© RSA

RSA Security
10/25/2011

„Datenschutz steht Sicherheit im Weg“

Das Jahr 2011 war von einer Reihe von Sicherheitsattacken und Hacks geprägt. Zu den prominentesten Opfern zählte der Sicherheitsanbieter RSA Security, dessen System teilweise kompromittiert wurde. Im Interview mit der futurezone erklären RSA-Chef Art Coviello und RSA-Sicherheits-Chef Eddie Schwartz, warum Datenschutz und Sicherheit nicht immer zusammenpassen und sie Anonymous als kriminelle Organisation bewerten.

von Martin Stepanek

Als im März 2011 das Sicherheitsunternehmen RSA Security von einer Attacke auf das Token-System SecurID berichtete, läuteten bei den vielen Zehntausenden Kunden die Alarmglocken. Tausende Tokens wurden daraufhin von RSA

. Betroffen von dem Angriff war bislang offenbar nur das US-Rüstungsunternehmens Lockheed Martin, das ebenfalls auf die RSA-Authentifizierungsmethode setzte. Wie RSA kürzlich mitteilte, wird ein
vermutet, die Attacke sei letztlich aber nicht erfolgreich gewesen. Die futurezone hat mit RSA-Chef Art Coviello und dem RSA-Sicherheits-Chef Eddie Schwartz am Rande der europäischenRSA Sicherheitskonferenzin London geplaudert.

futurezone: Hat es Sie persönlich überrascht, dass sich selbst RSA nicht 100-prozentig vor einem Angriff schützen konnte?
Coviello:
Wir erleben ein neues Zeitalter, in der hochkomplexe Angriffsszenarien auf der Tagesordnung stehen. Wenn ein Unternehmen angegriffen wird, um dann über ein zweites Unternehmen ein drittes zu treffen, ist das schon bemerkenswert. Neben Cyberkriminellen und Hacktivisten fungieren mittlerweile auch ganze Staaten als Angreifer.

Ihren Ermittlungen zufolge soll auch bei der Attacke auf RSA ein Nationalstaat stecken. Bei der Aufklärung arbeiten Sie eng mit US-Behörden zusammen. Laufen Sie da nicht Gefahr, politisch instrumentalisiert zu werden? Immerhin wird ja auch den USA

vorgeworfen
, andere Länder anzugreifen – wie etwa im Fall des Industrie-Trojaners Stuxnet.
Coviello:
Die USA zählen zu den ältesten Demokratien der Welt und befehligen im Gegensatz zu anderen Nationen nicht, andere auszuspionieren. Wenn es um Cyberangriffe durch Staaten geht, zählen sie sicher zu den Guten. Abgesehen davon: Meine Aufgabe ist es, das Unternehmen und unsere Kunden zu schützen und sicherzustellen, dass keine sensiblen Daten abhanden kommen. Die Zusammenarbeit mit Behörden ist Teil dieser Aufgabe.

Können sich Unternehmen gegen derart komplexe Angriffsszenarien überhaupt schützen?
Schwartz:
Attacken und das Durchbrechen von Sicherheitsschranken sind mittlerweile fast unvermeidbar geworden. Heute geht es eher darum, einen Angriff so schnell wie möglich zu entdecken. Das erfordert eine völlig neue Herangehensweise bei der Sicherung von IT-Infrastruktur. Jedes Unternehmen muss seine wichtigsten Assets bestimmen und diese isolieren. Das kann über eine physische Abtrennung vom Netzwerk passieren oder über Virtualisierungsmethoden.

Gerade kleinere Unternehmen stehen den neuen Bedrohungsszenarien hilflos gegenüber. Zu welcher Strategie raten Sie?
Coviello:
Sicherheitssysteme müssen viel stärker Risiko-basiert operieren und agiler werden. Ganz wesentlich um gut getarnte Angriffe zu entdecken ist zudem die kontextbasierte Analyse von Datenströmen innerhalb des Unternehmens. Damit sind kleinere Unternehmen aufgrund fehlender Ressourcen aber leider überfordert, sie sind auf externe Partner angewiesen.

