Autopilot für IT-Sicherheit: KI schirmt Firmen und öffentlichen Sektor ab (Gesponsert)

Sprecherin: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert.

heise meets … – Der Entscheider-Talk. Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen.

Sprecher: Herzlich willkommen zu einer neuen Folge von heise meets … Wir treffen heute Thomas Maxeiner von Palo Alto Networks. Er ist dort technische Leiter für den Public Sector. Thomas, um dich ein bisschen besser kennenzulernen: Du bist nicht nur seit über 22 Jahren in der IT unterwegs, sondern auch passionierter Segler. Nicht nur mit der Jolle auf der Isar, sondern auch ordentlich bei Regatten im Mittelmeer. Wo fährst du da lang?

Thomas Maxeiner: Matthias, ja erstmal schön, dass wir heute hier zusammengekommen sind. Freue mich wirklich. Und ja, ich bin häufig in Kroatien unterwegs. Fühle mich dort sehr wohl. Segeln gibt mir ein besonderes Gefühl – ich mag es einfach, wenn man sich nur von der Windkraft fortbewegen kann. Für mich gibt es mittlerweile auch, je länger ich das mache, gewisse Parallelen zum Thema Cybersicherheit. Ich segle dort häufig Regatten und eine Regatta ist für mich ein Teamsport. Es ist nicht so, dass jeder mal eine andere Position am Schiff einnimmt, sondern jeder hat seine feste Position, damit sich wirklich Automatismen geübt werden können und man am Ende des Tages natürlich auch konkurrenzfähig ist. Und ich glaube, auch das ist etwas, was wir heute in der Cybersicherheit benötigen. Wir agieren häufig noch im Silo, weil ich irgendwo Produktverantwortlicher für einen Bereich bin. Ich glaube, auch dort müssen wir noch mehr diesen Teamsport leben, Silos aufbrechen und auch gegenseitig füreinander mitdenken sozusagen. Das würde ich mir auf jeden Fall wünschen, dass wir mehr aus dem Regattasport sinnbildlich in die Cybersicherheit übertragen.

Sprecher: Mensch Thomas, du machst ja meinen Job. Diese Überleitung hätte man perfekter nicht machen können. Wir wollen über Cyber-Resilienz reden und zwar ganz speziell im öffentlichen Sektor. Thomas, nach deiner Erfahrung, sind Behörden und öffentliche Einrichtungen andere Kunden als beispielsweise ein Konzern oder ein mittelständisches Unternehmen? Was unterscheidet sie oder möglicherweise auch was verbindet sie?

Thomas Maxeiner: Häufig wird das immer so dargestellt: Ich würde aus meiner Sicht sagen, dass öffentliche Auftraggeber kein anderes Kundenklientel sind, sondern am Ende des Tages mit der gleichen Bedrohungslage konfrontiert und häufig sogar noch viel stärker reguliert. Was mir dort aber fehlt, ist ein bisschen die Schnelligkeit und Geschwindigkeit. Wir müssen anfangen, schneller zu agieren, agiler zu werden, um damit auf moderne Angriffsszenarien zu reagieren.

Für mich ist auch, was öffentliche Auftraggeber angeht, natürlich ein gewisser Unterschied die Bereitschaft für die Cloud. Die Cloud hat immer so seine großen Fragezeichen: Wie kann ich dort das Thema Datenschutz auch gewährleisten, etc.? Was ich dort aber sehr positiv wahrnehme, ist, dass durch Regularien wie zum Beispiel NIS 2, da wird es auch eine deutsche Fassung davon geben über das BSI als Gesetz, wo wir gerade schon einen Entwurf haben, werden auf neuartigere Technologien, die Cloud-assistiert sind, gefordert – wie maschinelles Lernen, KI oder Zero-Trust-Prinzipien. Ich glaube, dass sich der private Sektor und der öffentliche Sektor mehr und mehr annähern, denn am Ende des Tages wird aus Angreifer-Sicht nicht unterschieden. Angreifer versuchen, irgendwo erfolgreich reinzukommen, um Daten heraus zuspionieren..

Sprecher: Also es ist völlig egal, ob ich Waschmittel herstelle oder ob ich eine Verwaltung habe. Die Angreifer nehmen das, was sie kriegen können, oder?

Thomas Maxeiner: Genau, das ist auch so ein bisschen das, was ich häufig höre, wo mir Kunden sagen: „Ja, ich habe ja keine Daten, die für Angreifer interessant sein könnten." Am Ende des Tages haben Angreifer aber Geschäftsmodelle entwickelt, wo sie jegliche Daten irgendwo zu Geld machen können. Insofern kann man nicht mehr unterscheiden und sagen, ein Produktionsunternehmen ist jetzt weniger interessant als vielleicht ein börsennotiertes Unternehmen. Wir sehen dort schon, dass es wirklich durch die gesamte Bank hinweg Relevanz hat.

