Armin Simon, Thales: Secure the Breach, sei vorbereitet, dass etwas passieren wird, du kannst schon davon ausgehen
Januar 2023 von Yelena Jangwa-Nedelec, Global Security Mag
Bei der it-sa 2022 haben wir uns mit Armin Simon, Regional Sales Director Germany bei Thales, unterhalten.
Im Gespräch erzählte uns Armin von der Vision von Thales, der Bedeutung von Datenverschlüsselung und der Notwendigkeit, immer auf einen möglichen oder sogar sehr wahrscheinlichen Angriff vorbereitet zu sein.
Global Security Mag: Können sie uns erstmal Thales vorstellen?
Armin Simon: Thales ist ein großer globaler Konzern mit Hauptsitz in Frankreich, 81.000 Mitarbeiter mit den unterschiedlichsten Geschäftsfeldern. Ich bin verantwortlich für das Geschäftsfeld Data Protection in Deutschland. Wir haben ein Datenzentrischen Sicherheitsansatz. Wir schützen Daten mit Verschlüsselung. Man hat Edward Snowden gefragt, ob man sich noch auf irgendwas verlassen kann und er hat gesagt, eine sauber implementierte Verschlüsselung ist eins der wenigen Dinge, auf die man sich noch verlassen kann. Das Entscheidende bei der Verschlüsselung ist, wie die Schlüssel aufbewahrt werden und wie sie gemanaged werden. Man kann sich zum Beispiel ein Schloss vorstellen das man nicht brechen kann. Wenn man versucht den Schlüssel zu klauen, muss er gut aufbewahrt werden.
Dafür haben wir Geräte, die Schlüssel in Hardware generieren und dort belassen, sogenannte Hardware Security Module. Das macht man für besonders wichtige Schlüssel, wie Masterschlüssel, wie zum Beispiel den Root key von Public key Infrastrukturen, oder auch für Datenbanken…
Wir sind in moderne Zeiten und die IT Welt verändert sich stark. Ich nenne es gerne verstärkte Virtualisierung. Hardware ist nicht mehr so wichtig, man kann einfach auf virtuellen Systemen aufsetzen. Im Zuge dessen kann man auch leicht die Rechenkapazitäten teilen und das ist der Cloudgedanke.
Amazon kam damit raus, da sie viel Rechenpower haben, die Abends vielleicht gar nicht mehr so benutzt wird, dann kann Netflix während der Zeit die Rechenpower nutzen um Filme zu streamen. Tagsüber wird eingekauft, Abends werden Filme geschaut. Diese Cloudservices bieten eine Menge Vorteile, man kann einfach schnell Systeme hochziehen ohne, dass man Hardware kaufen muss. Firmen migrieren gerade fast komplett in die Cloud und das bringt neue Herausforderungen mit sich. Dann kommt das Schrems II-Urteil ins Spiel. Und zwar hat der Europäisches Gerichtshof verurteilt, dass das Data Privacy Schield (Informelle Datenschutzabkommen zwischen der EU und den USA) ungültig ist, da es in den USA den Cloud Act gibt, der sagt, dass US-Unternehmen, unabhängig wo sie auf der Welt sind, Daten an US-Berater herausgeben müssen ohne, dass in der EU eine Rechtsinstanz gefragt wird. Das heißt meine und Ihre Daten werden einfach weitergegeben ohne, dass wir was davon mitbekommen und deshalb auch ohne, dass wir irgendwas dagegen tun können. Das europäische Gerichtshof hat entschieden, dass es so nicht bleiben konnte. Das macht die Welt sehr schwer für einige die die Cloudservice benutzen, es entstehen Complianceprobleme. Die EU Kommission hat dadurch neue Standardvertragsklausen, sogenannte SCC (Standard Contractual Clauses), rausgebracht, die entsprechende Schutzmaßnahmen vorsehen, wenn es um personbezogene Daten geht. Und das erste Beispiel ist Verschlüsselung.
Der Grundgedanke der Verschlüsselung ist die Trennung der Verantwortlichkeiten zwischen zwei Instanzen, und zwar vom Systembetreiber und Datenverwalter. Die Wichtigkeit von Verschlüsselung ist aber noch nicht bei jeden Kunden angekommen.
GSM: Was stellen Sie auf der it-sa vor?
Armin Simon: Wir haben zusammen mit Amazon Web Services (AWS) das XKS (External Key Service) entwickelt. Mit diesem Service kann man die Amazon Key Management und Verschlüsslung weiter nutzen aber man kann verhindern, dass Amazon die Daten lesen kann. Man hält den eigenen Schlüssel und, wenn auf die Daten zugegriffen werden soll, muss man diese freigeben. Dadurch erreicht man die Trennung der Verantwortlichkeiten.
GSM: Was unterscheidet Thales von anderen Cybersecurity-Unternehmen?
Armin Simon: Was uns unterscheidet ist die Vielfalt der Möglichkeiten. Es gibt viele Verschlüsselungsanforderungen und wir kooperieren mit über 400 Herstellern. Dieses Key Management ist nicht nur für unsere Verschlüsselung da, man kann es auch bei SAP benutzen, Amazon, Google, bei Microsoft-Lösungen. Das ist auch der zentrale Punkt, wenn man ein vernünftiges Schlüsselmanagement hat, hat man auch Datensouveränität. Datensouveränität ist eigentlich ein zu kurzgegriffenes Wort man muss eigentlich Digitale Souveränität benutzen, weil man auch die Souveränität von Software erlangen kann. Wenn man die Verschlüsselung in der eigenen Hand hat, kann man Services von einem zum anderen umziehen und da auch mehr Unabhängigkeit, mehr Souveränität erlangen.
Im Zuge wie die Welt sich verändert, gibt es Initiativen von Staaten, die versuchen souveräne Cloud Services aufzubauen. In Deutschland bietet die Deutsche Telekom mit Google zusammen einen souveränen Cloudservice an, den man jetzt schon beziehen kann. In Frankreich gibt es denselben Google Souverain Cloud Service nur da übernimmt Thales die Rolle der Telekom. In verschiedenen Ländern gibt es ähnliche Projekte. Der ganze Hintergrund dazu ist, dass das Rechenzentrum lokal ist, gemanaged zum Beispiel durch die Deutsche Telekom, die Daten sind verschlüsselt und das Schlüsselmanagement liegt in dem Fall bei der Deutschen Telekom. Somit hat man einen deutschen Vertragspartner, der unterliegt deutschem Recht. Die Services von Google laufen dahinter ohne, dass Google an die Daten kommen kann, das heißt, wenn die NSA die Daten fordert, dann kann man nur verschlüsselte Daten hergeben, und damit können sie nichts anfangen. Somit schafft man die Souveränität ins Land rein. Es gibt ein Gartner Report von Mitte des Jahres, da wurden 12 souveräne Cloud Projekte identifiziert. Wir sind in vielen von diesen Projekten, auch international, mit dabei.
GSM: Wie kann man sich am besten vor Angriffen schützen und wie reagiere ich, wenn doch was passiert?
Armin Simon: Die Komplexität ist so groß, dass man es nicht schaffen kann alle Swachstellen zu schliessen und die Systeme wirklich zu schützen, deswegen soll man sich vorbereiten. Im Falle eines Eindringens, muss gewährleistet werden, dass die wichtigen zentralen Systeme, zum einen weiterlaufen und zum anderen geschützt sind, sodass die Daten nicht geklaut werden können.
GSM: Wie sieht dann das Weiterlaufen und Weiterfunktionieren eines Systems mit Verschlüsselung aus?
Armin Simon: Mein Lieblingsbeispiel ist ein Landratsamt aus dem letzten Jahr, dass Opfer einer Ransomware-Attacke wurde. Mitten in der Corona Pandemie sind sie zum Opfer geworden und sie waren die einzigen die einen weißen Fleck auf die Coronakarte waren, nicht weil sie keine Fälle hatten, sondern weil sie eben keine melden konnten. Das heißt, das Standesamt hat nicht funktioniert, das heißt man konnte weder Ehe schließen noch Sterbe- oder Geburtsurkunde, noch Pässe ausstellen, man konnte auch keine Autos zulassen. Das ganze komplette Amt war lahm gelegt. Wie hätte man jetzt es verhindern können, wir wäre es mit unserer Lösung zu verhindern gewesen? Man würde diese zentralen Systeme nehmen, Verschlüsselung darauf bringen und dafür sorgen, dass die Administratoren keinen Zugriff darauf haben, sodass nur die Applikation die Rechte auf dem System hat. Wenn man das System dazu noch mit Zwei-Faktor-Authentisierung absichert, wird es richtig schwer für Hackers dranzukommen und fast alle Ransomeware Attacken werden gescheitert.
GSM: Was ist Ihre Botschaft an unsere Leser und an CISOS?
Armin Simon: Wir haben eine relativ alte Message, die lautet « Secure the Breach ». Sie ist aber aktueller denn je.
Ransomware bedeutet Verlust der Souveränität. Jemand anders erlangt Souveränität über meine Daten, und ich muss dann zahlen um die zurückzubekommen. Mit Verschlüsselung hebt man auch das Rechtemanagement runter von den Standardsystemen und somit erreicht man dort auch ein Schutz dafür, der im Falle eines „Breaches“ Eintritt, dass man die wichtigen Systemen, die man hat, wirklich geschützt hat. Nicht nur, dass die Daten abhanden kommen, sondern auch, dass man verhindert, dass darüber verschlüsselt werden kann. Das ist die Key Message, die wir rausbringen. Secure the Breach, sei vorbereitet, dass etwas passieren wird, du kannst schon davon ausgehen also schütze dich davor, dass du bereit bist, wenn etwas passiert.
- Paul Bauer, Illumio : Never trust, always verify! Das ist das Leitmotto von Zero Trust
- Uwe Gries, Stormshield: Spagat der CISOs zwischen schrumpfenden Budgets und gesteigertem Bedarf an adäquatem Schutz
- Jörg Vollmer, Qualys: Risikobasierte Priorisierung gegen schneller und effizienter agierenden Cyberangreifer
- Valentin Boussin, Tixeo: Unsere Videokonferenzlösung ist die sicherste auf dem Markt
- Phil Leatham, YesWeHack: Veränderte Rahmenbedingungen stellen Sicherheitsverantwortliche vor neue Herausforderungen
- Stefan Henke, Cloudflare: Jeder soll sich wie ein CISO fühlen
- Airlock: Secure Access Hub mit Anomaly Shield und Continuous Adaptive Trust
- Nils Karn, Mitigant: Sicherheit ist etwas, das ich kontinuierlich betreiben muss
- Georg Gann, Yubico: Ich muss heutzutage phishingresistent sein!
- Jens Sabitzer, Venafi: Viele Securityteams sind nicht in der Lage, auf Augenhöhe mit ihren eigenen Kollegen zu sprechen
- Ramon Mörl, itWatch: Der europäische Cybersecurity-Markt kann nur durch Zusammenarbeit wachsen
- Roland Stritt, SentinelOne : Die Cybersecurity-Community muss zusammenarbeiten
- Will Stefan Roth, Nozomi: Zwischen OT und IT findet oft kein regulärer Austausch statt
- Jutta Cymanek, Omada: Identity Management ist eine extrem wichtige Basiskomponente
- SailPoint : "Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann."
- Jelle Wieringa: "Wir wollen niemanden zwingen, ein Cybersecurity Training zu machen, wir wollen sie befähigen und motivieren, es selbst zu tun!"