Viele fürchten, dass eine bessere Sicherheit zu Lasten der eigenen Privatsphäre und des Datenschutz geht, etwa, wenn Netzwerkadministratoren jeden Schritt und Tritt im Firmennetzwerk mitverfolgen.
Coviello:
Es ist in der Tat so, dass Sicherheitsmaßnahmen manchmal notwendig sind, um die Privatsphäre schützen, in anderen Fällen der Ruf nach Privatsphäre aber der Sicherheit im Weg ist. Jeder, der in ein Flugzeug steigt, verzichtet durch die Kontrollen ebenfalls auf ein Stück seiner Privatsphäre – einfach, weil es notwendig ist. Im Unternehmen ist das ähnlich.

Der gläserne Büromensch ist also unvermeidbar?
Schwartz:
Wenn man das Ganze transparent handhabt und Angestellte wissen, in welchen Umgebungen ihr Log-in- und Surfverhalten aufgezeichnet wird, funktioniert das auch. Gute Analyse-Tools können etwa aufgrund von auffälligen Verhaltensmustern Alarm schlagen – etwa wenn ein User, der normalerweise immer zwischen 8 und 8.30 Uhr sein E-Mail abruft, plötzlich um vier Früh auf das Unternehmensnetzwerk zugreift. Oder sich von einem Ort einloggt, der nicht seinem Nutzungsprofil entspricht.

Die Frage bleibt: Inwieweit lassen sich diese mächtigen Analyse-Werkzeuge, die Datenströme in Echt-Zeit analysieren können, mit europäischen Datenschutzbestimmungen vereinbaren?
Schwartz:
Die Wahrheit ist, dass diese Datenschutzregulierungen in ein paar Jahren keine Rolle mehr spielen werden. Die meisten Bürger verzichten ja ohnehin bereits auf ihre Privatsphäre, weil sie gewisse Webservices nutzen wollen. Das zeigt ja auch die Social-Media-Nutzung der 20- bis 25-Jährigen. Und diese Bereitschaft muss man einfach auf das Unternehmen übertragen.

Für europäische Ohren klingt das nach einem bedrohlichen Szenario.
Schwartz:
Wir brauchen eine rational geführte Debatte. Man muss die Leute fragen: Wollt ihr unternehmenskritische Bereiche schützen? Wenn ja, seid ihr bereit, dafür ein Stück weit auf Datenschutz und Privatsphäre zu verzichten? Oder sonst in Kauf nehmen, dass eben Jobs verloren gehen und man vielleicht alles verlieren könnte, was einem lieb ist. Die Leute müssen sich bewusst sein, dass die Gefahren real sind.

Cloud Computing ist derzeit in aller Munde. Stellt die Auslagerung von Prozessen und Diensten in die Wolke ein zusätzliches Risiko dar?
Coviello:
Jede Cloud basiert im Prinzip auf Virtualisierung, was sicherheitstechnisch kein Nachteil ist, da sich virtualisierte Maschinen leichter absichern und warten lassen. Wenn man sich als Unternehmen auf eine hybride oder öffentliche Cloud einlässt, muss man aber sicherstellen, dass der Anbieter adäquate Sicherheitsmaßnahmen vorsieht.

2011 war stark geprägt von Aktionen durch Anonymous. In Österreich ist die Empörung groß, wie fahrlässig Unternehmen mit privaten Daten umgehen. Haben Sie Verständnis für derartige Aufdecker-Aktionen?
Coviello:
Auch RSA findet dauernd Schwachstellen. Aber es gibt verschiedene Methoden, wie diese gefunden und präsentiert werden. Wenn man kriminelle Methoden verwendet, agiert man kriminell. Aufmerksamkeit für Sicherheitsprobleme zu schaffen, ist natürlich eine gute Sache und manche dieser Aktionen zielen wohl darauf ab. Allzu oft ist es bei diesen Gruppen jedoch so, dass auf jede gute Tat fünf schlechte kommen.

Mehr zum Thema