Wie wird ein KMU den IT-Sicherheitsanforderungen der heutigen Zeit gerecht? Interview mit Armin Diethelm

Sie sind schon fast 30 Jahre selbständig – was ist Ihr Erfolgsrezept?

Wir testen und monitoren – dann wird wo nötig optimiert. So einfach ist das. Mit unserer jahrzehntelangen Erfahrung kommen wir schnell und kostengünstig ans Ziel. Der Erfolg unserer Kunden ist auch unser Erfolg.

Wie wird ein mittelgrosses KMU den IT-Sicherheitsanforderungen in der heutigen Zeit gerecht?

Wenn die Ressourcen knapp sind und ein kleines IT-Team für eine sichere IT-Umgebung sorgt, braucht es intelligente und effiziente Lösungen. Dabei gibt es zwei zentrale Fragen: Wie können wir frühzeitig erkennen, was nicht in unser Netzwerk gehört? Wie können wir diese Vorgänge überwachen?

Antivirus und Firewall sind wichtig – aber reichen nicht für die Sicherheit der IT-Systeme aus?

Das Ziel unserer Kunden ist, sich besser schützen. Cyber-Security wird da für Unternehmen immer wichtiger. Es braucht dafür ein erweitertes Monitoring und regelmässige Tests, um zu verifizieren, ob die Schutzmechanismen funktionieren. Einmal im Jahr reicht das nicht. Getestet werden muss täglich oder mindestens wöchentlich.

Machen die Schweizer Firmen in der IT-Security zu wenig? Oder wieso werden so viele gehackt?

Unsere Erfahrung zeigt, dass Schweizer Unternehmen viel in die IT-Security investieren, was bereits das erste Problem darstellt. Security heute aus einigen unterschiedlichen Systemen wie Endpoint-Security und Netzwerk-Detection-Response, welche optimal wie ein Schweizer Uhrwerk zusammenarbeiten müssen. Dies führt zu einer höheren Komplexität im IT-Betrieb. Es erfolgt oft eine unzureichende Überprüfung der Schutzmassnahmen. Ich vergleiche das gerne mit einem Wassereimer, welcher Wasser verliert, da es Löcher hat. Diese muss man finden und stopfen.

Was für Fehler werden gemacht?

Wir sehen da meistens zwei Fehler: Zum einen bei einer neuen oder einer Erweiterung des Cyber-Security-Systems. Der Kessel wird ein Viertel gefüllt und man beobachtet, wo die Löcher sind – dies mit den geläufigen Verfahren wie Penetrations- oder Funktions-Tests. Aber gibt es auch Löcher, wenn der Kessel halb oder drei Viertel voll ist? Man muss die Security unter «Last» testen, damit man weiss, wo das Limit liegt. Anderseits gibt es Fehler während dem Betrieb: Das IT-System ist sehr dynamisch. Es kommen laufend neue Komponenten, Anwendungen oder User dazu. Die Konfigurationen werden angepasst. Dies kann zu neuen Löchern führen,
welche man erst entdeckt, wenn es zu spät ist.

Dies kann man proaktiv verhindern, wenn man sich selber hackt – nämlich 24x7. Gleichzeitig kann man auch verifizieren, ob man auf aktuelle Bedrohungen immun ist.

Wie lautet Ihre Lösung?

Wir haben mit «Stellar Cyber» eine gesamtheitliche Security-Plattform entwickelt, die wir als Lösung oder Dienstleistung anbieten. Diese Plattform führt Daten aus verschiedensten Quellen zusammen. Das können LOG- und Netzwerkdaten sein. Die Daten werden in ein gesamtheitliches Format gebracht, so dass mit künstlicher Intelligenz – Algorithmen – diese Daten miteinander verglichen und analysiert werden. Die künstliche Intelligenz wirkt dabei wie ein virtueller Security-Mitarbeiter, der bei Verdacht alarmiert oder auch automatisiert Gegenmassnahmen einleiten kann.

Künstliche Intelligenz (KI) und maschinelles Lernen sind zwar grossartige Technologien, wenn es um die Analyse von grossen Datenmengen geht. Aber was braucht es, um damit Cyberangriffe abzuwenden?

Eine aktuelle Studie weist darauf hin, dass 86 Prozent der Unternehmen in den nächsten fünf Jahren mit KI in Berührung kommen. Wenn diese Technologie richtig eingesetzt wird, wirkt sich das unter anderem positiv auf die Abwehr von Cyberattacken aus. Sicherheitsanalysten sind aufgrund der wachsenden Zahl von Cyberangriffen oft überfordert. Es werden mehr sicherheitsrelevante Daten gesammelt, die wiederum noch mehr Warnmeldungen generieren. Das alles führt zu einem Ermüdungsproblem.

Auf der anderen Seite fehlt es der Branche an genügend ausgebildeten Sicherheitsanalysten, um solche Warnungen zu verarbeiten. KI und das maschinelle Lernen können helfen, mühsame Aufgaben wie das Suchen und Bewerten von Bedrohungen und die entsprechende Reaktion zu automatisieren.

Das tönt alles einleuchtend. Aber ist es effizient und mit der bestehenden IT eines KMU verknüpfbar?

Es gibt zwei Hauptgründe, wieso die Lösung so nützlich und effektiv ist: Erstens ist es eine gesamtheitliche Lösung. Es entfallen verschiedene einzelne Tools oder Informations-Silos und damit das mühsamen manuellen Zusammenführen von Daten. Es ist alles schön in einer Lösung integriert. Der zweite Vorteil liegt darin, dass die Plattform nicht nur die in der IT-Security sehr verbreiten LOG-Informationen analysiert, sondern auch die Netzwerk-Paketdaten – wobei man DPI-Mechanismen herausholt, was in den einzelne Paketen wirklich drin ist. Auch wenn die Lösung sehr umfassend ist, die Integration in die bestehende IT-Umgebung geht meist sehr schnell. Unsere Produkte sind rasch und einfach zum Installieren. Das gibt den KMU ein gutes Gefühl, was in ihrer Welt abgeht und wie man auf Ereignisse frühzeitig reagieren kann.