Cyber-Attacken: Wie schnell bin ich wieder im Netz? (Gesponsert)

Sprecherin: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert. heise meets …, der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. Heise Business Services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen. heise meets …, heute mit Kevin Schwarz von Zscaler. 

Matthias Tüxen: Moin Kevin.

Kevin Schwarz: Hi Matthias, grüß dich.

Matthias: Für alle, die nicht jeden Tag mit Zscaler zu tun haben: Ein amerikanisches Cloud-basiertes Unternehmen für Informationssicherheit. Mehr als 150 Rechenzentren auf sechs Kontinenten gehören dazu. Kevin, ich habe deine Visitenkarte gesehen, da steht „CTO in Residence“. Ich frage nachher mal nach, was das bedeutet, aber vorher noch ein Zitat von dir. Du sagst: „Die Mitarbeitenden gestalten die Entwicklung eines Unternehmens mit. Unsere Aufgabe ist es, diesen Weg abzusichern, egal wie er aussieht. Ein Zero-Trust-Konzept sorgt dafür, dass Organisationen dabei keine unnötigen Risiken eingehen.“ Soweit gehe ich mit. Wir wollen das ein bisschen vertiefen. Wir wollen uns darüber unterhalten, wie Zscaler Unternehmen dabei helfen kann. Aber Kevin, jetzt mal zu deiner Visitenkarte. Was macht ein CTO bei einem Sicherheitsanbieter?

Kevin: Das ist eine interessante Frage. Neben dessen, dass wir technologisch unsere Kunden beraten, gibt es einen Aspekt, den unser CEO Jay Chaudhry noch zusätzlich abgedeckt haben wollte. Wir haben einen relativ transformativen Ansatz und unser CEO wollte sicherstellen, dass die Leute, die wir im Team des CTOs haben, nicht nur einfach Technologen sind, sondern eben auch so eine Transformation begleitet haben. Bedeutet, ich komme von einem großen Logistikkonzern mit gelben Farben, wo wir im Endeffekt auch eine Sicherheitstransformation vorangebracht haben, womit auch ein Netzwerk, sowie auch eine Applikationstransformation mit dran hingen. Wir sehen, wenn Sicherheit vorangeht, müssen die anderen Bereiche eben auch mitziehen. Daher ist es notwendig, gerade auf C-Level oder in den Unternehmen, genau diese Beratungsleistung auch zu tätigen, damit wir eben im Gesamten zum Beispiel, wie du auch bei der Einleitung gesagt hast, in Richtung einer Zero-Trust-Architektur kommen können.

Matthias: Wir sind kurz vor der IT-SA und wie sieht es deiner Meinung nach aus um die Evolution der Cybersicherheit? Ihr seid selbst auf der IT-SA. Was erwartet die Besucher? Mit welchen Problemen sehen sich die Unternehmen derzeit konfrontiert, wenn du das aus deiner täglichen Praxis zusammenfasst?

Kevin: Ich habe jetzt die Agenda der IT-SA noch nicht gesehen, aber du hast richtig erkannt, wir sind auch da vertreten. Diesmal mit einem sehr, sehr schönen Stand. Die Themen werden natürlich sein NIST 2. Das ist, glaube ich, ein Thema, was überall gerade in aller Munde ist. Das werden wahrscheinlich Anbieter vielfältig mit aufnehmen. Das andere Thema ist Cyber Resilience. Wir werden darüber reden, okay, wie gehen wir davon aus, dass wir eigentlich Security-Praktiken umgesetzt haben, aber doch alle davon ausgehen müssen, dass uns zum Beispiel Incidents heimsuchen können, oder eben auch Cyber-Attacken. Wie bleiben wir da einsatzfähig? Wie können wir da relativ schnell wieder online kommen? Das werden auf jeden Fall Themen sein, die brandaktuell sind.

Ansonsten Themen rund um künstliche Intelligenz, aber auch Themen wie Automatisierung und Standardisierung, denn da sehen wir auch sehr viel Bedarf bei Kunden. Das andere Thema, was gerade aktuell auch durch die finanzielle Lage und ich glaube auch so ein bisschen durch die politische Lage kommt und was wir eigentlich immer wieder in der IT natürlich vorfinden, ist der Kostendruck oder eben auch die Bereitschaft. Wie können wir Komplexität rausnehmen, wie können wir vielleicht noch mehr Werte schaffen, ohne jetzt vielleicht einfach nur weiter auf die Kostenbremse zu treten, aber doch effizienter werden. Das sind, denke ich, auch Themen, die Kunden jedenfalls mit uns vielfältig diskutieren und worüber wir wahrscheinlich auch während der IT-SA viel diskutieren werden.

Matthias: Ich muss noch mal nachfragen: Wenn ich als Kunde zu euch an den Stand komme auf der IT-SA und ihr sagt, ich mache das so, wir machen das so, Zscaler hat die und die Idee. Das, was ich wissen will als Kunde, ist, wie schnell bin ich wieder im Netz nach einer Cyberattacke? Kann man das sagen?

Kevin: Das hängt leider von verschiedenen Faktoren ab. Wir können da leider kein Versprechen oder kein SLA drauf geben. Außerdem hast du natürlich Themen, die auch nicht nur technologisch, sondern eben auch prozessbasiert sind und eben da mit reinfließen. Ich glaube, das ist ein ganz spannender Bereich, wo wir uns schon viel mit auseinandergesetzt haben. Allerdings würde ich jetzt behaupten, nicht jedes Unternehmen ist da schon vielfältig aufgestellt.

Ich hatte letztens die Möglichkeit, bei einer Cyber-Attacke in einem Game-Setup mit dabei zu sein, und dann hatten wir die Herausforderung zu sagen, wie kriegen wir das Unternehmen wieder hoch? Da war Technologie ein Bereich. Das ist, denke ich, eine ganz spannende Diskussion. Das ist aber wirklich unternehmensabhängig.

Matthias: Ich habe gelesen, ihr sagt selber, Zscaler sagt, das Unternehmen definiert Cybersicherheit neu. Ich finde, das ist ein großer Spruch. Wie unterscheidet sich jetzt euer Angebot tatsächlich? Was macht ihr anders als andere?

Kevin: Was wir sehen, oder da müssen wir vielleicht dann darüber reden, was ist eigentlich die Mission von Zscaler? Die Mission von Zscaler ist, jede digitale Interaktion abzusichern. Früher war es mal, das Internet zu einem sicheren Ort zu machen, um Geschäfte zu tätigen. Die Entwicklung der letzten Jahre hat ja eigentlich genau das bestätigt. Wir haben digitale Interaktion in allen Bereichen unseres täglichen Lebens, aber eben auch in der Unternehmenswelt.

Aber es ist nicht mehr klassisch, wo wir sagen, wir haben zentriert unser Netzwerk, wir haben zentriert unseren Ort, wo Anwendungen liegen. Die Welt da draußen sieht ja eigentlich eher so aus, dass wir sagen, jede mögliche Person mit jeder Form von Gerät oder auch jede Form von Gerät kann auf Anwendungen zugreifen, die sich überall befinden können. Wir haben ja Applikationen großteils nun in der Cloud oder in anderen Bereichen und das ist natürlich vielfältig schwierig. Wie kann ich das denn jetzt noch absichern?

Und da ist eben das Ziel von Zscaler zu sagen, hey, wir haben eine Plattform, die muss immer zwischen der digitalen Interaktion sein, wo immer sie denn auch geschieht. Und dann brauchen wir die richtigen Sicherheitsfunktionalitäten. Du hattest schon in der Einleitung gesagt, wir sind ein Cloud-Service, wir sind in 150 Rechenzentren vertreten. Das ist nur der eine Teil, bedeutet, wir können natürlich alles, was in Richtung Internet, Cloud etc. geht, relativ gut dann abfangen. Gerade, wenn wir von globalen Unternehmen sprechen, da ist natürlich die internationale Präsenz wirklich wichtig.