Sprecher: Wir haben im Vorgespräch ein bisschen über Zahlen geplaudert und das, was du da an Zahlen genannt hast, hat mich ziemlich beeindruckt. Wir erleben, so eure Untersuchung, zweieinhalb Millionen KI-generierte Angriffe täglich. Das muss man sich auf der Zunge zergehen lassen, zweieinhalb Millionen. Klar ist, Cybersicherheit im Public Sector muss neu gedacht werden, das hast du gesagt. Aber wer sind diese Angreifer und wie laufen die Angriffe ab, wenn ich aus allem, was ich kriegen kann, an Daten Geld machen kann? Wer sind die Angreifen und wie läuft das ab?

Thomas Maxeiner: Vielleicht noch ganz kurz zu dieser Zahl: Diese zweieinhalb Millionen kommen quasi noch on top zu den Millionen von Angriffen, die wir eh schon Tag ein, Tag aus sehen. Warum ich speziell auf diese Zahl der KI-generierten Angriffe eingegangen bin, ist, weil die das Umdenken erfordern.

In der Vergangenheit hat ein Angreifer eine Methode, einen Angriff tausende Male verwendet. Wenn ich den Angreifer einmal erkannt habe, dann konnte ich daraus eine sogenannte Threat Intel generieren, also Bedrohungsintelligenz, die ich dann nutzen konnte – sogenannte IOCs, Indicator of Compromise, die mir sagen: „Hey, das ist ein Angriff" – und damit konnte ich den Angreifer sofort stoppen, wenn ich ihn irgendwo anders gesehen habe. Es gibt solche Plattformen, wo Bedrohungsintelligenz in Echtzeit geteilt wird.

KI-generierte Angriffe bedeuten, dass Angreifer KI nutzen, um jeden Angriff automatisiert anders zu erstellen. Das heißt, solche Hash-Werte, die mir sagen, das ist Angriff A und das ist Angriff B, funktionieren nicht mehr wirklich, weil quasi jeder Angriff anders ist. Dementsprechend funktioniert auch dieses Konzept der geteilten Bedrohungsintelligenz nicht mehr. Und deswegen müssen wir umdenken.

Und wer sind die Angreifer? Ich glaube, häufig meinen wir, das sind irgendwo Leute, die im Keller sitzen, wenig Tageslicht bekommen und dort irgendwie hacken.

Sprecher: Die einen Pizzakarton neben sich stehen haben.

Thomas Maxeiner: Genau. Das wollte ich jetzt so nicht sagen, aber ich glaube, wir haben alle ein Bild vom perfekten Hacker im Kopf. Der hat sicher noch andere Merkmale. Und ich sage heute immer: Hacking as a Service, HAAS. Am Ende des Tages gibt es heute Toolkits. KI ermöglicht heute im Grunde auch Leuten, die nicht so erfahren sind, in die Hackerbranche einzusteigen. Man braucht heute nicht mehr unbedingt Programmierskills, sondern kann sich einfach - es wird einem sehr, sehr leicht gemacht - mit einer Kreditkarte einen Toolkit kaufen, um dann daraus eine Malware zu generieren.

Wie sich Angriffsszenarien verändern – ein Thema habe ich gerade schon angesprochen – wir sehen mehr und mehr KI-generierte Angriffe. Aber was man sich heute wirklich vor Augen führen muss: Angriffe passieren nicht mehr in Silos. Es ist nicht so, dass ein Angreifer versucht, mich morgens am Endgerät zu attackieren, mittags im Netzwerk und abends in der Cloud, sondern es sind heute immer sogenannte multilaterale Angriffe. Das heißt, Angreifer nutzen wirklich alles aus, was wir ihnen digital präsentieren, um irgendwie reinzukommen.

Für mich ist das die größte Veränderung. Ich sage mal ganz salopp, vor 10, 15 Jahren wollte ein Virus noch irgendwo etwas kaputt machen oder einen Rechenalarm legen. Heute wollen Angreifer nur unerkannt irgendwo reinkommen, um sich dann maximal lange intern im Unternehmensnetzwerk ausbreiten zu können, um die richtigen Daten auszuspionieren, die dann am Ende des Tages zu Geld gemacht werden können. Und das erfordert auch einen anderen Ansatz, wie wir über das Thema Cybersicherheit nachdenken – Stichwort: wirklich integriertes Sensornetzwerk über alle Bereiche des digitalen Fußabdrucks eines Kunden.

Sprecher: Wie funktioniert das? Nimm uns mal mit auf die Reise.

Thomas Maxeiner: Im Grunde ist es für mich heute so, dass wir häufig noch in Silos agieren. Das heißt, wir haben unterschiedliche Verantwortliche. Der eine ist verantwortlich für die Endpoint-Sicherheit, der andere vielleicht für die Netzwerksicherheit. Wir müssen anfangen, dort Brücken zu schlagen, digitaler Natur. Wir müssen auch gucken, dass wir die internen Silos, die historisch gewachsen sind, aufbrechen – zum einen, was die Verantwortlichkeiten angeht, damit die Verantwortlichen miteinander kommunizieren. Zum anderen natürlich auch, dass wir die unterschiedlichen technologischen Bereiche zusammenführen.

Deswegen rede ich immer über ein Sensornetzwerk. Wir müssen es schaffen, alle Produkte, die Kunden historisch gewachsen aufgebaut haben, in ein Sensornetzwerk zu bringen. Das ist dann für mich wie der Finger auf den Puls. Ich weiß noch nicht, warum mein Pulsschlag erhöht ist – das kann unterschiedliche Gründe haben – aber ich habe zumindest einen Indikator, dass etwas anders ist als vor einer Stunde. So kann man durch ein zukünftiges Höchstmaß an Automatisierung Angreifer in ihrer Aufbauphase stoppen und nicht erst, wenn das Kind in den Brunnen gefallen ist und irgendwo vielleicht schon durch Ransomware ein Gerät verschlüsselt wurde.

Sprecher: Ich versuche das nochmal für mich zu rekapitulieren. Also wenn ich dich richtig verstehe: Abteilung A hat eine Lösung, Abteilung B hat eine Lösung. Ein anderer Betriebsteil, möglicherweise geografisch auch ein bisschen entfernt, hat eine dritte Lösung. Sie haben eigentlich für jedes Problem ein Produkt und jetzt kommt Palo Alto Networks und sagt, wir machen das ganz anders. Warum sollte ich unbedingt euch vertrauen? Warum sollte ich unbedingt Palo Alto Networks vertrauen?

Thomas Maxeiner: Ja, das, was du gerade beschrieben hast, ist so ein bisschen das heutige Szenario, was wir sehen. Es wurde auch häufig als Best of Breed tituliert, wo man sagt: Ich möchte gerne in jedem Produktbereich immer das beste Produkt einsetzen mit allen besten Funktionen, damit ich dort in diesem Bereich den maximalen Schutz habe. Aber dadurch habe ich mir letztlich genau diese Silos aufgebaut und habe mir auch ein Höchstmaß an operativer Komplexität ins Haus geholt.

Wir haben den Fachkräftemangel heute. Ich glaube, wir wissen alle, der ist nicht marketingtechnisch erstellt worden, sondern er ist wirklich existent.

Sprecher: Er ist real, genau.

Thomas Maxeiner: Und deswegen müssen wir einfach anfangen, Dinge anders zu machen. Es kann kein „weiter so" sein, sondern wir müssen anfangen, effektiver und effizienter zu werden. Und deswegen ist im Grunde die Strategie von Palo Alto Networks: Wie können wir Kunden auf diesem Weg unterstützen?

Unsere Strategie dahinter ist die sogenannte Plattformisierung. Das ist ein Begriff, den wir geprägt haben, zu sagen: Wir müssen anfangen, unterschiedliche Technologien zu konsolidieren – aber nicht nur konsolidieren, das können viele, dass ich über ein Lizenzapparat unterschiedliche Produkte zur Verfügung stelle – sondern wir müssen auch anfangen, den Technologie-Stack wirklich nativ im Backend zu integrieren, also eine wirkliche Plattform zu bauen.

Wo Statt Kunden heute zehn, zwölf unterschiedliche Produkte zu betreiben, betreiben sie mit Palo Alto Networks nur noch eine Plattform, eine Oberfläche, wo all diese Technologien im Einklang agieren, um damit auch wirklich bessere Security Outcomes zu liefern. Und das ist etwas, was wir machen, um Kunden wieder vor die Welle zu bringen. Wie können wir Teams in die Lage versetzen, wirklich mit der Flut an Alarmen, speziell in einem SOC (Security Operations Center), klarzukommen?

Das kann nur passieren, indem wir anfangen, Technologien zusammenzuführen, um damit auch – da können wir vielleicht später nochmal drüber sprechen – das Thema Datenqualität zu adressieren. Denn nur wenn ich eine hohe Datenqualität habe und Vertrauen in die Daten, kann ich natürlich auch das Thema Automatisierung mehr pushen. Und das ist das, was Unternehmen beziehungsweise heutige Teams benötigen.

Sprecher: Ich muss das nochmal für mich zusammenfassen. Also ich habe unterschiedliche Produkte, meine Abteilung A, meine Abteilung B und die anderen auch noch, die haben tolle Lösungen für Sicherheit. Ihr führt das zusammen. Und welchen Vorteil habe ich? Weil ich bekomme eine ganze Reihe von Alarmen und kann ich wirklich auf alle eingehen oder nicht? Das ist dann die Frage. Aber welchen Vorteil habe ich durch die Zusammenarbeit mit Euch?

Thomas Maxeiner: Ich nutze gerne die Analogie des Heuhaufens. Stell Dir vor, Matthias, Du möchtest gerne in einem Heuhaufen viele Nadeln finden, also nicht nur die berühmte eine Nadel, sondern in diesem Fall 20, 30 Nadeln. Eine Nadel ist jetzt mal sinnbildlich für einen Indikator, dass ein Angreifer bei mir irgendetwas macht.

Durch diese Art und Weise, wie wir das heute aufgebaut haben, also mit diesem Best-of-Breed-Gedanken und häufig auch im Silo, machen wir im Grunde auch eine Erkennung im Silo. Das bedeutet, ich teile den Heuhaufen – und Heu in diesem Fall sinnbildlich für Daten – in viele Teile auf. Meine Lösung A - vielleicht eine Endpoint-Security-Lösung, bekommt vielleicht einen Teil vom Heuhaufen, meine Netzwerk-Security-Lösung bekommt einen Teil vom Heuhaufen. So teile ich den Heuhaufen auf die unterschiedlichen Technologien auf, die darin dann versuchen, mit ihren Möglichkeiten Nadeln zu finden.

Jetzt könnte die Endpoint-Security-Lösung vielleicht potenziell im Bereich des Heuhaufens, den ich der Netzwerklösung gegeben habe, eine Nadel finden, weil sie dafür eine Erkennungsmöglichkeit hat. Das wird aber niemals passieren, weil ich den Heuhaufen aufgeteilt habe und jede Technologie immer nur einen Teil bekommt. Damit haben diese Technologien immer einen limitierten Kontext, und da bleibt einfach Intelligenz auf der Strecke.

Was wir mit unserem Plattform-Ansatz machen, wo wir quasi die unterschiedlichen wichtigen Technologien in einer Plattform überführt haben, ist, dass wir den Heuhaufen zusammengeführt haben. Das heißt, wir haben eine einheitliche Datenbasis, wo wir alle unterschiedlichen Produkte und Technologien gleichzeitig anwenden, sodass jeder Detektor auf alle Daten zugreifen kann und wir damit alle Nadeln im Heuhaufen finden können.

Das hat auch einen Impact auf meine Datenqualität. Und die wiederum ist wichtig für die Frage der Alarme, Matthias. Das heißt, ist ein Alarm ein false positive oder ein true positive, also ein richtiger Alarm oder ein falscher Alarm? Je mehr Kontext ich bekomme, desto geringer wird meine false positive Rate. Und das wiederum hilft Teams dabei, dann wieder vor die Welle zu kommen, weil sie in der Lage sind, wirklich auch alle Alarme auswerten zu können.

Sprecher: Wenn ich alle Alarme auswerte, das ist ja händisch nicht möglich. Ich brauche künstliche Intelligenz definitiv dazu.

Thomas Maxeiner: Das ist korrekt, ja. Wenn ich heute mir das anschaue, dann hat jeder Kunde irgendwo mehrere Tausende von Alarmen am Tag. Und da hast du genau recht, wir müssen KI sinnvoll nutzen. Und auch dort möchte ich gerne die Angst nehmen, die häufig so ein bisschen mitschwingt, dass KI irgendwie unsere Analysten ersetzt.

Das ist nicht unsere Herangehensweise und auch nicht wie wir den Einsatz von KI implementiert haben. Wir haben über den Fachkräftemangel gesprochen. Wir haben nicht genügend gute Leute in der Industrie und die beschäftigen wir dann vielleicht, wenn ich das so salopp sagen darf, mit nicht immer den sinnvollsten Aufgaben – zum Beispiel die manuelle Auswertung von Alarmen.

Das ist wirklich für uns der richtige Einsatz von KI: Wie können wir den wenigen Analysten, die wir haben, durch KI Arbeit abnehmen? Wiederkehrende, langweilige Jobs quasi wegautomatisieren, die wir einfach jeden Tag haben, sodass die Analysten, die wir haben, sich auf die wirklich wichtigen Dinge und auch auf proaktivere Dinge fokussieren können und nicht einfach nur in der Basis Alarme analysieren.

Sprecher: Bring doch mal ein bisschen Butter bei die Fische. Wie kann das in der Praxis aussehen? Wie sieht so ein Alarm aus, den eine KI analysieren kann und am Ende sagt Daumen hoch oder Daumen runter?

Thomas Maxeiner: Butter bei die Fische. Also am Ende des Tages ist ein Alarm erst mal nur ein Indikator, und die Summe ist erst mal die wichtigste Basis. Das heißt, wenn ich mir heute einen modernen Angriff anschaue, dann sind da sicherlich 50, 60, 100 und auch mehr Alarme involviert. Und das Allerwichtigste ist erst mal zu verstehen, wie diese unterschiedlichen Alarme am Ende des Tages auch auf den gleichen Angreifer zurückzuführen sind.

Denn das hilft mir dabei, den richtigen Kontext zu bekommen und zu verstehen, was eigentlich gerade passiert. Das heißt, in der Basis nutzen wir künstliche Intelligenz, Analytics und maschinelles Lernen, um am Ende des Tages automatisiert zu verstehen, wie Hunderte von Alarmen auf den gleichen Angriff zurückzuführen sind. Und das ist etwas, was in der Vergangenheit oder auch heute noch viele Analysten über viele Produkte händisch machen.

Wir sehen viele Alarme, und durch händische Analysen versuchen dann Analysten genau diese Korrelation hinzubekommen und zu sagen: Diese Alarme aus Tool A stehen in Verbindung zu den Alarmen im Tool B. Das sind hohe operative und manuelle Aufwände. Das ist mal die Basis.

Und dann geht es natürlich immer noch darum: Ist das jetzt ein Alarm, der ein false positive ist oder ein true positive? Und da wiederum nutzen wir dann auch sogenannte Playbooks, also nicht unbedingt reine KI, sondern Playbooks, um händische Analystenarbeit durch Drehbücher automatisiert ablaufen zu lassen. Und das ist viel Know-how, was wir in unserem eigenen SOC, aber auch in der Arbeit mit unseren Kunden über die letzten Jahre erlangt haben. Dieses Know-how, wie analysiere ich solche Alarme, haben wir in Playbooks überführt, um damit quasi den Analysten zu entlasten.

Für mich ist das Endresultat eine Kombination aus vielen, vielen technischen Bausteinen und Erfahrungen, die wir in unsere Plattform integriert haben.

Sprecher: Am Ende des Tages seid Ihr auch schneller, weil wenn so ein Playbook die entsprechenden Regeln vorgibt, nach welchen etwas automatisiert analysiert werden kann, dann ist es natürlich einfach schneller, stelle ich mir vor, oder?

Thomas Maxeiner: Genau, weil ich nicht darauf warten muss. So ein Playbook braucht nicht auf einen Analysten zu warten. Ein Analyst nimmt sich heute einen Alarm vor, versucht den zu analysieren und geht zum Nächsten. Und das dauert natürlich sehr lange. Solche Playbooks können heute einfach parallel ausgeführt werden. Das heißt, ich habe mehrere hundert Alarme, und die müssen nicht sequenziell abgearbeitet werden, sondern können über diese Playbooks parallel abgearbeitet werden. Insofern reduziere ich natürlich die sogenannte MTTD, also Mean Time To Detect – wie schnell kann ich erkennen, was passiert ist. Und insofern geht das alles wesentlich und deutlich schneller.

Sprecher: Und bis dahin hat sich der Hacker noch nicht mal die neue Pizza bestellt. Ihr sagt von Euch selber, Ihr seid die Erfinder der Next Generation Firewall. Was steckt da dahinter?

Thomas Maxeiner: Das ist interessant, dass Du das sagst. Und das können wir sicherlich auch auf diesen Bereich mappen. Ich nutze immer gerne dieses Beispiel, weil das sinnbildlich ist, auch für die Herausforderungen, die wir heute in vielen Bereichen der IT-Sicherheit haben.

Unser Firmengründer und heutiger CTO Nir Zuk hat damals, vor über 20 Jahren – wir feiern gerade unser 20-jähriges Jubiläum von Palo Alto Networks...

Sprecher: Ich gratuliere

Thomas Maxeiner: Danke Dir, ….vor über 20 Jahren hat Nir Zuk gesagt, die Art und Weise, wie wir heute Netzwerksicherheit betreiben, ist nicht mehr sehr effizient und effektiv. Wir haben viele einzelne Best-of-Breed-Produkte: eine Firewall, ein IPS-IDS-System, URL-Webfiltering, DNS – unterschiedliche Produkte, die parallel agieren, wo ich parallel meinen Netzwerkverkehr durchschicke und analysiere und damit aber auch Performance-Einbußen habe.

Und Nir hat gesagt, wir müssen das ändern. Wir müssen diese unterschiedlichen Netzwerk-Security-Produkte in eine nativ integrierte Plattform bringen und dann den Netzwerkverkehr einmal analysieren, mit allen unterschiedlichen Technologien gleichzeitig und auch nicht hintereinander. Und das war quasi die Geburtsstunde der Next Generation Firewall, wo sich Nir Zuk damals mit Palo Alto Networks selbstständig gemacht hat. Das ist ein Konzept, was heute state of the art in unserer Industrie ist.

Diese Transformation haben wir alle vollzogen und jetzt steht für mich die nächste Transformation an – und die muss im SOC, im Security Operations Center passieren. Denn da haben wir eins zu eins das gleiche Problem, was wir, Matthias, ja gerade auch schon ein bisschen angerissen haben: Silos, unterschiedliche Verantwortlichkeiten, unterschiedliche Produkte, ich teile den Heuhaufen auf.

Genauso habe ich es in der Vergangenheit auch im Bereich Netzwerksicherheit gemacht. Und wir müssen den Heuhaufen wieder zusammenbringen und wir müssen auch im SOC die wichtigsten technologischen Bausteine über eine zentrale Plattform zur Verfügung stellen, um damit letztlich die operativen Aufwände zu reduzieren, aber gleichzeitig auch meine Security-Effektivität erhöhen.

Sprecher: Wenn uns jetzt ein Controller zuhört, der müsste doch vor Freude in die Hände klatschen, oder? Gerade in staatlichen Einrichtungen und Behörden ist die Finanzierung ja oftmals anders als in Unternehmen am Markt. Wenn ich nicht so viele zersplitterte Lösungen habe, ist unterm Strich auch eine andere Summe, oder?

Thomas Maxeiner: Vollkommen richtig, genau. Also das ist das, was wir auch damit erreichen wollen. Das heißt, durch diesen Plattformisierungsansatz wollen wir zum einen Technologien konsolidieren und darüber natürlich auch monetäre Ersparnisse liefern. Das andere ist natürlich, wir wollen auch operative Aufwände und damit auch Kosten reduzieren. Und das sind ja dann immer solche sogenannte TCO-Analysen, also Total Cost of Ownership. Und da können wir zum einen, was Lizenzkosten angeht, Ersparnisse liefern, aber zum anderen letztlich auch was die operativen Kosten angeht.

Und das kann man immer weiterspinnen. Ich sag jetzt mal, ein Kunde, der heute sagt, ich brauche ein neues Produkt – da muss man sich mal diesen operativen Rattenschwanz anschauen. Bedeutet, ich brauche eine neue Technologie, da machen Kunden eine Ausschreibung, dann werden unterschiedliche Lösungen getestet, dann muss ich das ganze Vertragswerk, Support-Verträge abschließen, dann muss das Ganze implementiert werden. Da sind so viele operative Aufwände, die vielleicht erst mal gar nicht vor Augen sind, und das machen Kunden immer und immer wieder für jedes Produkt. Das ist etwas, was wir auch vereinfachen können, über diese Plattformisierung. Das heißt, ich habe einen Wartungsvertrag.

Übrigens ein Thema, was da noch reinspielt zum Thema Vertrag: Wenn ich das Thema Datenschutz mir anschaue, habe ich gerade viele Gespräche auch, was Themen wie Datenschutzfolgeabschätzung angeht. Und wenn ich jetzt 10 Produkte einsetze, und jetzt muss ich als Behörde 10 Hersteller, 10 Verträge und 10 Datenschutzfolgeabschätzungen machen, dann ist das ein riesiger operativer Aufwand. Das sind im Grunde auch positive Nebeneffekte, die wir mit dieser Plattformisierung für unsere Kunden treiben können.

Sprecher: Wir haben schon ein bisschen darüber gesprochen, Thomas, über die Zukunft. NIS 2 ist ein weiteres Stichwort, wenn du über Datenschutz, über Cloud und so weiter redest. NIS 2, gib uns noch ein Stichwort dazu.

Thomas Maxeiner: Ja, also ich erlebe NIS 2 gerade als Direktive, die auf europäischer Ebene geschaffen wurde, als eine Art Leitfaden, an den sich gerade viele Kunden orientieren. Heute ist es ja noch eine EU-Direktive, also kein Gesetz, und wird gerade vom BSI – es gibt schon einen ersten Gesetzesentwurf dazu – für Deutschland als Gesetz durchgesetzt.

Und wenn ich heute mit Kunden rede, dann sage ich immer, wir sind noch mit einem blauen Auge davon gekommen, weil es noch kein Gesetz ist, aber wir wissen, was kommt. Und jetzt reden wir wieder über Geschwindigkeit, wo wir auch eingangs mit gestartet haben. Wir müssen schneller werden und wir müssen schneller handeln und wir müssen uns jetzt auch auf dieses Gesetz vorbereiten.

Was für mich an NIS 2 sehr interessant ist, dass da viele neuartige Technologien gefordert werden. Auch ein Thema, vielleicht Adaptionsängste der Cloud: NIS 2 sagt, es sollen neuartige Technologien, die maschinelles Lernen und KI nutzen, implementiert werden. Es sollen auch Prinzipien von Zero Trust implementiert werden. Also, da sind wirklich neuartige Technologien, die auch gefordert werden.

Das hilft natürlich auch in den Gesprächen mit Kunden, dass wir dort letztlich dann hoffentlich auch die Ängste nehmen können, was auch zum Beispiel das Thema Cloud angeht. Und wir müssen anfangen, wirklich auch Cloud-assistierte Lösungen einzusetzen, denn sonst werden wir mit Lösungen, die ich mir on-premise installiere, nicht in der Lage sein, diese Flut und Masse an Informationen, Alarmen und Vorfällen zu analysieren.

Sprecher: Ich habe gelesen, in den USA arbeiten rund 50 Prozent, also die Hälfte der Bundesbehörden mit Palo Alto Networks. In Deutschland und Europa seid Ihr ebenfalls ein großer Partner. Wie schafft man das mit dem, was Du uns eben erzählt hast – mit Argumenten, mit Leistung. Wie geht ihr vor?

Thomas Maxeiner: Also ich glaube, zum einen ist Palo Alto Networks wirklich ein starkes Brand geworden in der Industrie. Ich glaube, bei uns gibt es gerade keinen Weg daran vorbei. Wir sind der größte dedizierte Cybersecurity-Anbieter, der sich wirklich ausschließlich nur mit Cybersecurity beschäftigt.

Und für mich im Herzen, und das ist das, was sich auch in der Industrie gerade rumspricht – es gibt ja auch Mundpropaganda – sind wir eine Technologie-Company. Das ist einfach so. Wir investieren unfassbar viel in Technologie. Wir haben dort einen sehr, sehr gezielten Fokus, um wirklich auch Dinge anders zu machen. Wir wollen nicht in jedem Technologie-Bereich, den es in der Industrie gibt, mitspielen, sondern wir haben unsere Strategie, wir haben unseren Fokus und uns ist wirklich wichtig, die richtigen Security-Outcomes zu treiben.

Und der andere wichtige Aspekt ist für mich auch – und jetzt kommen wir nochmal auf das Thema Cloud – dass wir wirklich auch in den Bereich Datenschutz sehr, sehr viel und stark investieren. Und auch das ist sicherlich etwas, was sich in der Industrie rumspricht. Ich meine, Kunden reden untereinander, da brauchen wir uns nichts vormachen.

Und für mich hat die Adaption der Cloud viel mit Vertrauen zu tun, und Vertrauen auch mit Transparenz. Und in diesem Bereich Transparenz haben wir sehr viel investiert. Wir haben eine Webseite, Trust360, wo wir über alle Produkte, die wir haben, wirklich sehr, sehr detailliert auch aufschlüsseln, wie unsere Produkte in der Cloud agieren, welche Daten wie wo verarbeitet werden. Wir haben massiv auch investiert in das Thema BSI C5 Testtat, was wir für alle unsere Cloud-Lösungen implementiert haben.

Ich glaube, es sind viele Faktoren, die uns gerade auch in die Lage versetzen, im Bereich öffentlicher Auftraggeber in Deutschland erfolgreich mit den Kunden durchzustarten.

Sprecher: Thomas, wir haben schon gesagt, seit 22 Jahren bist Du im IT-Business. Was hat sich für Dich in den letzten Jahren am deutlichsten verändert? Was sind die Dinge?

Thomas Maxeiner: Auch da, glaube ich, die Geschwindigkeit. Nicht in der Geschwindigkeit, in der wir operieren, sondern der Art und Weise, wie Angreifer operieren. Ich arbeite sehr viel mit unserem Bedrohungsvorstand zusammen, unserer Unit 42-Einheit, und um vielleicht da ein Beispiel zu nennen: Im Jahr 2021 hat ein Angriff von der Kompromittierung bis zur Datenexfiltration ungefähr 44 Tage gedauert. Und heute sind wir bei wenigen Stunden angekommen.

Das heißt, der Angreifer kommt rein, er schafft es rein ins Netzwerk, spioniert durch Automatisierung die richtigen Daten aus und ist am Ende des Tages wieder raus. Das heißt, von 44 Tagen, die wir Zeit hatten, haben wir jetzt nur noch wenige Stunden Zeit. Und dementsprechend müssen wir umdenken. Es reicht nicht mehr aus, dass wir innerhalb von mehreren Tagen erkennen, sondern wir müssen das Ganze wirklich runterbringen, im Idealfall auf wenige Minuten.

Und die Kunden, mit denen ich gemeinsam zusammengearbeitet habe, da haben wir es wirklich geschafft, die Erkennung und auch die Gegenmaßnahmen wirklich auf mehrere Stunden zu reduzieren, also von Tagen auf wirklich wenige Stunden, um damit letztlich vor die Welle zu kommen und sich effektiver auch schützen zu können.

Sprecher: Wenn Schnelligkeit, wie du sagst, das A und O ist, dann erübrigt sich eigentlich die Frage, was würdest du dir für die Zukunft wünschen?

Thomas Maxeiner: Schnelligkeit, genau, wie Du schon gesagt hast. Aber für mich ist wirklich das Umdenken das Wichtigste. Es kann kein weiter so sein. Und es gibt heute schon die Angst des sogenannten Vendor Locks, also, dass ich jetzt irgendwo alle Technologien mit einem Hersteller abdecke. Und ich kann das verstehen. Wir haben als Industrie, glaube ich, in den letzten 10, 15 Jahren sehr viel Marketing auch gehabt, wo Kunden auf der Strecke vielleicht Vertrauen verloren haben.

Wir gehen das von Seiten Palo Alto Networks wirklich anders angehen. Und wenn wir nicht umdenken, dann werden wir es nicht schaffen, wirklich am Ende des Tages auch die richtige Datenqualität zu erreichen. Wir müssen diese Silos brechen, um die richtige Datenqualität zu erreichen.

Und da stelle ich Kunden auch immer gern die Frage, und die muss mir auch kein Kunde beantworten, ich freue mich immer nur über ein Lächeln, wenn das dann in einem Meeting zurückkommt, dann weiß ich, es war die richtige Frage: Glauben Sie, dass Konkurrenten bei aller Offenheit, die wir immer auch in der Industrie haben, untereinander wirklich ihre Kronjuwelen austauschen? Und wenn ein Kunde diese Frage mit Ja für sich beantworten kann, dann würde ich das auf jeden Fall mal anzweifeln. Aber es hat bis heute noch keiner gemacht.

Also wenn ich diese Frage stelle: Glauben Sie, dass Konkurrenten untereinander ihre wichtigsten Geheimnisse und Kronjuwelen teilen? Dann kriege ich immer ein Lächeln zurück, was mich darin bestätigt, dass es nicht der Fall ist. Und das hat einen großen Einfluss auf unsere Datenqualität. Und die Datenqualität ist das Erfolgsrezept der Zukunft, denn nur wenn ich eine hohe Datenqualität habe, schaffe ich es, mein False-Positive-Risiko zu reduzieren und auch wirklich das Thema Automatisierung zu pushen.

Wenn ich kein Vertrauen in die Daten habe und trotzdem automatisieren will, dann ist das keine gute Kombination, weil ich dann vielleicht am Ende des Tages meine Behörde lahmlege, weil ich etwas Falsches geblockt habe. Also dementsprechend, was ich mir wünschen würde, ist: Wir müssen umdenken, wir können nicht einfach so weitermachen, mehr Produkte hinzufügen, sondern wir müssen wirklich schauen, wie wir einen Lösungsbereich über einen Plattformanbieter letztlich umsetzen, um damit all die Themen, die wir heute auch besprochen haben, zu adressieren.

Sprecher: Bist du optimistisch? Abschließende Frage, wenn wir dieses Gespräch beispielsweise in drei Jahren wiederholen, reden wir dann immer noch über die gleichen Dinge oder sind die Silos aufgebrochen? Dein Blick in die Glaskugel, wie sieht der aus?

Thomas Maxeiner: Also zum einen, ich bin sehr optimistisch, weil ich jeden Tag im Gespräch mit Kunden bin und ich glaube, es ist jetzt wirklich up to us, auch Vertrauen zurückzugewinnen, Kunden wirklich zu begleiten, zu transformieren und ihnen auch zu zeigen, dass wir wirklich die richtigen Outcomes treiben können. Insofern bin ich erst mal sehr optimistisch.

Glaskugel ist natürlich immer schwierig, aber aus meiner Sicht reden wir heute in der Industrie von einer Automatisierung im Bereich Security. Das heißt, wir haben angefangen, gewisse Bereiche zu automatisieren. Ich glaube, wenn wir uns in ein paar Jahren unterhalten, dann reden wir schon mehr über autonome Security, also dass eine KI dort schon einen größeren Teil übernimmt.

Das bedeutet trotzdem nicht, dass wir irgendwie Analysten reduzieren oder überflüssig werden lassen, sondern einfach, dass meine Gegenmaßnahmen automatisierter passieren. Dass ich noch weniger darauf angewiesen bin, dass irgendwo ein Mensch – der natürlich immer auch ein Zeitfaktor ist – dass er die Entscheidung trifft, sondern dass das dann maschinell mehr durchgeführt wird und Analysten das ganze Konstrukt steuern, die richtigen Prioritäten setzen.

Das ist so ein bisschen, glaube ich, wo die Reise hingeht. Also von einem Teilgrad der Automatisierung, den wir heute sehen, zu einem autonomen Sensor-Netzwerk, was sich zu einem gewissen Grad auch mal selber verteidigen kann.

Sprecher: Herzlichen Dank, Thomas. Das war heise meets … mit Thomas Maxheimer von Palo Alto Networks. Passionierter Segler, haben wir gelernt, Sicherheitsprofi haben wir gewusst und Optimist, das unterstreichen wir an dieser Stelle. Herzlichen Dank, Thomas.

Thomas Maxeiner: Ich danke dir, Matthias. Hat viel Spaß gemacht.

Sprecher: Das war heise meets … – Der Entscheider-Talk. Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie.