Im Gespräch mit Eset

Schlanke Software für die IT-Sicherheit

Großes Interview mit Stefan Thiel, Country Manager für Deutschland, Österreich, Schweiz beim IT-Sicherheitsanbieter Eset, über den Kampf gegen derzeitige und zu erwartende Bedrohungsszenarien

  • „Mittelfristig wollen wir in Deutschland 22 Prozent Marktanteil erzielen, weil wir damit zumindest die Nummer zwei hierzulande wären.“ Stefan Thiel, Eset

  • „Die Hacker vergangener Tage wollten zeigen, dass sie besser sind als die IT-Profis in den Unternehmen. Heute hingegen ist es Kommerz, wobei es um die Monetarisierung gestohlener Daten geht.“ Stefan Thiel, Eset

  • Hoch über Bratislava: Der Firmensitz von Eset, mittlerweile mit Abstand größtes Software-Unternehmen der Slowakei, befindet sich in der Hauptstadt Bratislava. Dort fand auch das Foto-Shooting mit Stefan Thiel statt.

Seit gut einem Jahr verantwortet Stefan Thiel die Geschicke von Eset im deutschsprachigen Raum. Seinen Hauptsitz hat das Unternehmen, das einige Zeit vor dem Fall des Eisernen Vorhangs entstanden war, im slowakischen Bratislava. Aufgrund der Tatsache, dass die Rechner im ehemaligen Ostblock weniger leistungsfähig waren, bestand die Aufgabe für die Software-Ingenieure von Anfang darin, einen schlanken Code zu entwickeln. Diese Maxime verfolgen die Verantwortlichen auch heute noch.

IT-DIRECTOR: Herr Thiel, können Sie uns kurz die Entstehung des Unternehmens schildern?
S. Thiel:
Das Unternehmen entstand in der Zeit rund um den Mauerfall. 1989 öffneten sich denn nicht nur die Grenzen für Reisende, vielmehr gab es von nun auch den freien Datenverkehr mit den Ländern Osteuropas. Die hatten vorher im Grunde auf einer digitalen Insel gelebt, wo das Thema Schadsoftware längst nicht so präsent war wie im Westen.

Relativ schnell wuchs u.a. in der Slowakei die Erkenntnis, die eigenen Systeme besser schützen zu müssen. Da die Rechner im Osten viel weniger leistungsfähig waren, kam es von Beginn an darauf an, einen möglichst schlanken und effizienten Code zu schreiben. So entstand unsere erste Schutzsoftware NOD32 zum Scannen von Disketten, die damals der einzige wirkliche Übertragungsweg von Schadsoftware waren. An globale Vernetzung und deren Bedrohungsszenarien war noch nicht zu denken.

Gegründet wurde das Unternehmen schließlich von Technikern, die ihren Kunden eine saubere Lösung bieten wollten. Aus diesem Vorhaben ging drei Jahre nach dem Mauerfall Eset hervor, das heute mit Abstand größte Software-Unternehmen der Slowakei.

IT-DIRECTOR: Wann kam das Unternehmen nach Westeuropa?
S. Thiel:
Natürlich hatte man sich zunächst auf den eigenen Markt in der Slowakei und dann auf den tschechischen Markt konzentriert. Relativ bald erfolgte dann aber auch der Schritt nach Westeuropa.

Um die Jahrtausendwende ergab es sich, dass ein Mitbewerber sein Distributionsnetzwerk einseitig aufkündigte und dieses somit nahezu geschlossen zu Eset wechselte. Dies war eine wesentliche Voraussetzung für unseren Durchbruch. Auch ist dies der Grund für das hohe Ansehen, dass die Distributoren bei uns genießen.

IT-DIRECTOR: Welche Rolle übernehmen die Distributoren genau?
S. Thiel:
Als Anbieter von IT-Sicherheit, die ja nur ein Teil der gesamten IT-Infrastrukturen darstellt, schafft man es nicht, in 180 Ländern präsent zu sein, wenn man weltweit eigene Mitarbeiter beschäftigt. Wir setzen auf eine Mischung aus eigenen Niederlassungen und exklusiven Handelsvertretern, die in den jeweiligen Märkten teilweise sogar unter unserem Logo auftreten.