Aber denken wir auch zum Beispiel an den Anwendungsfall, du arbeitest in einer Werft und du nutzt einen Digital Twin, um im Endeffekt deine Schiffsproduktion parallel digital, wie auch physikalisch vorzuhalten. Die Kommunikation läuft lokal, mit einer hohen Menge an Daten. Das in die Cloud zu bringen, abzusichern, wieder zurückzubringen, wäre jetzt, glaube ich, nicht mehr State of the Art.

Der Vorteil des Ganzen ist, Zscalers Plattform ist Software defined. Wir können uns dort platzieren, wo die digitale Interaktion geschieht, in dem Fall zum Beispiel auch in der Werft. Gleichzeitig wäre da die Frage, welche Sicherheitskriterien müsste ich denn eigentlich durchsetzen? Generell handelt der architektonische Ansatz von Zscaler so ein bisschen in dem Dreieck: Wie kann ich Kosten und Komplexität reduzieren, wie kann ich Sicherheit erhöhen, aber User Experience nicht eindämmen.

Und das ist auch, wo wir unsere Architektur drauf basiert haben. Wie können wir sicherstellen, dass die Prinzipien, die wir haben, uns relativ simpel oder schnell ermöglichen, Dinge abzusichern, ohne dass User Experience im Endeffekt darunter leidet, aber eben auch, dass wir die Sicherheit hochhalten können und gleichzeitig Komplexität reduzieren.

Ein Satz, den wir immer haben, lautet: Wir verstecken Anwendungen. Alles, was du nicht sehen kannst, kannst du auch nicht angreifen. Und das sind architektonische Prinzipien, die, glaube ich, uns unterscheiden, wie zum Beispiel von Ansätzen von anderen. Also dieser ganze Zero-Trust-Ansatz, den wir heute so in der Theorie kennen, mit denen sich viele auseinandersetzen. Das sind im Endeffekt Prinzipien, nach denen wir schon unsere Plattform aufgebaut haben.

Matthias: Finde ich schön den Satz: Wir verstecken das alles. Oder, was du nicht sehen kannst, sehr schön. Aber wenn ich mich so erinnere: VPNs, Proxyserver, die so State of the Art waren und immer noch die gewünschte Konnektivität ermöglichen, aber zugleich, die kannst du ja nicht verstecken. Das ist ja eine sensible Angriffsfläche und dann habe ich die Risiken. Das ist alles logisch. Aber was ist jetzt beispielsweise besser als ein VPN oder ein Proxyserver?

Kevin: Ja, ich glaube, das eine, was ich eben schon angesprochen habe, also wir denken immer noch sehr klassisch in Appliances häufig oder wir denken oft in Wegen, wie wir das vorher gemacht haben. Die Komplexität kommt daher, gerade durch diese Vielfältigkeit an Anwendungsfällen. Wie kann ich das denn jetzt noch absichern? Das ist mit klassischen Methoden relativ schwierig.

Zum Thema VPN: Die Thematik hier ist, was ist ein VPN? Ein VPN ist ein Virtual Private Network, eine Erweiterung, dass ich mich von außerhalb in mein Netzwerk einwählen kann. Das heißt, ich komme mit einer IP-Adresse, ich verbinde mich, wie du schon gesagt hast, mit einer Einwählmöglichkeit im Konzentrator, um Zugriff zum Netzwerk zu bekommen, wo ich dann Zugriff zu gewissen Bereichen von IP-Adressen habe.

Jetzt ist es hinlänglich belegt, und das ist nicht die Schuld einzelner Anbieter, ich glaube eher, dass es die Technologie und wie wir auch im Endeffekt die Technologie aufgebaut haben. Oft in den Nachrichten, wenn es um Sicherheitsrisiken geht, heißt es, wir können zum Beispiel ungepatchte VPN-Instanzen angegriffen werden. Oft ist es dann die Möglichkeit, wenn zum Beispiel VPN-Zugriff kompromittiert worden ist, dass laterale Bewegung innerhalb des Netzwerks geschehen kann, weil einfach, wie gesagt, ich verbinde eine IP-Adresse mit anderen IP-Adressen, ähnlich wie ich es in einem Netzwerk tue. Und das ist einfach ein Konzept, von dem wir weggehen sollten.

