Banken sind bereits sehr sicherheitsbewusst. Gibt es Branchen, die ihre Sicherheit verbessern sollten? Welches Kunden-Feedback bekommen Sie?
Bar-Lev: Ich nennen ihnen einen Vektor, der definitiv über bessere Sicherheitsmechanismen nachdenken sollte: die kritische Infrastruktur, also Energie, Wasser, Transport. Unternehmen, die in diesen Branchen tätig sind, bestehen eigentlich aus zwei Firmen unter einem Dach. Auf der einen Seite gibt es die IT mit ihren Anforderungen wie Speicher, Rechenzeit und Intrusion Protection, auf der anderen Seite steht die operationale Technologie (OT), die zum Beispiel die erzeugte Energiemenge misst und den Transport der Energie organisiert.
Die IT dieser Unternehmen ist sehr weit fortgeschritten, aber die OT ist sehr konservativ ausgelegt: Solange die Operations gut funktionieren, also zum Beispiel die Energieversorgung garantiert ist, wird nichts verändert. Aus diesem Grund ist die OT etwa der Energie- und Wasserversorger verwundbar und nur sehr rudimentär abgesichert. Einige OTs sind noch nicht einmal mit dem Internet verbunden, was aber nicht heisst, dass sie sicher sind. Kriminelle können Malware auch auf USB-Sticks ins Innere der Gebäude schmuggeln. Oder ein Techniker spielt ein Update für ein PLC auf und benutzt dafür einen Laptop, der infiziert ist. Schon ist die Malware im System.
Nächste Seite: Risikofaktor Mensch - was tun?
Gibt es gegen Social Engineering-Techniken denn überhaupt einen wirksamen Schutz?
Bar-Lev: Der Mensch, also die Mitarbeiter eines Unternehmens, ist immer das schwächste Glied in der Sicherheitskette. So etwas passiert. Der entscheidende Punkt ist aber: Falls etwas geschieht, dann muss die Malware so schnell wie möglich eingegrenzt und isoliert werden. An dieser Stelle hilft Technologie, das menschliche Risiko zu minimieren. Netzwerksegmentierung zum Beispiel erhöht die Sicherheit, oder Controls, die automatisch ablaufen, um zum Beispiel das Verhalten der Anwender zu überwachen.
Wie sollte eine Sicherheitsstrategie auf dem neuesten Stand der Technik heute aussehen? Was sind die Hauptkomponenten, die auf keinen Fall fehlen dürfen?
Bar-Lev: Ich unterscheide zwischen dem Schutz des Netzwerkes und dem Schutz der Endpoints, also der Anwender-Devices. Ein wirksamer Netzwerkschutz besteht aus zwei Komponenten: Einer Firewall plus Zugriffskontrolle (access control), ergänzt durch ein Intrusion-Prevention-System (IP). IP hat es mit bekannten und bislang unbekannten Bedrohungen zu tun, und muss mit beiden fertig werden. Zu den eingesetzten Technologien zählen zum Beispiel Anti-Malware-Programme oder Sandboxing, wo verdächtige Dateien in einer isolierten, gesicherten Umgebung quasi ausgetestet werden.
Die erste Hauptsäule ist der Schutz des Netzwerkes und des IT-Systems (Zugriffskontrolle plus Intrusion Prevention), die zweite der Schutz der Daten selbst.
Zum Beispiel durch Verschlüsselung…
Bar-Lev: Durch Data Leak Prevention, kryptographische Verfahren, es gibt dort mehrere Dinge, die man tun kann, um Daten besser zu schützen. Und dann nehmen Sie die ganze Technologie und schützen damit mobile Komponenten wie Smartphones, Tablets und Laptops.
Was versprechen Sie sich vom Schweizer Markt, wo sehen Sie Potenzial?
Viele Schweizer Unternehmen schützen ihre Infrastruktur und ihre Daten mithilfe unserer Sicherheitstechnologien. Ich wünsche mir von Schweizer CIOs, dass sie verstärkt ein Bewusstsein für die aktuellen Sicherheitsrisiken entwickeln, denen sie ausgesetzt sind, und dass sie ihre Sicherheitsstrategie den aktuellen Bedrohungsszenarien anpassen. Beides ist sehr, sehr wichtig.
Normalerweise ist es gut, länger nachzudenken und sich dann zu entscheiden. Aber unter Sicherheitsaspekten dürfen sich CIOs nicht zu konservativ verhalten und nicht zu lange zögern. Denn wir haben diese Zeit nicht.
Nächste Seite: Check Point im Konkurrenzvergleich
Wenn Sie sich mit Konkurrenten wie Symantec, Trend Micro oder Kaspersky vergleichen. Was spricht für die Lösungen für Check Point Software? Mit welchen Argumenten überzeugen Sie ihre Kunden?
Bar-Lev: Wir haben die beste Sicherheitssoftware mit der höchsten Erkennungsrate, das haben uns auch externe Labors wie die NSS Labs wiederholt bestätigt (Breach Detection Test Report: Check Point 13500 Next Generation Threat Prevention Appliance with Thread Emulation Cloud Service R77.20). Wir haben das beste Sicherheits-Management zurzeit, um internationale Unternehmen mit Niederlassungen in mehreren Ländern von einer einzigen Lokation aus mit Sicherheitssoftware zu versorgen. Viele unserer Konkurrenten haben Defizite, grosse und verteilte IT-Landschaften zu managen.
Das wichtigste Argument: Wir verkaufen keine punktuelle Lösung, sondern eine modular aufgebaute und skalierbare Architektur. Sie können bei Bedarf die Sicherheit erhöhen, indem Sie zum Beispiel zusätzliche Lizenzen aktivieren.
Wie viele Kunden hat Check Point weltweit, und in der Schweiz?
Bar-Lev: Weltweit haben wir etwa 100 000 Kunden. In der Schweiz erreichen wir eine Marktdurchdringung von 70 bis 80 Prozent. Die Schweiz ist ein sehr guter Markt, weil Schweizer Kunden den Wert von Qualität und Best-of-Breed-Lösungen zu schätzen wissen.
Gab es in den letzten Monaten einen Angriff, der Sie besonders beeindruckt hat, weil er so raffiniert durchgeführt worden ist? Was fällt Ihnen da als Erstes ein?
Bar-Lev: Die Welle mobiler Malware, die zurzeit auf uns zurollt, ist schon beeindruckend. Kriminelle attackieren mobile Geräte, um Daten zu stehlen, die Lokation ihrer Eigentümer festzustellen und vieles andere anzuzapfen. Kriminelle wissen dann alles über ihre Kontakte und ihre Mails und können zum Beispiel die Diskussionen während eines Business-Meetings mitschneiden. Das Gerät funktioniert wie eine mobile Wanze.
Ein beliebter Trick funktioniert zum Beispiel so: Anwender fahren ihr Smartphone herunter, aber das Gerät bleibt weiter angeschaltet. Sämtliche Funktionen - das Mikrofon, die Kamera, Mail und SMS - funktionieren nach wie vor, weil die Malware ein graues JPEG aufspielt, das ein ausgeschaltetes Display nur vortäuscht.