Die Exklusiv-Distributoren erhalten bereits sehr frühzeitig Einblick in unsere Entwicklungspläne. Auf unserer internationalen Partnerkonferenz informieren wir sie über aktuelle Bedrohungslagen und wie sich die selbstständigen Handelshäuser aufstellen können.

IT-DIRECTOR: Welche Bedrohungslagen sehen Sie und in welche Richtung geht Ihre Entwicklungsarbeit?
S. Thiel:
Ein großer Teil der Entwicklungsarbeit bezieht sich auf die Analyse der sich täglich verändernden Bedrohungen und daraus folgend dem Erstellen von Signatur-Updates sowie Aktualisierungen zum Schutz unserer Nutzer.

Darüber hinaus geht es um die vorausschauende Weiterentwicklung der Software, bei der es vor allem auf Granularität ankommt: Früher gab es meist einen Zentralrechner und einen Terminal, was relativ ungefährlich war. Mittlerweile jedoch existiert eine unglaubliche Vielzahl an Devices, die alle miteinander vernetzt sind und alle über eigene Intelligenz sowie eigene Betriebssysteme verfügen. Und es wird immer granularer: Nach der schnellen Verbreitung der Smartphones kommen nun die Wearables, demnächst folgen weitere intelligente, eingebettete Systeme und schließlich werden Haushaltsgeräte an die Cloud angebunden sein. Hier bleibt Security oft auf der Strecke. Diesen technologischen Entwicklungen die nötige Sicherheit zu geben, wird unsere Hauptaufgabe sein.

IT-DIRECTOR: Das Internet der Dinge und Industrie 4.0?
S. Thiel:
Genau, Industrie 4.0 und Lifestyle 4.0 sorgen für extreme Vernetzung: Smart Home steht ja gerade erst am Anfang. Ich glaube, dass unsere Phantasie nicht ausreicht, um das Ende der Entwicklung abschätzen zu können.

Derartige Vernetzung mit entsprechend komplexen Interaktionsmöglichkeiten wird man mit singulären Sicherheitsarchitekturen nicht beherrschen können. Die Entwicklung wird eher dahin gehen, mit speziellen Mechanismen auf allen Ebenen Anomalien zu erkennen.

Klar ist, dass die Endpunkte geschützt werden müssen. Doch je kleiner die Geräte werden, desto schlanker und dennoch performant müssen die Schutzmechanismen sein, um die kleinen Geräte nicht lahmzulegen.

IT-DIRECTOR: Wie ist die Situation derzeit?
S. Thiel:
Bereits heute entwickelt nicht jeder Hersteller vernetzter Devices eigene Betriebssysteme, sondern bedient sich abgespeckter Distributionen. Beispielsweise auf Android-Basis, das sich sehr schön herunterbrechen lässt.

Solche darunterliegenden Betriebssysteme werden wir in Zukunft häufiger sehen, weil sich die Anbieter die eigene Entwicklungsarbeit sparen können. Dennoch ist diese Entwicklung problematisch, weil dadurch schnell kritische Masse erzielt wird.

IT-DIRECTOR: Apropos Entwicklungsarbeit: Sind Wearables unter Sicherheitsaspekten der kommende Brandherd, weil die Hersteller teils noch unausgereifte Devices in immer kürzeren Abständen auf den Markt bringen?
S. Thiel:
Für uns ist es essentiell, frühzeitig Trends zu erkennen. Wearables sind für uns omnipräsent, weil sie eine zusätzliche Vernetzungsstufe schaffen, indem sie hoch biometrische Daten aufnehmen und in Cloud-Systemen speichern. Das ist tatsächlich eine neue Dimension und reicht hinunter bis auf die Fahrwerksteuerung von Fahrrädern. Im Mountainbike-Bereich wirken beispielsweise schon Gyrosensoren im Zusammenspiel mit Schaltungen und Fahrwerkseinstellungen aufeinander ein.

Derartige Vernetzung ist bereits sehr weit fortgeschritten. Worum sich die Hersteller definitiv keine Gedanken machen, ist die sichere Datenübertragung. Für sie zählt die stabile, qualitativ hochwertige Übertragung viel mehr als Sicherheitsmechanismen oder Zugriffsschutz. Hier kommen Unternehmen wie Eset ins Spiel, die durch Analyse und Aufklärung sowie das Erkennen von Markttendenzen für eine Sensibilisierung der Hersteller sorgen können.

Die Geräteproduzenten müssen verstehen, dass über ihre Geräte hochgradig persönliche Daten übertragen werden, deren sicheren Transport sie gewährleisten müssen. Das heißt nicht zwingend, dass wir immer einen kommerziellen Nutzen daraus ziehen können, aber wir weisen auf solche Themen hin, damit die gesamte Sicherheitsarchitektur – sowohl im privaten als auch im kommerziellen Umfeld – sicherer wird.

IT-DIRECTOR: Lassen sich solche Vernetzungen, wie sie im Rahmen von Smart Home, Smart Cities und Internet 4.0 entstehen, überhaupt schützen?
S. Thiel:
Zunächst einmal muss man sich im Klaren darüber sein, dass niemand einen hundertprozentigen Schutz für eine IT-Architektur garantieren kann – weder heute noch in Zukunft.

Die Nutzer sollten sich der Gefahren bewusst sein und mit ihnen umgehen. Wer in ein Auto steigt, geht auch davon aus, sicher am Ziel anzukommen, weil er ausgebildet ist und weil das qualitativ hochwertige Auto allerlei Assistenzsysteme besitzt. Man hat trotzdem keine Garantie dafür, nicht in einen Unfall zu geraten, weil jemand Drittes einen Fehler macht. Dieses Restrisiko gibt es überall – auch und gerade in der IT.

Einem Unternehmen wie unserem kommt die Aufgabe zu, zum einen die technischen und technologischen Grundlagen zu schaffen, solche Strukturen auf verschiedenen Ebenen zu sichern, und zum anderen das Bewusstsein der Anwender zu schärfen, damit sie im konkreten Bedarfsfalle adäquat reagieren können. Man bekommt schließlich auch keinen Führerschein ohne Erste-Hilfe-Kurs.

IT-DIRECTOR: Wie ist es denn um das zitierte Bewusstsein derzeit bestellt?
S. Thiel:
Laut einer aktuellen Bitkom-Studie existiert in 48 Prozent aller Unternehmen dieser Erste-Hilfe-Kurs im Falle sicherheitskritischer Vorkommnisse nicht – es gibt weder Notfall- noch Krisenreaktionspläne. An dieser Stelle stehen wir als Hersteller mit in der Verantwortung, eben nicht nur Software zu verkaufen, sondern bei der Erstellung der Krisenpläne zu unterstützen und Regeln für die digitale Hygiene zu etablieren.

Es gibt Systeme, die aufgrund bestimmter Muster und Heuristik bislang auch unbekannte Angriffe erkennen können. Aber wenn ein Nutzer zum ersten Mal auf eine Bedrohung trifft, sind die Unternehmen darauf angewiesen, dass er adäquat mit der Gefahr umgeht und eben nicht auf das angebliche Paypal-Anhang klickt.

IT-DIRECTOR: Wie sieht denn die Realität in den Unternehmen aus?
S. Thiel:
Frappierend ist die starke Diskrepanz zwischen der tatsächlichen Verantwortung der Geschäftsführung und wie diese Verantwortung subjektiv wahrgenommen wird. Sehr viele Unternehmenslenker wissen gar nicht, dass sie persönlich dafür haftbar sind, wenn persönliche Daten von Kunden oder Mitarbeitern verlorengehen und im Vorfeld keine vernünftigen Schutzmechanismen etabliert wurden. Es ist viel zu wenig bekannt, dass persönliche Daten grundsätzlich einem hochgradigen Datenschutz unterliegen. Das ist kein Kavaliersdelikt.

IT-DIRECTOR: Vor dem Hintergrund der massiven Vorfälle von Wirtschaftsspionage seitens der Geheimdienste müssten die Unternehmensverantwortlichen doch stark daran interessiert sein, mit europäischen Sicherheitsanbietern zusammenzuarbeiten?
S. Thiel:
Wenn Sie auf die eingebauten Backdoors der US-Anbieter für die dortigen Geheimdiensten abzielen: Ja, die amerikanischen Anbieter sind per Gesetz dazu verpflichtet, mit den Diensten zusammenzuarbeiten. Darüber muss man sich im Klaren sein.

Die allgemeine Aufgeregtheit rund um den NSA-Skandal kann ich allerdings nicht ganz nachvollziehen. In dem Film „Staatsfeind Nr. 1“ wurde bereits vor 15 Jahren beschrieben, zu was die Dienste in der Lage sind. Und das war schon damals nur die Spitze des Eisbergs, die können noch viel mehr. Das war in Insiderkreisen lange bekannt.

IT-DIRECTOR: Durch Snowden wurde es aber belegt.
S. Thiel:
Richtig, und die Aufregung war doppelt groß, weil sogar das Handy der Kanzlerin betroffen war. Wobei ich hier sagen muss, dass jemand in einer solch exponierten Position besser beraten sein müsste. Denn als Staatschefin telefoniert man nicht über ein unverschlüsseltes Handy.

Den Kampf um die Infrastruktur hat Europa in meinen Augen verloren, dort dominieren US-amerikanische oder asiatische Anbieter. Deshalb muss es jetzt darum gehen, den eigentlichen Datenverkehr durch Verschlüsselung so sicher wie möglich zu machen.

Fakt ist, dass bestimmte Länder speziellen rechtlichen Regularien unterliegen. Wenn sich ein europäisches Anwenderunternehmen nun für einen europäischen Anbieter entscheidet, hat es eine höhere Garantie, dass auch nach europäischen Standards gearbeitet wird. Das unterschreibe ich sofort.

Ich würde meine Hand allerdings nicht dafür ins Feuer legen, dass alle europäischen Security-Anbieter die Zusammenarbeit mit den Diensten grundsätzlich ablehnen. Eset hat bereits vor einigen Jahren betont, nicht mit Diensten zu kooperieren. Das zeigt sich u.a. daran, dass unser System bereits mehrfach das einzige war, das professionelle Geheimdienst-Trojaner erkannt hat.

Natürlich tauschen wir uns im Bedrohungsfalle auch mit deutschen Behörden aus. Bei kritischen Vorfällen müssen wir das tun, um den Schutz der gesamten Strukturen sicherzustellen, ohne dabei die Daten unserer Kunden preiszugeben.

IT-DIRECTOR: Sie arbeiten mit staatlichen Stellen folglich im Sinne der Gefahrenabwehr zusammen?
S. Thiel:
Ja, bei der Vorhersage, der Erkennung und der Abwehr. Wir tauschen uns auch darüber aus, wie zukünftige Angriffe aussehen könnten und was an Bedrohungen zu erwarten ist. Damit sich die öffentliche Hand sowie andere kritische Bereiche auf bestimmte Bedrohungsszenarien gezielt vorbereiten und Vorsichtsmaßnahmen ergreifen können.

IT-DIRECTOR: Sie sprachen die Bedrohungsszenarien an. Die staatliche Schnüffelei einmal außen vor gelassen – was beobachten Sie grundsätzlich gerade?
S. Thiel:
Die Hacker vergangener Jahre taten es, weil sie Spaß an dem Hase-und-Igelspiel hatten und um zu zeigen, dass sie besser waren als die IT-Profis in den Unternehmen. Das war Sport, es wurden sogar Spuren hinterlassen, damit man sehen konnte, dass jemand die Sicherheitsmechanismen überwunden hat. Diese Leute brüsteten sich damit, Schaden angerichtet zu haben.

IT-DIRECTOR: Und heute?
S. Thiel:
Heute ist es Kommerz: Wir beobachten eine ganz starke Veränderung von dieser sportlichen, hinweisenden Art und Weise, die im Grunde auch dazu beitrug, die Infrastrukturen sicherer zu machen, hin zu der Monetarisierung gestohlener Daten. Es gibt Preislisten für Kreditkartendaten und für E-Mail-Adressen sowie Schwarzmärkte, auf denen sich Daten in Geld umwandeln lassen.

Die neueste Entwicklung, die wir zum ersten Mal im vergangenen Jahr in der Ukraine registriert haben, ist das Kidnapping von Geräten.

IT-DIRECTOR: Was ist das?
S. Thiel:
Beim digitalen Kidnapping führt ein Trojaner dazu, dass sich das Gerät komplett verschlüsselt. Im Sperrbildschirm erhält der Nutzer eine Nachricht, dass die Entsperrung gegen die Überweisung von x Bitcoins erfolgt. Diese Bedrohung betraf Android-Geräte. Einmal infiziert, hat der Nutzer kaum noch eine Chance.

IT-DIRECTOR: Beobachten Sie solche gezielten Angriffe auch auf Unternehmen?
S. Thiel:
Unternehmen sind automatisch betroffen, weil die Attacken generell beispielsweise gegen Android-Smartphones gerichtet sind.

Ob Unternehmen auch erpresst wurden, weiß ich nicht sicher, würde allerdings davon ausgehen. Gezielte Attacken gibt es definitiv. Wir wissen es von unseren Kunden und sind im Übrigen auch selbst fast täglich Angriffen ausgesetzt.

Laut Bitkom sind in den vergangenen zwei Jahren 52 Prozent aller Unternehmen attackiert worden, der Gesamtschaden lag im mittleren zweistelligen Milliardenbereich. Vor diesem Hintergrund ist es also umso erstaunlicher, dass 48 Prozent keinen Notfallplan ausarbeiten. Viele Verantwortliche agieren meiner Meinung nach zu blauäugig.

IT-DIRECTOR: Bemerken Sie denn infolge der bekanntgewordenen Abhörskandale nicht eine höhere Gewichtung des Themas Sicherheit?
S. Thiel:
Eher das Gegenteil ist der Fall: Im Zuge der vielen Vorfälle der letzten Zeit setzt sogar eine gewisse Desensibilisierung ein. Das Stehlen von Daten wird als nicht verhinderbare Alltäglichkeit wahrgenommen. Diese Resignation macht mir Sorgen, weil man in Sachen Sicherheit eben doch viel tun kann.

IT-DIRECTOR: Das passt auch nicht zu dem erwähnten Aspekt der Haftung.
S. Thiel:
Ganz genau. Es muss klarwerden, dass das Thema IT-Sicherheit im Verantwortungsbereich der Geschäftsleitung und nicht in dem des IT-Leiters liegt. Unternehmen ab einer gewissen Größenordnung sind zudem per Gesetz dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Man muss sich von dem Gedanken lösen, IT-Sicherheit wäre ein reiner Kostenfaktor. Denn ohne intakte IT-Strukturen würden die meisten Abläufe nicht mehr funktionieren: Produktion, Beschaffung und Kommunikation würden zusammenbrechen.

Wir müssen das Thema auf allen Ebenen ansprechen: Geschäftsleitung, Datenschutzbeauftragte und IT-Leitung, wobei die IT-Verantwortlichen Argumente brauchen, warum sie bestimmte Sicherheitsmechanismen in die Netzwerke einbauen müssen.

IT-DIRECTOR: Wie erfolgt denn Ihr Entrée in die Unternehmen? Über die Geschäfts- oder die IT-Leitung?
S. Thiel:
Es kann der Geschäftsführer sein, der auf das Thema IT-Sicherheit aufmerksam wird und nachfragt, was denn an Sicherheitsmechanismen vorhanden ist und merkt, dass er als Haftender ein zu großes Risiko eingeht. Dann will der Geschäftsführer vom IT-Leiter oder dem Datenschutzbeauftragten entsprechende Informationen haben.

Oder unser großes Partnernetzwerk mit teilweise hochspezialisierten Sicherheitsunternehmen, die auch Beratungsdienstleistungen erbringen, wird von den Interessenten kontaktiert. Häufig passiert es auch, dass Mitarbeiter unsere Software privat nutzen und sie über diesen Weg ins Unternehmen gelangt.

IT-DIRECTOR: Sie adressieren folglich alle Nutzergruppen, vom Privatanwender bis zum DAX-Konzern?
S. Thiel:
Als Vollsortimentler bieten wir in meinen Augen mit das breiteste Produktspektrum unserer Branche. Es gibt Anbieter, die sich von bestimmten Plattformen wie Linux oder Apple zurückgezogen haben. Unser Portfolio hingegen läuft über alle Plattformen hinweg und adressiert sowohl Smartphone-Nutzer als auch Konzerne. Dieses Vorgehen hat sich bewährt, weil die Segmente sich auch gegenseitig beeinflussen.

Häufig unterschätzt wird auch der Umstand, dass IT-Innovationen nicht mehr von den Unternehmen ausgehen. Heute sehen wir die schnellste Adaption von Technologie vielmehr im Privatumfeld. Dort treten folglich auch die ersten Bedrohungsszenarien auf, die dann wiederum in die Unternehmen schwappen.

Dies bedeutet, dass Hersteller, die die Privatanwender nicht adressieren, erst sehr viel später mit bestimmten Szenarien konfrontiert werden. Deshalb ist es von Vorteil, in beiden Segmenten aktiv zu sein. Denn die Freizeit-Wearables von heute sind vielleicht die Arbeitsmittel von morgen.

IT-DIRECTOR: Raten Sie auch einmal von der vorschnellen Adaption neuer Geräteklassen wie Wearables ab, weil sie noch nicht ausgereift sind?
S. Thiel:
Nein, denn damit würden wir dem Evolutionsgedanken entgegenwirken. Sicherheit ist immer nachgelagert: Nach der Innovation reift die Erkenntnis, diese neue Technologie sicherer machen zu müssen. Spätestens ab einer bestimmten kritischen Masse. Die ersten Automobile gab es Ende des 19. Jahrhunderts, der Dreipunktgurt wurde gesetzlich knapp 90 Jahre nach dem ersten Automobil von Benz  vorgeschrieben. ABS, Abstandshalter, Servolenkung, Gurtstraffer und ESP kamen alle noch später. Dies gilt auch für die IT.

Unsere Aufgabe ist es, auch die neuen, komplett vernetzten Infrastrukturen mittels IT-technischer Assistenzsysteme so sicher wie möglich zu machen, ohne dass sich die Nutzer gegängelt fühlen und die Sicherheitsmaßnahmen umgehen. Wenn man weiß, dass jede Innovation ein potentielles Risiko birgt, kann man damit umgehen. Es bringt auch nichts, Angst zu schüren.

IT-DIRECTOR: Wobei sich die Angriffspunkte mit Smart Cities, Smart Cars und Smart Grids schon um ein Vielfaches potenzieren?
S. Thiel:
Angriffe auf diese Strukturen werden sicherlich stattfinden. Alle modernen Netze sind IP-basiert und daher angreifbar. Beispiel Smart Grid: Der Gedanke dahinter, Waschmaschinen, Kühlschränke, Klimaanlagen und deren Steuerungen erst dann anzuschalten, wenn Strom vorhanden ist und nicht abgenommen wird, ist ja durchaus positiv. Ist man jedoch in der Lage, diese Geräte zu kapern und schlagartig anzuschalten, könnte man die Stromnetze sofort überlasten.

IT-DIRECTOR: Kommunen und Versorger sind demnach auch potentielle Kunden Ihrer Produkte?
Thiel:
Es gab kürzlich eine Untersuchung darüber, welche kritischen Infrastrukturen besonders gefährdet sind. An vorderster Stelle waren Wasserwerke zu finden, in denen sich sehr einfach die Schieber auf- und zustellen und Pumpen anstellen ließen. Dies ist natürlich grob fahrlässig.

Die Betreiber vitaler Infrastrukturen müssen berücksichtigen, dass sie mit Strom, Gas, Wasser, Verkehrswesen, Kommunikation die Grundversorgung für die Allgemeinheit erbringen. Deshalb müssen die Kommunen, Länder und der Bund, aber auch privatwirtschaftliche Unternehmen hier ein ganz anderes Sicherheitsbewusstsein entwickeln.

IT-DIRECTOR: Auch viele Privat- und Geschäftsnutzer fühlen sich vermeintlich sicher. Würden Sie sagen, dass Android beispielsweise angreifbarer ist als andere Systeme?
S. Thiel:
Es ist das weitverbreitetste mobile Betriebssystem und provoziert dadurch Angriffe. Android besitzt ebenso wie Windows eine kritische Masse.

Linux wurde lange nicht angegriffen, bis zu dem Zeitpunkt, als sich das Betriebssystem stark im Server-Umfeld etablieren konnte. Dort stehen hochpotente Maschinen, auf die ganz gezielt Attacken gefahren werden, um sich der Rechenleistung für Bot-Netze zu bedienen.

Apple Macintosh galt auch lange als virenfreies System. Es gibt immer noch Mac-User, die sich absolut sicher glauben. Aber dies ist ein modernes Märchen, denn Apple ist mittlerweile eines der meistangegriffenen Systeme, weil die Nutzer so sorglos sind. Apple ist das reinste Paradies für Angreifer: Kritische Masse und ungeschützte Systeme.

IT-DIRECTOR: Das mobile Betriebssystem iOS kann man gar nicht mit zusätzlicher Sicherheits-Software schützen.
S. Thiel:
Das ist eine Frage der Zeit.

IT-DIRECTOR: Dazu müsste sich Apple aber bewegen...
S. Thiel:
Sobald es zu den ersten gravierenden Zwischenfällen kommt – das war auch bei den Macintoshs so – wird Apple sein System öffnen, um es von Sicherheitsanbietern wie uns schützen zu lassen.

Natürlich kann es eine Strategie sein, sich einzuigeln und seinen Code nicht preiszugeben. Sobald aber die ersten Einbrüche erfolgt sind, reagieren die Hersteller relativ schnell.

IT-DIRECTOR: Wie bewerten Sie generell die derzeitige Situation im Hinblick auf infizierte Rechner?
S. Thiel:
Wir haben in Deutschland derzeit mindestens eine Million verseuchte Rechner über alle Betriebssysteme hinweg. Die Netzbetreiber wissen das auch, die Telekom teilt es den Anwendern sogar mit.

Ich persönlich würde mir vom Gesetzgeber wünschen, dass solche Rechner vom Netz zwangsgetrennt würden. Genauso wie es Rechte und Pflichten in der realen Welt gibt, sollte es diese Rechte und Pflichten auch in der digitalen Welt geben. Denn gehackte Rechner bilden eine Gefahr. Im Grunde bedarf es eines Grundschutzes wie beim TÜV. Gewisse Richtlinien müssen eingehalten werden, sonst darf ein Fahrzeug nicht am Straßenverkehr teilnehmen.

IT-DIRECTOR: Es gibt Stimmen, die sagen, man müsse eher die Applikationen sicher machen als die Endgeräte?
S. Thiel:
Dies ist ein vielschichtiges Thema: Zum einen muss natürlich das Device mit dem Betriebssystem abgesichert werden, zum anderen muss der Nutzer wissen, welche Dinge er tun darf und welche nicht. Im Privatbereich sind 30 Prozent der mobilen Geräte ungeschützt, es werden nicht einmal Passwörter vergeben. Sobald man physischen Zugang zu den Geräten hat, gelangt man an alle Daten. Dies ist unverantwortlich.

Auch die Applikationen in sich selbst zu schützen, ist wichtig. Wenn die Daten im Rahmen von Cloud-Szenarien nur visualisiert und nicht auf dem Gerät ablegt werden, umso besser. Die Absicherung von Daten in geschützten Infrastrukturen verringert das Risiko erheblich, weil man neben einer sicheren Kommunikation auf den Devices lediglich eine Präsentationsschicht vorfindet. Das macht es viel einfacher als mit distribuierten Datenmengen zu arbeiten.

IT-DIRECTOR: Viele Unternehmen halten die meisten Daten noch lokal vor, einige kommen aus der Cloud. Wie sichert man den Datenverkehr in diesen Hybridsystemen ab?
S. Thiel:
Zunächst muss man den Datenlagerort mit Firewalls und Zugangssystemen absichern, was unser tägliches Geschäft ist.

Anders als manche Wettbewerber bieten wir zudem die Zweifaktor-Authentifizierung an. Bei Bankgeschäften kennen wir dieses Verfahren: Ohne die Eingabe einer TAN lässt sich die Transaktion nicht tätigen. Die TAN ist dann der zweite Faktor, den man meist als SMS erhält – immer auf ein zweites Gerät.

Legt man Daten in die Cloud, sind bestimmte Dinge Pflicht. Personaldaten müssen zum Beispiel unbedingt verschlüsselt werden, denn es greift auch wieder die Haftung der Geschäftsleitung.

IT-DIRECTOR: Viele denken, es werde schon gutgehen. Denn die Cloud ist so schön praktisch...
S. Thiel:
Ich will es einmal so ausdrücken: Die deutsche Steuergesetzgebung und das komplizierte Abschreiben von Geräten über verschieden lange Zeiträume treibt Unternehmen geradewegs dazu, sich solch konsumorientierter Mietmodelle mit monatlichen Fixkosten zu bedienen. Da spielt es dann auch oftmals keine Rolle, wo die Services herkommen und wo die Server stehen.

Wie der IT-Leiter das bewerkstelligt, interessiert den Controller dann zunächst nicht. Und so wandern geschäftskritische Daten in die Cloud, ohne sich über die Konsequenzen im Klaren zu sein und genau zu wissen, wo die Daten liegen.