Die Idee sollte ja eher sein, dass ich sage, mir oder dir als Nutzer ist es doch egal, ob ich… das ist ja auch ein Kontext, den wir eigentlich gar nicht haben. Du möchtest und ich möchte im Endeffekt auf Anwendungen Zugriff bekommen, die ich für meine tägliche Arbeit brauche.

Matthias: Für meine Werft.

Kevin: Zum Beispiel für deine Werft. Wenn du eine hast, ja, dann für deine Werft. Bedeutet, wie können wir jetzt sicherstellen, dass wir diesen Kontext von Netzwerk, von IP wegnehmen, und im Endeffekt sagen, ich gebe Kevin Schwarz Zugriff zur Anwendung Werft 1 und zu nichts anderem. Ich nehme diesen Netzwerk-Kontext weg. Das ist genau jetzt die Thematik, wo viele Unternehmen reinschauen.

Wenn wir über Initiativen reden, Gartner hat den Begriff geprägt, Zero Trust Network Access, wie kann ich mit anderen Prinzipien nach Least Privilege nur Zugriff zu dem geben, was wirklich benötigt ist, und dabei auch das Ganze verifiziert haben, zum Beispiel beim Nutzer auf Basis der Identität, oder auf Basis von anderen Faktoren, wo ich eben beurteilen kann, ist diese Verbindung wirklich valide, und darf der Zugriff geschehen, worauf denn nur, und alles andere ist im Endeffekt dann weggenommen und egal.

Das sind so, wo wir sagen, da ist VPN inzwischen oft ein Thema, was Unternehmen eben als Risiko sehen und es daher ablösen. Und zum Proxyserver, wie gesagt, großteils einfach auf Basis der Vielfältigkeit der Anwendungsfälle ist es nicht mehr State of the Art, irgendwo klassische Appliance oder einen Proxyserver stehen zu haben, weil du diese Funktionalitäten und Fähigkeiten einfach in der Vielfältigkeit überall brauchst.

Matthias: Bis dahin gehe ich ja mit. Ganz oft wird Zero Trust gesagt. Das höre ich von vielen. Und ihr, C-Scaler, sagt, die Architektur macht den Unterschied. Da muss ich einfach nochmal nachhaken. Wie macht die Architektur den Unterschied und wie macht ihr das?

Kevin: Du hattest ja eben auch mal einen Spruch toll gefunden, wo du gesagt hast, okay, was wir verstecken oder was du nicht sehen kannst, kannst du auch nicht angreifen. Die Architektur von C-Scaler basiert auf einer Proxy-Architektur. Eben habe ich noch gesagt, Proxy-Server sind schlecht, die Architektur eines Proxys an sich ist aber nichts Schlechtes. Wir sagen, wir müssen jede digitale Interaktion verifizieren. Bedeutet, du greifst jetzt auf, sagen wir mal, M365 zu, im nächsten Moment greifst du auf SAP zu. Das sind jeweils digitale Interaktionen. Hierbei muss ich in der Lage sein, unterscheiden zu können, welche Kriterien möchte ich denn eigentlich durchgesetzt haben, ob ich dem Matthias Zugriff zu M365 gebe, was potenziell unkritischer ist, und eben aber auch zu SAP, wo ja potenziell kritische Informationen vorliegen, beziehungsweise zu M365, wirklich zu Accounting oder anderen finanziellen Themen, wo wir vielleicht sagen, hey, da müssen wir ein bisschen mehr verifizieren.

Die Architektur von Zscaler in der Hinsicht, du verbindest dich als zum Beispiel Nutzer mit deinem Gerät, du wirst authentifiziert auf Basis deiner Identität und dann durch andere Kriterien, und verbindest dich mit der Zscaler-Plattform. Weiß nicht, ob das Beispiel noch gilt für alle, das klassische Konzept eines Türstehers. Ein Türsteher verifiziert ja auch, ob ihm die Schuhe von dir gefallen oder wie dein genereller Zustand ist, ob du denn auch gerade ausschauen kannst und ob das denn auch generell zu dem ganzen Thema innerhalb des Clubs zusammenpasst. Oder vielleicht stehst du ja auf einer Gästeliste, das kann die ganze Thematik auch beschleunigen. Ähnlich kannst du dir die Architektur von Zscaler vorstellen. Wenn du diese Verifizierung nicht bestehst des Türstehers, wirst du auch nicht sozusagen in den Club kommen.

Technologisch ist es eine Verbindung auf zu der C-Scaler-Plattform. Wir haben etwas, was wir einen Connector nennen, den wir dort platzieren, wo die Anwendung oder die Anwendung der Unternehmen eben liegen. Und dieser Connector kommuniziert auch zurück zur Plattform. Bedeutet, es gibt in keinster Weise eine Möglichkeit, dass ich mich direkt mit den Anwendungen verbinden kann, sondern es geht eben alles über die C-Scaler-Plattform und dann kriegst du nur Zugriff, wenn das verifiziert ist und du sozusagen die Policy erfüllst.

Ja. Das hat jetzt nichts, wie gesagt, mit deinen Schuhen, etc. zu tun. Das ist eine digitale Prozedur, weil wir ja sicherstellen müssen, gerade wenn wir das Thema Ransomware haben, gehen wir davon aus, du kannst deine Identität verifizieren, du kannst andere Kriterien erfüllen, wo wir sagen, hey, okay, das haben wir definiert, das muss man eben mitbringen, zum Beispiel, dass du aus einem gewissen Ort, etc. dich nur verbindest, kann bei Anwendung der Fall sein, ja, nicht aus diversen Ländern, aber wir zum Beispiel merken, dass dein Gerät, deine Antivirus, dein EDA sagt, hey, der Risk-Score des Geräts hier ist irgendwas nicht ganz koscher. Ja? Ist ein Faktor, wo wir sagen, okay, das scheint der Fall zu sein, dass deine Maschine vielleicht noch befallen ist. Wir müssen dich daher eben, wir können dich nicht mit der Anwendung verbinden, wir müssen daher erst mal dein Gerät bereinigen. Relativ gute Möglichkeit, um zu erkennen, ist man denn noch nach einer Attacke kompromittiert, gibt es noch Geräte, die sozusagen noch befallen sind, etc.

Um abzuschließen, jetzt habe ich es sehr ausgeholt, die Architektur verifiziert jegliche Form von digitaler Interaktion, wenn wir das wollen, und nutzt andere Formen von Kriterien, nicht nur Kriterien, die Zscaler erstellt hat, um der Unternehmung die Chance zu geben, zu definieren, wie ist dieser Kontext von Nutzergerät zur Anwendung gerade, und welche Faktoren möchte ich durchgesetzt haben, dass das überhaupt geschehen kann, ja? Im Gegensatz zu anderen Prinzipien, wir hatten eben von VPN gesprochen, wo ich mich anmelde, wenn ich den Laptop öffne und dann meine Daten eingebe, potenziell auch zusätzlich mit zusätzlichen Faktoren verifiziert werde, aber dann habe ich erst mal eine Verbindung. Und die läuft so lange, wie ich zum Beispiel im Zug sitze, das Internet weg ist und ich mich neu anmelden muss oder bis ich abends meinen Laptop zuklappe.

Matthias: Habe ich kapiert. Dieser Türsteher ist eine interessante Metapher. Also ich glaube das, kann es auch gut nachvollziehen, aber je mehr ich in der Cloud habe, je mehr ich auf KI setze, je mehr ich irgendwo was auslagere, desto mehr neue Angriffsflächen habe ich doch auch. Oder entstehen da auch neue Chancen? Wo seht ihr die Möglichkeiten, wo und wie ich dann KI einsetzen kann?

Kevin: Deine Ansicht, da ist absolut nicht verkehrt. Ich meine, wir haben mit anderen Technologien auch immer wieder gesehen, dass neue Angriffsflächen geschaffen worden sind. Und das ist eben auch bei dem ganzen Thema KI nicht anders. Also Angreifer nutzen moderne Technologien meist leider schneller wie wir im Durchschnitt oder wie generell die Verteidigerseite. Daher ist das natürlich ein enorm großes Risiko. Wir schaffen neue Risiken einfach durch die Nutzung von KI-Systemen. Das ist einfach so. Mit jeder neuen Technologie geht das einher. Wir sehen natürlich auch eine Zunahme von Phishing-Attacken. Hey, wenn ich Dinge automatisieren kann, dann tue ich das. Wenn das sogar dann durch und durch noch besser aussieht, ist das auch besser.

Heißt, wir sehen ja neue Risiken, gerade auch im Sinne von, wenn ich – wir nennen es Video-Ishing – wenn ich dir jetzt hier im Video vorgaukele, dass ich derjenige bin, der ich bin und erzähle dir hier was über Zero-Trust etc., woher weißt du denn, dass ich ich bin? Also wir hinterfragen ja durch die Nutzung von KI wirklich das letzte Quäntchen an menschlichem Vertrauen, selbst in der digitalen Interaktion. Aber natürlich sehen wir darin auch eine enorme Chance, gerade für die Verteidiger-Seite. Denn in der heutigen Zeit haben wir in der Cybersicherheit enorme Mengen an Daten. Wir haben so viele Daten, dass wir das ja eigentlich gar nicht richtig verarbeiten können. Da müssen wir natürlich reinschauen. Da gibt es enorme Möglichkeiten, das zu automatisieren und da in Copilot-Form das Ganze eben besser aufzubereiten und da aussagekräftiger für die Verteidigerseite zu sein.

Gleichzeitig aber auch, dass wir sagen können, wenn wir einige Daten haben, und ich rede jetzt nicht nur von Daten von C-Scaler, sondern eben auch von Daten von anderen Unternehmen, denn wenn wir schauen, eine Unternehmung hat klassisch nicht nur einen Security-Anbieter. Ich weiß jetzt gar nicht, was der Durchschnitt ist, aber ich glaube, 20 oder 30 ist keine verkehrte Annahme. Wenn wir diese Daten zusammenbringen können, um zu einer Aussage zu kommen, zu sagen, hey, wir sehen Folgendes auftreten, wir sehen Schritt 1 und Schritt 2, ist es da nicht relativ realistisch, dass Schritt 3 und 4 passieren wird? Ja, weil wir natürlich das schon vorher vielleicht gesehen haben, wenn wir zum Beispiel eine Attacke aus anderen Nachrichten schon gesehen haben, erkannt haben, wie läuft diese schrittweise Vorgehensweise ab, ja, dann können wir das ja sozusagen vorhersagen.

Was wir Breach Prediction nennen, klingt relativ Skynet-mäßig, ist aber eigentlich eine Korrelation von Daten.

Matthias: Das heißt, ihr könnt ein Muster erkennen. Wenn Schritt 1 und 2 so sind, dann ist es relativ logisch, dass 3 und 4 genauso folgen. Mit einer relativ hohen Wahrscheinlichkeit.

Kevin: Hier müssen wir natürlich sagen, der Einsatz von KI, gerade in der Cybersicherheit, ist jetzt nicht neu. Also das läuft schon seit längerer Zeit, also gerade, was du gesagt hast, Machine Learning ist da schon seit längerem im Einsatz, Mustererkennung, wenn wir gerade über Zero Days sprechen. Bei Zero Days ist es der Fall, es hat bisher noch keiner erkannt, wir haben noch keine Signatur dagegen, aber Angreifer nutzen oft vorherige Malware oder vorherige Schadsoftware und bauen darauf auf. Heißt, eine Signatur würde nicht greifen, weil sie sagt, kenne ich nicht, ja, das sagt mir nichts, aber auf Basis von Machine Learning kannst du ja Muster erkennen, kannst sagen, hey, zu 25% siehst du mir nach Emotet aus, ich blockiere dich lieber mal, ja, aber hier, worüber wir jetzt reden, bei den anderen Ansätzen, ist es genau zu sagen, wie können wir Daten auch von anderen Quellen korrelieren, um dann genau zu einer Aussage zu kommen, und für uns, zu dir, die Hoffnung, ein bisschen wegzukommen von dem Threat-Hunting in Richtung Risk-Hunting, wie kann ich Dinge eigentlich schon erkennen, bevor ich mich wirklich damit auseinandersetzen muss, wie kann ich Risiken reduzieren und mitigieren, weil ich da zum Beispiel erkenne, ich habe nicht den gewissen Schutz für eine gewisse Form von Attacken. Ich aber erkenne, hey, wir sehen Anzeichen dafür, dass das eben eintreffen könnte.

