Interview: Wie begegnet FireEye Advanced Persistent Threats?

Wer fortgeschrittene Sicherheitsbedrohungen abwehren will braucht umfassende Ansätze, so Ashar Aziz und Kevin Turner von FireEye im Interview.

Anlässlich der Eröffnung einer neuen Forschungsabteilung in Dresden zur Erforschung fortgeschrittener Cyber-Angriffe (Advanced Persistent Threats, APT) standen uns Richard Turner, Vice President EMEA von FireEye, und Ashar Azis, CSO und Gründer von FireEye, für ein Interview über die Standortwahl und die besondere Bedrohungslage in Europa zur Verfügung. Das Interview führte Valéry Marchive von unserer Schwesterpublikation LeMagIT.

Herr Turner, warum errichten Sie hier in Europa eine neue Forschungsabteilung, warum genau in Dresden?

Richard Turner: Natürlich haben so schwerwiegende Sicherheitsprobleme, wie wir sie untersuchen, in der IT ein globales Ausmaß. Gleichzeitig sehen wir aber regional durchaus unterschiedliche Schwerpunkte.In Europa, oder besser gesagt im EMEA-Raum, liegt der Fokus der Angreifer laut unseren Daten für das erste Halbjahr 2014 eindeutig auf Regierungseinrichtungen. Im Vergleich mit anderen Akteuren ist in diesem geografischen Raum ein Angriff auf Regierungsorganisationen doppelt so wahrscheinlich wie ein Angriff beispielsweise auf Transport- oder Medienunternehmen oder auf den Bankensektor. Wenn man diese Kundengruppe adressieren möchte, kann man seine Forschungsabteilung nur sehr schwer in den USA haben. Die Sicherheitsprobleme treten ja schließlich auch hier auf.

Es gibt aber noch einen zweiten, viel profaneren Grund: Wir haben uns viele verschiedenen Gegenden angesehen, aber nur Dresden erfüllt alle unsere Anforderungen. Nur hier finden wir zum Beispiel die gut ausgebildeten Fachkräfte, die wir für unsere Security-Technologie benötigen.

Sie erwähnten gerade, Regierungen wären am häufigsten Opfer fortgeschrittener Cyber-Angriffe – was heißt das genau?

Ashar Aziz, FireEye

Ashar Aziz, Gründer und CSO von FireEye.

Richard Turner: Wir befinden uns hier in einer sehr interessanten Lage, da im EMEA-Raum nur fünf Länder ganze 60 Prozent der gezielten Angriffe auf sich vereinen: Deutschland, Großbritannien, die Schweiz, Saudi-Arabien und die Türkei. Oft stößt man dabei auf die Ansicht, dabei würde es sich um zufällige Angriffszielen handeln, in Wahrheit sind das sehr gezielte Angriffe von gut ausgerüsteten Akteuren. Dabei erfolgt die Konzentration wie gesagt nicht nur auf bestimmte Länder, sondern eben auch auf bestimmte Akteure wie Regierungsorganisationen.

Ashar Azis: Dabei darf man nicht vergessen, dass natürlich das gesamte Ökosystem unter Attacke steht, Regierungseinrichtungen zum Beispiel direkt oder auch indirekt über ihre Mitarbeiter. Angreifer gehen hierbei sowohl selektiv als auch auf ganzer Breite vor, sie greifen also gezielt Regierungseinrichtungen an, die aber dann mit voller Wucht und dann auch auf allen Ebenen.

Wenn Sie von gut ausgerüsteten Akteuren als Quelle der Cyber-Angriffe sprechen – sind damit auch staatliche Akteure gemeint?

Richard Turner: Nun ja es dürfte sich hierbei eher um eine Kombination aus allen möglichen Akteuren handeln, aber ja, von gut finanzierter Organisierter Kriminalität bis hin zu staatlichen Akteuren ist einfach alles dabei. Den Angreifern geht es dabei um Diebstahl geistigen Eigentums oder um Finanzdaten, also um Wettbewerbsvorteile, oder ganz einfach um die Erpressung mit Ransomware. Auch hier sind alle Motive denkbar.

Wie begegnen Sie derart umfassenden Bedrohungen?

Richard Turner: Wenn ich mit Kunden spreche und sie direkt auf die Bedeutung von IT-Security anspreche, dann sind eigentlich aller der Meinung, dass eine sichere IT-Infrastruktur für ihr Unternehmen geschäftskritische Bedeutung hat. Fragt man sie dann aber, ob sie sich selbst in diesem Bereich eine große Kompetenz zugestehen würden, erhält man sehr oft ein Nein.

Traditionell haben Anbieter von IT-Sicherheitslösungen ihre Produkte über Reseller, den Channel oder auch direkt verkauft. Einfach nur ein Produkt zu kaufen reicht unserer Auffassung nach heutzutage aber nicht mehr aus. Es geht vielmehr darum, Partner des Kunden zu werden, ein Ökosystem mit geballter Kompetenz aufzubauen. Wie mein Beispiel von eben zeigt, haben viele Unternehmen einfach nicht mehr die Kompetenz oder die Ressourcen, sich alleine um die Sicherheit ihrer Unternehmens-IT zu kümmern.

Es geht beim Thema IT-Security nicht mehr um die reine Technologie. Vielmehr ist das Zusammentreffen der richtigen Technologie, der richtigen Markteinblicke und des richtigen Fachwissens nötig, um diese Sicherheitsprobleme zu lösen. Dies versuchen wir in einem umfassenden Ökosystem zu adressieren.

Dafür kooperieren Sie ja auch mit etablierten und großen Security-Unternehmen. Haben Sie keine Bedenken, dann in ihrem eigenen Ökosystem an den Rand gedrängt zu werden?

Ashar Azis: Ich denke unsere Technologie und unsere spezifischen Einblicke in den Markt, die wir durch unsere breit ausgerollte Technologie erhalten, zusammen mit dem daraus resultierenden Fachwissen, bringt uns schon eher in eine Art Frontstellung in diesen Partnerschaften, nicht an den Rand. Trotzdem gibt es für Partner in diesem Ökosystem noch genügend Möglichkeiten, durch Services Umsätze zu generieren. Es geht eben nicht mehr um Produkte alleine.

Unser COO Kevin Mandia hat kürzlich erst wieder darauf hingewiesen, dass man 1.000 Mal Glück haben muss, um nur einen Angriff zu verhindern, aber nur einmal, um in ein Unternehmensnetzwerk einzubrechen. Erfolgreiche Angriffe sind im Bereich der IT-Security also im Grunde Normalität. Wir sind im Security-Geschäft, daher geht es uns natürlich in erster Linie darum, erfolgreiche Angriffe zu verhindern.

Wenn ein Angriff aber erst einmal gelungen ist, dann müssen die Auswirkungen und der Schaden für das Unternehmen begrenzt werden. Dazu reicht es eben nicht, einfach nur ein Security-Produkt zu kaufen und zu installieren. An dieser Stelle geht es um Prozesse wie Incident Response, man benötigt schon im Vorfeld eine gewisse Sensibilität der Mitarbeiter, besonders geschulte Team und so weiter. All das geht weit über den Kauf eines Produkts hinaus, und genau das wollen wir mit unseren Partnern für unsere Kunden adressieren.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über IT-Sicherheit: Incident-Response

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close