Dienstag, Oktober 26, 2021
Follow Us
»Es ist ein Geschäft, das auf Vertrauen basiert«

Christopher Ehmsen: »Es gilt, die Stecknadel im Heuhaufen zu finden – unser Service ist genau darauf ausgerichtet.«

Warum in der automatisierten Technikwelt persönliche Beziehungen weiter ein wichtiger Faktor sind, und wie Unternehmen von der Expertise fokussierter Sicherheitsdienstleister profitieren, erzählt Christopher Ehmsen, Head of Portfoliomanagement & Solution Sales Cyber Security bei T-Systems Austria.

Report: Worum geht es bei Security-as-a-Service? Welchen Bedarf decken Sie damit bei  Unternehmen ab?

Christopher Ehmsen: Wir sprechen hier von Leistungen, die nicht einmalig zu einem bestimmten Anlass angeboten werden, sondern eine längerfristige, regelmäßige Abdeckung der Cybersicherheit ermöglichen. Dazu unterstützen wir auch bei der Auswahl der Lösungen – angefangen bei Firewalls, die jedes Unternehmen benötigt, bis zur Wahl spezialisierter Produkte, die den Anforderungen eines Unternehmens entsprechen. Denn es gibt zahllose Lösungen am Markt und die Hersteller versprechen die tollsten Dinge. Doch erst mit der richtigen Implementierung erzielen wir den Nutzen, den unsere Kunden von einem Security-Produkt erwarten. In weiterer Folge stellen wir das Funktionieren der Lösungen im Betrieb sicher und bilden auch die ständig veränderten Bedrohungsszenarien mit laufenden Anpassungen ab.

Besonders gute Arbeiten leisten wir im Bereich »Security Intelligence as a Service«. Hier geht es im Wesentlichen um die »Detection«, das Erkennen von Attacken, und die »Response«, das Reagieren auf Angriffe und die Wiederherstellung eines sicheren Zustandes für das Unternehmen. T-Systems setzt dazu eine größere Anzahl von Tools ein, die auch miteinander kombiniert werden.

Report: Wie ist der Zustand der Cybersicherheit in Unternehmen? Wo sollte man beim Thema Sicherheit zuerst ansetzen?

Ehmsen:
Wir kommen immer wieder zu Unternehmen, die sehr gute und teure Security-Produkte im Einsatz haben, aber nach der Implementierung mit einer Unmenge an Alarmen zu kämpfen haben. In der Regel hat man nicht die personellen Ressourcen, jedem angezeigten Fall nachzugehen und auch nicht die fachlichen Fähigkeiten, die wirklich essenziellen Alarmmeldungen herauszufiltern. Es gilt hier vielmehr, die Stecknadel im Heuhaufen zu finden – unser Service ist genau darauf ausgerichtet.

Wir versuchen die Spezifika von Unternehmen bei der Implementierung und dem Betrieb zu berücksichtigen. Das beginnt bei einer Feststellung gemeinsam mit dem Kunden, welche Assets – in der Cybersicherheit tatsächlich Kronjuwelen genannt – bestmöglich zu schützen sind. Meistens beinhaltet das die »Intellectual Property« wie zum Beispiel das Forschungswissen bei einem Impfstoffhersteller. Bei Unternehmen der öffentlichen Hand und auch Energieversorgern, die Teile einer kritischen Infrastruktur betreiben, ist das oberste Ziel, Services am Laufen zu halten und Leistungen permanent zu Verfügung zu stellen. Bei den meisten Unternehmen werden es die SAP-Daten sein, sowie Datenbankdaten mit Kunden- und Vertriebsinformationen.

Report: Warum sollten Unternehmen aus der Industrie oder dem produzierenden Bereich das Thema Sicherheit an Partner auslagern – man hat das doch oft Jahrzehnte selbst verwaltet?

Ehmsen
: Grundsätzlich ist jedes Unternehmen für die eigene IT-Sicherheit selbst verantwortlich. Nötig ist aber immer ein Zukauf von Produkten und Leistungen in unterschiedlichen Formen. Früher war das etwa der Virenschutz am Rechner der Mitarbeiter*innen. Heute aber braucht die Absicherung von Endgeräten einen neuen Zugang. Man sollte sich die Frage stellen, ob die Werkzeuge, die man lange durchaus erfolgreich eingesetzt hat, überhaupt noch helfen können.

Dann haben sich Angreifer verändert: Waren es früher Script Kiddies – Jugendliche, die einfach ausprobiert hatten, in Netzwerke einzudringen – haben wir es heute mit professionellen Angreifern zu tun, die über unterschiedlichste Wege in Unternehmen gelangen können. Infolgedessen haben wir es dann oft mit komplexen Bewegungen in den Firmennetzwerken zu tun, die zunächst auch einmal entdeckt und nachvollzogen werden müssen.

Zudem ist die IT im Zuge der Digitalisierung auch in die Produktionsbereiche von Unternehmen gewandert. Ist der Arbeitsplatz eines Mitarbeiters mit Maschinensteuerungen vernetzt oder gibt es einen Zugriff für Fernwartung in den Bereich der »Operational Technology«, ist das eine Herausforderung auch für die Cybersicherheit. Wir sehen oft auch über viele Jahre gewachsene Systemlandschaften, die nicht immer lückenlos dokumentiert worden sind – man hat mitunter gar keine vollständige Übersicht über seine Assets.

Welches Förderband hängt an welchem uralten Windows-Rechner? Welcher Stand der Software ist installiert und mit welchen anderen Maschinen ist der Rechner vernetzt? Das lässt sich mit einer Dokumentation auch gar nicht mehr nachvollziehen. Hier kommen spezifische Tools wie eine »Asset Discovery« zum Einsatz und es muss festgestellt werden, wer mit wem redet, und wo es auch Kommunikation aus dem Firmennetz raus gibt. Gerade »Remote Access« hat in der Pandemie deutlich zugenommen und damit auch mögliche Fernzugänge, die der IT-Mannschaft vielleicht gar nicht bekannt und nicht abgesichert sind.

Ein Riesenvorteil ist zudem unser Zugang im Verbund mit der Deutschen Telekom zu aktuellen Threat-Informationen. Diese werden gemeinsam bei Unternehmenskunden weltweit gesammelt und den Security Operations Centers, den SOCs, zur Verfügung gestellt.

Report: Ist eine Ransomware-Attacke passiert und die Rechner verschlüsselt – kann da ein Sicherheitsdienstleister überhaupt noch helfen oder stehen die Unternehmen nur noch vor der Wahl, entweder zu zahlen oder ihre IT-Landschaft von Grund auf neu aufzubauen?

Ehmsen:
Ein Bezahlen der erpressten Summe verschafft nur kurzfristig Luft, denn damit ist nicht garantiert, den Angreifer aus dem Netzwerk draußen zu haben. Der könnte in sechs Monaten unter anderem Namen wieder anklopfen. Unternehmen brauchen auf jeden Fall die gebündelte Hilfe von IT-Experten gemeinsam mit Betriebsexperten, um über forensische Untersuchungen die Art des Eindringens und die Tatsache, ob der Angreifer noch im System ist, festzustellen und die Betriebsfähigkeit des Unternehmens wiederherzustellen.

Nach wie vor gilt ein Durchschnittswert von 200 Tagen vom ersten Eindringen bis zur Entdeckung des Angreifers. Und wenn es im speziellen Fall nur die Hälfte der Zeit ist, in der sich jemand durchs Firmennetzwerk bewegt, privilegierte Accounts kapert und auch Backups zerstört – hier braucht es die Hilfe von Spezialisten.

Report: Sie betonen die Zusammenarbeit mit Betriebsexperten.

Ehmsen:
Moderne Sicherheitswerkzeuge arbeiten heute, simpel gesagt, mit dem Erkennen von Anomalien. Das System ermittelt über einen Zeitraum von mehreren Wochen oder Monaten den Normalzustand, in dem erfasst wird, dass eine einzelne Pumpe jeden Mittwoch zu einer bestimmten Tageszeit mit 2000 Umdrehungen zu laufen beginnt. Wenn diese Pumpe plötzlich am Montag mit 5000 Umdrehungen läuft, benötigen wir als Security-Provider eine rasche Abstimmung mit jenen, die ihre Produktion aus dem Effeff kennen. Dann erfolgt die Bestätigung eines Wartungseinsatzes, eines Tests vielleicht durch eine externe Technikfirma – oder der Zustand ist tatsächlich nicht erwünscht und erfordert ein Eingreifen. Wir informieren und warnen im Produktionsbereich und übergeben den Fall an den Produktionsverantwortlichen.

Report: Bleibt Sicherheit ein persönliches Geschäft, mit Experten vor Ort, die Ergebnisse aus automatisierten Systemen interpretieren?

Ehmsen: Ja und nein. Auch die Tools auf Sicherheitsseite werden immer ausgefeilter. Sie arbeiten mit KI – man kann darüber streiten, ob es wirklich künstliche Intelligenz oder einfach das geschickte Auslesen von Datenströmen ist. Dabei liefert die Summe der Erkenntnisse den entscheidenden Vorteil. Aus diesem Grund werden Cloudlösungen gegenüber Tools, die nur im eigenen Unternehmen betrieben werden, die Oberhand gewinnen. In einer Security-Cloud laufen nicht nur die Informationen eines, sondern vieler Unternehmen zusammen. Man ist deswegen in der Erkennung und Bekämpfung von Threats schneller. Trotzdem wird der persönliche Service nicht verloren gehen – das sehen wir auch dank unserer starken Basis an Unternehmenskunden gerade in der Region Deutschland, Österreich und Schweiz.

Sicherheit ist ein Geschäft, das auf Vertrauen basiert. Der Sicherheitsanbieter kennt die Schwachstellen in den Kundensystemen, etwa Details in der Netzwerksegmentierung oder zum Patchmanagement in der IT, die auch Angreifer interessieren würden. Dieses Vertrauen wird eher über einen persönlichen Kontakt aufgebaut, als irgendwo
anonym eingekauft. Denn ein Unternehmen kann nicht endlos in IT-Security investieren. Die Digitalisierung der Geschäftsprozesse ist aus wirtschaftlichen Gründen immer höher angesiedelt.

Log in or Sign up