Das sind, denke ich, ganz spannende Bereiche. Und wenn wir das jetzt mal durchdenken, das ist natürlich eine enorme Chance für die Verteidigungsseite, diese ganzen Daten, die wir sammeln und versuchen mit menschlicher Hand irgendwie zu nutzen, zu automatisieren, um dann genau diese Themen zu erkennen und zu mitigieren.

Matthias: Ich will an einer Stelle noch mal nachfragen, du hast von Resilienz gesprochen, was passiert, wenn was passiert? Nach den letzten Worten von dir habe ich den Eindruck, okay, die Angreiferseite könnte stärker sein, aber ist es denn tatsächlich so?

Kevin: Die ganze Thematik Cyber-Resilienz, was gerade viel im Umlauf ist, ist, denke ich, die richtige Diskussion zu führen, denn wir gehen ja hier davon aus, dass wir funktionierende Security Practices zwar im Einsatz haben, aber trotzdem etwas passieren kann. Zwei Themen, eine klassische Attacke, Stichwort Ransomware oder ein Incident, ja, dass wir auch sagen können, hey, wie stellen wir uns denn wieder auf, wenn ein Incident passiert ist, was jetzt vielleicht keine Cyberattacke war, aber wir eben wieder sozusagen die Unternehmung ans Laufen bekommen müssen. Das sind Themen, damit müssen wir uns weiterhin auseinandersetzen.

Wir sind und wir werden leider nicht, ja, wenn wir jetzt auch die letzten 20, 30, 40 Jahre in der IT zurückschauen, uns nie so sicher sein können, dass nichts passieren kann, ja, und das ist für uns auch ein enormes Thema, das eine ist natürlich, wie können wir, was wir eben besprochen haben, vielleicht mit Themen wie Breach Predictor da auch in die richtige Richtung gehen, das frühzeitig zu erkennen und Risiken zu mitigieren, dass wir wirklich uns auf das spezialisieren können, was eben noch vorliegt, zum anderen aber auch eher in Richtung Business Continuity Management gehen, wenn natürlich alle Kommunikation über eine Plattform wie C-Scaler läuft, dann sind wir ja auch enorm kritisch für die Unternehmung, ja.

Bedeutet, wie können wir, und das nennen wir dann Disaster Recovery unter anderem, wie können wir unseren Kunden ermöglichen, sich auch auf Incidents vorzubereiten, die sie potenziell mit uns auch haben, ja. Denn auch IT, wissen wir, das ist keine Zero-Defect-Welt, in der wir leben. Wir müssen immer davon ausgehen, dass Dinge passieren können, die bestmöglich zu mitigieren, beziehungsweise Möglichkeiten an die Hand zu geben, womit wir den, den Blast Radius größtmöglich klein halten können.

Matthias: Risk-Hunting hast du schon angesprochen. Was erwartest du? Was kommt da? Wie funktioniert das genau?

Kevin: Ich habe es ja wenig angedeutet. Die Datenmengen, die wir schon seit, ich weiß nicht, wie vielen Jahren sammeln, wo wir alle gesagt haben, wir brauchen jetzt ein SIEM und da müssen alle Daten und Logs hin und jetzt brauchen wir 300 Security Operations Center Mitarbeiter, um das Ganze zu verarbeiten. Das ist ja die aktuelle Situation, wo wir einfach uns ein Problem geschaffen haben mit dieser Menge an Daten, um da das Ganze zu erkennen, was ja mit menschlicher Hand nicht möglich ist. Die Idee ist daher, zu sagen, wie können wir all diese Daten zusammenführen, korrelieren, und dann genau die Themen herauszufiltern, wo wir sagen, da müssen wir jetzt unseren Fokus drauflegen. Ja? Bedeutet, dafür haben wir eine Plattform gekauft, die kommt eigentlich eher aus dem, ja, klassischen Data-Mining, oder aus dem ganz klassischen Data-Bereich, wo aber genau diese Intelligenz vorherrscht, wo man sagt, wie kann man dies jetzt im Kontext von Security nutzen, um genau diesen einen potenziellen Angriff oder potenzielle Risiken zu erkennen, wo wir vorschlagen können, hey, wir würden folgende Mitigationsschritte vorschlagen. Denn die Herausforderung ist ja die, wir sind nur so intelligent wie unsere Plattform und die Daten, die wir bekommen, aber genau, dass wir sagen, wenn wir da nicht anders denken, Unternehmen haben nicht nur die eine Plattform, wie schon erwähnt, sondern eben andere. Das aber zu korrelieren, das ist da die Idee und das ist da sozusagen die Magic dahinter.

Matthias: Ich kann ganz viel nachvollziehen, aber trotzdem bleibt ja dieses Quäntchen Unsicherheit. Kannst du mir das nehmen oder sagst du, ein bisschen Unsicherheit wird immer bleiben?

Kevin: Ich denke, da ist die Thematik Cyber Resilience im Neudeutschen ein enorm wichtiges Thema. Mit all der Technologie, mit all den neuen Trends und Hoffnungen, die neuen müssen wir davon ausgehen, wir haben zwar funktionierende Security Practices, aber es kann trotzdem immer etwas passieren. Sei es jetzt eine Attacke, wie zum Beispiel eine Ransomware, oder eine neue Form von Angriffen, wie wir es besprochen hatten, oder eben aber auch ein Inzident. Ja, ein Inzident basierend auf Technologie, die wir einsetzen, oder eben auch durch andere Ereignisse hervorgerufen, heißt, damit müssen wir uns natürlich auseinandersetzen. Wir tun zwar alles, um die Risiken zu mitigieren. Wir machen Risk-Hunting in Zukunft, wir sagen Dinge voraus, aber wir werden immer ein Quäntchen haben, worauf wir nicht komplett vorbereitet sein können, und darauf müssen wir uns einstellen. Bei Zero Trust sagen wir auch Assume Breach, dass wir immer damit rechnen müssen, dass etwas passieren kann, und darauf bestmöglich vorbereitet zu sein, das ist die Thematik, sei es jetzt in Richtung Cyber-Risiken, oder sei es aber auch eher in Richtung Business-Continuity-Management. Wie können wir uns aufstellen, wenn zum Beispiel auch Technologie uns einen Strich durch die Rechnung macht? Ja, heißt auch bei uns bei Zscaler, wir fokussieren uns auch darauf, was wäre denn im Fall von einem Incident? Wie können wir Unternehmen eben von uns unabhängiger machen, dass sie trotzdem noch in der Lage sind, ihre Operations am Laufen zu halten? Ja, heißt, auf deine Frage hin, ja, ich bin sehr, sehr positiv gestimmt, dass wir sehr gute Themen vorantreiben können, aber wir werden immer ein Restrisiko haben, worauf wir uns einstellen müssen, denn selbst, dass wir Feuerlöscher in unseren Räumen haben oder Feuermelder, kann es trotzdem immer noch brennen.

Matthias: Das ist ein schönes Beispiel. Übertragen, ich habe ja von dir gelernt, ich habe eine Werft, ich weiß zwar noch nicht, wo die ist, aber ich werde auch weiter Schiffe bauen, oder?

Kevin: Das hoffe ich doch, ja.

Matthias: Kevin, vielen Dank. Ich habe eine Menge gelernt. Ich habe zwar keine Werft, aber ich habe kapiert, wie das mit dem Türsteher funktioniert. Und wer noch mehr dazu wissen will, sollte bei euch auf der it-sa in Nürnberg vorbeischauen, 22. bis 24. Oktober in Frankens Metropole, ganz genau am Stand 6-324, das habe ich mir gemerkt, 6-324, da ist Zscaler zu finden. Kevin, du bist auch da, see you in Nürnberg, oder?

Kevin: Ich bin auch da und see you in Nürnberg, genau, Matthias.

Matthias: Herzlichen Dank und dann auf bald.

Kevin: Danke dir, ciao.

Sprecherin: Das war heise meets …, der Entscheider-Talk. Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie!