Leif Walter von Fortinet über Enterprise Firewalls und KI in der Security

Videoblog: „Enterprise Firewalls müssen performant, skalierbar und offen sein“

Während der it-sa 2018 habe ich mit Leif Walter von Fortinet dieses Videointerview geführt. Darin spricht er über die Besonderheiten der Fortinet Enterprise Firewalls und die künftige Rolle der Künstlichen Intelligenz im Kontext der IT-Security.

FortiGate Enterprise Firewalls sind performant, skalierbar und offen

Firewall-Lösungen für den Enterprise-Markt müssen vor allem performant und skalierbar sein, aber auch offen gegenüber anderen Systemen und Lösungen. Genau diesen Anforderungen werden Fortinet-Firewalls gerecht, indem sie auf Techniken basieren, die darauf abgestimmt sind. Hierbei steht vor allem die Netzwerk-Performance im Vordergrund genauso wie die Skalierbarkeit, die sich auf diverse Bereiche wie das Internet der Dinge und andere Segmente bezieht. Und klar, dass solche Firewall-Systeme auch mandantenfähig sein müssen.

Darüber hinaus spielen offene Schnittstellen eine zunehmend wichtige Rolle, da die Netzwerk-Topologien und ihre Komponenten immer heterogener werden und Anwender genau nach Lösungen suchen, die mit dieser Technikvielfalt klar kommen.

Künstliche Intelligenz in der IT-Security hat noch einen weiteren Weg vor sich

Die aktuelle Künstliche Intelligenz befindet sich im Grunde immer noch in einem Anfangsstadium, sodass immer noch von einer „schwachen“ KI die Rede ist, die innerhalb einer in sich geschlossenen Disziplin wie Autonomes Fahren oder Bilderkennung gute bis sehr gute Dienste leistet, also auch innerhalb der IT-Security.

Will man allerdings äußerst komplexe Bedrohungsszenarien mithilfe der Künstlichen Intelligenz schneller und zuverlässiger erkennen und abwehren können, ist eine sogenannte „starke“ KI vonnöten. Denn nur dort können die bisherigen „Insellösungen“ miteinander interagieren und schaffen damit ganz neue Modelle, die deutlich „schlauer“ sind als die heutigen Ansätze. Und genau dort wollen und werden sich Sicherheitsexperten wie Fortinet künftig noch mehr engagieren.

Das vollständige Interview mit Leif Walter

Disclaimer: Dieser Videoblogbeitrag ist in Zusammenarbeit mit Akima Media entstanden. 

Eric Dreier von Axians über den Einsatz von KI in der IT- und OT-Security

Videoblog: „Industrieanlagen sind ganz besonders schützenswert“

Dieses Interview habe ich mit Eric Dreier von Axians auf der it-sa 2018 geführt. Darin spricht er über den Einsatz von KI in der IT-Security und warum Industrieanlagen besonders schützenswert sind.

KI-Algorithmen kommen in der IT-Security verstärkt zum Einsatz

Immer dort, wo Security-Anwendungen bestimmte Muster oder Verhaltensweisen beobachten bzw. vergleichen sollen, kommen Algorithmen der Künstlichen Intelligenz vorzugsweise zum Einsatz. Das bezieht sich vor allem auf SIEM-Applikationen, mit deren Hilfe sich beispielsweise Benutzerverhalten überprüfen lassen.

Ein weiteres Feld für KI-Ansätze findet man in der sogenannten Operational Technology (OT), ein Begriff, der momentan hauptsächlich als Synonym für Industrieanlagen genutzt wird. Hierbei geht es allerdings weniger um einzelne Anwender oder Maschinen, sondern meist um die komplette Anlage und deren Risiken, von außen angegriffen zu werden. Das kann z.B. ein anormales Kommunikationsverhalten verhalten sein, was sich wiederum sehr gut in ein vorhandenes SIEM-System übertragen und dort analysieren und bewerten lässt.

Industrieanlagen sind besonders schützenswert

Vor allem die Art der Schäden im Bezug auf Industrieanlagen erfordern für diese Systeme weitaus profundere Sicherheitsmechanismen, als das bei IT-Systemen der Fall ist. So bietet der Ausfall eines Heizkraftwerks oder der Angriff auf eine hochsensible versorgungstechnische Anlage ein viel höheres Gefahrenpotenzial als der Ausfalls eines Servers o.ä. Daher ist die zugrunde liegende OT sehr viel schützenswerter als die IT.

Das komplette Videointerview mit Eric Dreier

Disclaimer: Dieser Videoblogbeitrag ist in Zusammenarbeit mit Akima Media entstanden. Weitere Informationen zum Thema Axians und Security finden Sie auf der zugehörigen Internetseite.

Sergej Schlotthauer, Matrix42, über aktuelle Sicherheitssthemen

[Videoblog] Sergej Schlotthauer über Matrix42, EgoSecure und aktuelle Sicherheitsthemen

Während einer IDC-Veranstaltung zum Thema IT-Sicherheit habe ich dieses Interview mit Sergej Schlotthauer von Matrix42 geführt. Darin spricht er über das „Center of Excellence for Security“, über Endpoint Management und die wichtigsten, aktuellen Security-Themen.

Sergej Schlotthauer verantwortet „Center of Excellence for Security“

Mit dem Zusammenschluss der beiden Firmen Matrix42 und EgoSecure entstanden für Matrix42 ganz neue Möglichkeiten, die im „Center of Excellence for Security“ mündeten. Dieser neuen Einrichtung steht Sergej Schlotthauer vor, in der unter anderem die Themen Endpoint Security und Software Management im Vordergrund stehen. Und genau mit diesen Schwerpunkten wollen und werden Matrix42 und EgoSecure künftig den Markt mit neuen Lösungen versorgen.

So gibt es beispielsweise gemeinsame Aktivitäten im Kontext der DSGVO, denn hierfür müssen Daten verschlüsselt und Zugriffe darauf verhindert werden. Und genau darum kümmert sich künftig Matrix42 mit der Expertise von EgoSecure.

Endpoint Management wird immer wichtiger

In Zeiten, in den Daten eine wahre Goldgrube darstellen, wird der Schutz derselben immer wichtiger. Daher müssen künftig vor allem die möglichen Einfalltore noch besser geschützt werden. Neben den klassischen Desktop- und Notebook-Rechnern sind das verstärkt Smartphones, Tablets und andere Geräte, auf denen Daten liegen oder die ihre Daten auf dem Firmenserver speichern wollen. Hierfür sind erprobte Managementlösungen und sichere Verschlüsselungsverfahren erforderlich.

Aktuelle Sicherheitsthemen: externe Angriffe und Datenschutz

Sieht man sich die aktuellen Sicherheitsrisiken an, mit denen IT-Beauftragte konfrontiert werden, lassen sich vor allem zwei Themen nennen: Angriffe von außen und der Datenschutz im Geiste der DSGVO.

Im Falle der externen Bedrohungen ist es zwingend erforderlich, mehr und mehr über die Automatisierung von Sicherheitsmaßnahmen nachzudenken. Denn die Bedrohungen von außen werden immer intelligenter und zielgerichteter, sodass es nicht mehr reicht, einen IT-Adminstrator vor eine Konsole zu setzen in der Hoffnung, dass er die Angriffe abwehren kann. Daher sind intelligente Systeme erforderlich, die vollautomatisch Angriffe erkennen und diese eliminieren können.

Beim zweiten Thema Datenschutz fällt auf, dass die Akzeptanz der hierfür notwendigen Maßnahmen verbessert werden sollte. Denn immer noch herrscht bei vielen Anwendern der Eindruck vor, dass Datenschutzmaßnahmen ihre Effizienz negativ beeinträchtigen – was zwar eine sehr subjektive, aber durchaus ernstzunehmende Wahrnehmung ist. Um dem vorzubeugen, sind die richtigen Mittel und Wege erforderlich, um den Anwendern das Gefühl zu geben, dass ihr Arbeitsplatz einerseits sicher und andererseits genauso produktiv wie vorher ist. Oder vielleicht sogar noch sicherer und noch produktiver als vorher.

Das vollständige Interview mit Sergej Schlotthauer

Rita Pleus über Sicherheitsvorkehrungen auf der IBM Mainframe

[Videochat] Rita Pleus (IBM) zu Sicherheitskonzepten auf Mainframe-Maschinen

Während der IBM Z-Roadshow habe ich dieses Interview mit Rita Pleus von IBM geführt. Darin spricht sie über die aktuelle Sicherheitslage, über die Sicherheitsebenen der Pervasive Encryption und über zuverlässige Sicherheitskonzepte.

„Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?“

Laut Rita Pleus ist dieses Thema ein äußerst komplexes, und je nachdem, wen man fragt, wird es unterschiedlich bewertet. So zeigt beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland, dass aufgrund der „zunehmenden Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything Cyber-Angreifern fast täglich neue Angriffsflächen“ geboten werden. Hinzu kommen zahlreiche regulatorische Vorschriften wie die DSGVO und der PSIDSS, die natürlich auch von IBM-Kunden eingehalten werden müssen.

Doch sollte das Thema Sicherheit im eigenen Unternehmen laut Frau Pleus nicht ausschließlich von diesen und anderen Vorschriften bestimmt werden, sondern auch aus der Erkenntnis heraus entstehen, dass IT-Security ein allumfassendes Thema sein sollte, zu dem unter anderem das Thema Datenverschlüsselung zählt.

„Auf welchen Ebenen findet Pervasive Encryption statt?“

Das mit der IBM z14 eingeführte Sicherheitskonzept Pervasive Encryption ist ja kein Produkt, wie Rita Pleus im Interview klarstellt. Es handelt sich vielmehr um eine fundierte Strategie, die auf allen Ebenen der Mainframe seinen jeweiligen Beitrag zur Sicherheit beiträgt. Das beginnt ganz unten auf der Hardware-Schicht, wo dedizierte Hardware-Module mit z/OS-Features wie CP Assist for Cryptographic Functions (CPACF) für explizite Sicherheit sorgen, aber auch Kryptokarten kommen hierfür zum Einsatz. Beides stellt laut Rita eine solide Grundlage für Pervasive Encryption dar, da die Hardware die Sicherheitsmaßnahmen erheblich beschleunigt.

httpss://twitter.com/mhuelskoetter/status/986989333377888256

Wichtig sind aber auch die gespeicherte Daten in diesem Kontext. Hierfür kommt eine mehrstufige Datenverschlüsselung zum Tragen, was bei IBM unter dem Begriff Data Set Encryption läuft. Damit lassen sich vor allem Daten anhand der Anwendungen oder logischen Datenhaltung trennen, je nachdem, welche Schlüssel für das Encryption-Verfahren eingesetzt werden. Hinzu kommen weitere Möglichkeiten der Verschlüsselung, zum Beispiel auf Cluster- und Netzwerkebene, mit der sich sehr transparent zeigen lässt, welche Daten gerade verschlüsselt werden – und welche nicht.

Wichtig ist aber auch das Thema Secure Service Container, mit dem das Verschlüsseln virtueller Umgebungen möglich ist. Hierfür bietet die IBM z14 ZR1 insgesamt 40 LPARs, mit denen virtuelle Bereiche geschaffen werden können, in denen sich verschlüsselte Container mit all ihren Daten und Anwendungen sehr sicher befinden.

Schließlich weist Rita Pleus noch auf das äußerst wichtige Schlüsselmanagement hin, das eine profunde Grundlage für das Verschlüsseln der Daten darstellt. Denn nur wenn das zugehörige Managementtool sicherstellt, dass Schlüssel über einen längeren Zeitraum valide und verfügbar sind, kann Pervasive Encryption zuverlässig funktionieren.

httpss://twitter.com/mhuelskoetter/status/986992404166258688

„Was gehört denn noch zu einem guten Sicherheitskonzept?“

Neben den aufgezeigten Features, die allesamt unter dem Begriff Pervasive Encryption zusammengefasst werden, hält Rita Pleus obendrein das Thema Identity Management für unabdingbar, wenn es um sichere Mainframe-Umgebungen geht. Denn nur wenn sichergestellt werden kann, dass ausschließlich bestimmte Anwender oder Anwendergruppen auf klar definierte IT- und Datenbereiche zugreifen dürfen, funktioniert das IT-Sicherheitskonzept vollumfänglich. Dies kann beispielsweise mithilfe einer Mehrfaktor-Authentifizierung erreicht werden, so wie sie IBM versteht und ihren Kunden zur Verfügung stellt.

Das Interview mit Rita Pleus in voller Länge

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

CAST Software - Dashboard-Ansicht

Darum sind CAST-Analysetools echte DSVGO-Helfer

Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:

  • Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
  • Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
  • Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.

Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.

Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen

Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.

CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.

Zuverlässigkeit von Anwendungen überprüfen

Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

Datenschutz „by Design“ und „by Default“ sicherstellen

Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.

CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.

Risikoeinschätzung selber vornehmen

Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.

CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.

Der holistische Analyseansatz von CAST

Der holistische Analyseansatz von CAST

Dokumentationspflicht von Anfang an

Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.

CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

Fortinet-Umfrage: CEOs unterschätzen IT-Sicherheit ihres Unternehmens nach wie vor

Am letzten Freitag war ich auf einer sehr interessanten IDC-Veranstaltung zum Thema DSGVO, und so ergab es sich, dass eine Einladung der Firma Fortinet folgte, die ihrerseits eine in Auftrag gegebene Umfrage präsentieren wollten. Die zugehörige Auswertung ist überschrieben mit dem Titel „The attitudes towards cybersecurity in organizations“.

httpss://twitter.com/mhuelskoetter/status/920554079960686592

Es ging bei der Umfrage, die im August 2017 unter 1.801 weltweit operierenden Unternehmen mit einer Firmengröße von mehr als 250 Mitarbeitern durchgeführt wurde, um eine wichtige Frage:

Wie ernst nehmen Unternehmen das Thema IT-Sicherheit?

Um es vorweg zu nehmen: Das Bewusstsein für funktionierende Sicherheitsmaßnahmen mag ja vorhanden sein, alleine an der Umsetzung hapert es an zahlreichen Stellen.

httpss://twitter.com/mhuelskoetter/status/920561057831313409

Dieses „Ignorieren“ von notwendigen Maßnahmen, die Unternehmen eigentlich verstärkt in Sicherheit investieren müssten, ist umso erstaunlicher, da weltweit 85 Prozent aller Firmen bereits Opfer eines Hackerangriffs waren.

httpss://twitter.com/mhuelskoetter/status/920557173914198017

Die gute Nachrichte offenbarte die Studie immerhin auch: So stiegen die Ausgaben für die IT-Sicherheit während des letzten Jahres weltweit um 71 Prozent, hierzulande waren es 56 Prozent.

So viel investieren Firmen in IT-Sicherheit

Gleichzeitig geben Unternehmen in diesem Jahr weniger für IT-Sicherheitsexperten aus. Was wohl auch damit zu tun hat, dass die Zahl der erforderlichen Spezialisten derzeit am Markt einfach nicht vorhanden sind.

httpss://twitter.com/mhuelskoetter/status/920558965112614912

Interessant an der Studie ist auch die Frage, wie unterschiedlich deutsche Unternehmen im weltweiten Vergleich mit der Frage „Wer ist Schuld bei einem Hackerangriff und deren Folgen“ umgehen. So machen deutsche IT-Verantwortliche zu einem geringeren Prozentsatz die IT-Abteilung oder eine spezifische Person verantwortlich für einen Schadensfall. Interessant daran: Das Bedrohungspotential seitens eines externen IT-Beauftragten wird hierzulande wesentlich weniger gefährlich eingestuft als im weltweiten Vergleich.

httpss://twitter.com/mhuelskoetter/status/920559916120756224

Was ebenfalls anhand der Studie auffällt: Aus einem Schadensfall ergeben sich ganz unterschiedliche Reaktionen. So stellt sich fast jeder zweite deutsche Unternehmensverantwortliche die Frage, warum es zu dem Angriff kommen konnte und was künftig dagegen getan werden kann. Und auch im Bereitstellen notwendiger finanzieller Mittel sind deutsche CEOs deutlich freigiebiger als ihre internationalen Kollegen.

httpss://twitter.com/mhuelskoetter/status/920563812687859712

Aber, und das ist die wesentliche Erkenntnis der Studie: Die CEOs dieser Welt unterschätzen das Thema IT-Sicherheit nach wie vor. So glauben in Deutschland 72 Prozent der CEOs, dass ihr Budget für IT-Sicherheit ausreichend ist. Und gar 44 Prozent räumen dem Thema keine Toppriorität ein.

httpss://twitter.com/mhuelskoetter/status/920568055717093376

Umso erstaunlicher ist es, dass sich so viele Firmen recht sicher fühlen, was ihre gesamte IT-Infrastruktur betrifft. So nimmt die Hälfte aller Befragten tatsächlich an, dass sie in Fragen der inneren und äußeren Sicherheit volle Kontrolle und den vollen Überblick haben. Was sich mit zahlreichen Studien zu dem Thema nicht wirklich deckt.

httpss://twitter.com/mhuelskoetter/status/920577672660635648

Aber, und das mag die abschließend gute Nachricht sein, sehen Unternehmensverantwortliche das Thema Sicherheit durchaus als Herausforderung an, mit der sie heute und morgen konfrontiert werden.

httpss://twitter.com/mhuelskoetter/status/920576636801748993