IT-DIRECTOR: Kommen wir abschließend zu Ihrer Marktpositionierung: Wo stehen Sie derzeit und welche Ziele haben Sie mittelfristig, speziell in Deutschland?
S. Thiel:
Weltweit, wo wir laut Gartner zu den fünf größten Sicherheitsanbietern gehören, wetteifern wir mit Unternehmen wie Symantec, Trendmicro, Kaspersky, Sophos und McAfee um Marktanteile.

In Deutschland gestaltet sich die Lage ein wenig diffiziler, weil wir hier zusätzlich lokale Größen wie G-Data oder Avira sowie europäische Anbieter wie Bitdefender antreffen. Zusätzlich gibt es thematische Überschneidungen im Bereich Verschlüsselung oder Zweifaktor-Authentifizierung mit Anbietern ohne Komplettportfolio.

Es fällt mir immer ein wenig schwer, den Marktanteil in Deutschland zu benennen, aber nach allen Studien, die wir kennen, besitzen wir einen Marktanteil von fünf Prozent. Das ist ein ordentlicher Anteil.

Das Ziel sind aber mittelfristig 22 Prozent, weil wir damit mindestens die Nummer zwei in Deutschland wären. Wir müssen nicht zwanghaft die Nummer eins werden, verfolgen aber das klare Ziel, weltweit in allen Märkten unter den ersten Drei zu sein.

IT-DIRECTOR: Das ist ambitioniert.
S. Thiel:
Stimmt, aber wir haben bereits gezeigt, dass wir zu solchen Leistungen imstande sind. In vielen Märkten haben wir diese Position bereits erreicht, und dort, wo wir es noch nicht geschafft haben, investieren wir entsprechend.

Wichtig ist, solche Ziele nicht nur zu formulieren, sondern Wachstum technologisch auch zu untermauern. Und ich glaube, dass sich Eset gerade sehr gut aufstellt im Vorgriff auf zukünftige Bedrohungslagen. Wir werden Millionen und Milliarden zu schützender Geräte haben, zu deren Sicherheit sehr klein zerlegbare Codes nötig sind, die man aus einem großen Paket herausnehmen kann. Manchmal benötigt man lediglich ein Code-Snippet, das man einem Produzenten bereitstellt, der damit sein Gerät effizient schützt.

Dort geht die Reise derzeit hin – angefangen bei der neuen Generation 6 unserer kommerziellen Produkte auf Basis einer brandneuen Technologieplattform, die es ermöglicht, schlanke, angepasste Pakete anzubieten.

IT-DIRECTOR: Sie stellen Geräteherstellern Code-Teile zur Vorinstallation zur Verfügung?
S. Thiel:
Noch nicht, aber das wird in Kürze der Fall sein. Es gibt beispielsweise einen großen Hausgerätehersteller, der sehr intensiv an seiner eigenen Hausgeräte-Cloud forscht. Man hält dann nur noch den Barcode der Fertigpizza vor den Herd, der sich daraufhin das Rezept aus einer Produktdatenbank zieht und exakt einstellt. Das klingt trivial. Der Hausgerätehersteller weiß daraufhin aber genau, für welche Zwecke seine Geräte benutzt werden und ist seinen Konkurrenten im Produktinnovationszyklus voraus.

An dem Tage, an dem alle diese Geräte infolge eines konsistenten Angriffs die Stromnetze lahmlegen, hat der Hersteller jedoch ein echtes Problem. Hier müssen wir darauf hinweisen, dass so etwas eben nicht trivial ist und dass schlanke Mini-Firewalls (Snippets) installiert werden müssen, um die Geräte abzusichern. Zudem muss auch die Cloud, in der die Daten landen, geschützt sein. Es ist unsere Aufgabe, zu erkennen, was diese Hersteller vorantreiben, um eingreifen zu können.

Mit einer umfangreichen PC-Applikation kann man weder auf einem Herd noch im Smartphone oder Wearable viel bewirken. Deshalb müssen wir sehr weit nach vorne blicken und die Architekturen anpassen.

Zur Person: Stefan Thiel

  • Alter: 45
  • Beruflicher Werdegang: gelernter Elektroinstallateur & Kaufmann, seit 20 Jahren in IT-Industrie in verschiedenen leitenden Positionen wie bei Cisco, Oracle, Siebel und seit Januar 2014 Country Manager DACH Eset
  • Derzeitige Position: Country Manager DACH
  • Hobbys: Currywurst, Mountainbiking, Skilanglauf, Fotografie, Camping

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok