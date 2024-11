Michael Veit, SOPHOS : Organisationen und Unternehmen sollten ihre IT-Cybersecurity auf ein neues Niveau heben, indem sie menschliche Analysten einbeziehen, die auf den Betrieb von Cybersicherheitslösungen spezialisiert sind

November 2024 von Valentin Jangwa, Global Security Mag Yelena Jangwa-Nedelec, Global Security Mag

Global Security Mag: Guten Tag, Michael Veit. Global Security Mag freut sich sehr, Sie bei der it-sa begrüßen zu dürfen. Können Sie sich bitte kurz vorstellen und uns erzählen, wie Ihr beruflicher Weg Sie zu Ihrer jetzigen Position geführt hat?

Michael Veit: Nach der Schule habe ich Wirtschaftsinformatik studiert und dann mehr als 12 Jahre bei einem Systemintegrator gearbeitet, wo ich für das Design, die Implementierung und das Management von Sicherheit für große Unternehmen und öffentliche Organisationen verantwortlich war. Danach bin ich zu SOPHOS gekommen, wo ich nun seit 15 Jahren arbeite. Ich bin also seit mehr als 25 Jahren in der IT-Sicherheit unterwegs. Bei SOPHOS war ich im Sales Engineering tätig, jetzt bin ich Manager für das Sales Engineering Team in Deutschland sowie Technology Evangelist für die DACH-Region (Deutschland, Österreich, Schweiz oder Confoederatio Helvetica_CH), was bedeutet, dass ich das öffentliche Gesicht der Kommunikation für Presse und Fernsehen bin, um Technologien für Menschen zu erklären, die keine Techniker sind, sowie für C-Levels.

Global Security Mag: Können Sie uns bitte mehr über SOPHOS erzählen und die Unterscheidungsmerkmale aufzeigen, die SOPHOS einzigartig machen? Wir haben gelesen, dass Sie 15 Jahre in Folge als Leader im Magic Quadrant von Gartner erwähnt wurden.

Michael Veit: SOPHOS ist seit mehr als 35 Jahren auf dem Markt. Angefangen haben wir mit Technologien wie Antivirus. Heute umfasst unser Portfolio alle Arten von Netzwerksicherheitsprodukten wie Firewalls, Access Points, Switches, Network Detection Response. Wir haben auch Lösungen für E-Mail-Sicherheit und Cloud-Sicherheit. Wir decken also im Grunde einen großen Teil der Unternehmenssicherheit für typische Organisationen ab. Unser Schwerpunkt liegt auf dem SMB-Markt, auch wenn wir natürlich auch große Unternehmen als Kunden haben. Wir konzentrieren uns auf Organisationen, die ein konsolidiertes Sicherheitsmanagement benötigen. Deshalb bieten wir viele besondere Lösungen an, die miteinander kommunizieren. Wir verfügen also über ein Ökosystem von Sicherheitslösungen mit der Besonderheit, dass wir auch mehr als 40 andere Anbieter und Lösungen in dieses Ökosystem integrieren. Dazu gehören Microsoft 365, aber auch Endpunktlösungen von Microsoft, von Trend Micro und vielen anderen, Firewall-Lösungen von Fortinet, Palo Alto, Checkpoint und so weiter. Denn für die Sicherheit ist es heute notwendig, ein vollständiges Bild von allem zu bekommen, was in einer Organisation passiert. Und genau darauf haben wir uns in den letzten Jahren konzentriert. Es geht nicht nur darum, technische Lösungen anzubieten, die auf dem neuesten Stand der Technik sind. Sophos Endpoint ist nicht ohne Grund seit mehr als 15 Jahren in den Gartner Magic Quadrant Leaders. Heutzutage ist es für Unternehmen jedoch wichtig, Hacker in einer frühen Phase eines Angriffs zu erkennen, um einen vollständigen Überblick über das Geschehen zu haben. Deshalb integrieren wir Lösungen aller Art, nicht nur vom Endpunkt, vom Netzwerk, sondern zum Beispiel auch, wie bereits erwähnt, Microsoft 365, Identitäts- und Zugriffsmanagementsysteme, Backup-Systeme, um die gesamte Angriffskette abdecken zu können, wenn ein Hacker die ersten Schritte in einer Organisation unternimmt.

Wir bieten dieses XDR-Ökosystem mit offenen Schnittstellen zu vielen anderen Lösungen an, entweder für das Analystenteam eines Kunden, so dass dieser, wenn er sein eigenes SOC betreibt, unsere Plattform nutzen kann, oder für Managed Detection and Response Services, ein Bereich, der in den letzten Jahren das größte Wachstum verzeichnet hat. Der Managed Detection Response Service von SOPHOS wird derzeit von mehr als 23 000 Unternehmen genutzt. Das ist mehr als jede andere MDR-Lösung auf dem Markt, und wir stellen Analysten, Bedrohungsjäger und Incident Responses für Organisationen jeder Größe in allen Bereichen, sowohl für öffentliche als auch für kommerzielle und private Organisationen, zur Verfügung und schützen diese Organisationen vor Cyber-Angriffen. Das ist mehr als jede andere MDR-Lösung auf dem Markt, und wir stellen die Analysten, die Bedrohungsjäger, die Incident Response für Organisationen aller Größen in allen Bereichen, also sowohl für öffentliche als auch für kommerzielle und private Organisationen, und wir schützen diese Organisationen vor Cyber-Angriffen. Und da wir Telemetrie von vielen anderen Lösungen integrieren, von SOPHOS oder von anderen Anbietern, erkennen wir Angreifer in den ersten Schritten und verhindern, dass sie Schaden anrichten können, wie Datendiebstahl oder Ransomware-Verschlüsselung. Wir ergänzen diese MDR-Services mit anderen Dienstleistungen wie Schwachstellenmanagement und Angriffsflächenmanagement und erstellen nicht nur einen Bericht über Schwachstellen, sondern stellen auch die entsprechenden Analysten zur Verfügung, die mit dem Kunden darüber sprechen, welche Schwachstelle, welche Lücke in erster Linie behoben werden sollte. Hier geht es um die Festlegung von Prioritäten. Hier geht es um die Prioritätensetzung. Zum Beispiel gab es letzte Woche den Microsoft Patch Tuesday, und es gibt eine Sicherheitslücke, die aktiv ausgenutzt wird, und diese sollte sofort behoben werden. Und natürlich überwachen wir mit den MDR-Diensten kontinuierlich und reagieren. Unsere Reaktionszeiten und eine vollständige Behebung betragen weniger als 45 Minuten. Unsere Analysten brauchen etwa ein bis drei Minuten, bis ein rotes Licht auf dem Bildschirm erscheint, das anzeigt, dass es etwas zu untersuchen gibt, und dann brauchen sie etwa 15 Minuten, um zu prüfen, ob es sich um eine echte Bedrohung oder einen Fehlalarm handelt.Wenn es sich dann um eine echte Bedrohung handelt, benötigen sie weitere 20 Minuten, um diese vollständig zu beseitigen und den Angreifer aus dem Unternehmen zu werfen und zu untersuchen, ob sich der Angreifer weiter im Unternehmen ausgebreitet hat, und eine Ursachenanalyse durchzuführen, wie der Angreifer in das Unternehmen gelangt ist, und zu prüfen, ob andere Systeme noch betroffen sind. Das ist eine Rekordzeit in der Branche, und deshalb bieten wir als Teil des MDR-Dienstes eine Garantie zum Schutz vor Sicherheitsverletzungen an. Das bedeutet, dass wir im Falle eines erfolgreichen Ransomware-Angriffs trotz unseres MDR-Dienstes bis zu einer Million Dollar zahlen, um die Auswirkungen des Ransomware-Angriffs zu mildern. Bei 23.000 Kunden mussten wir diese Garantie zum Schutz vor Ransomware-Angriffen nie zahlen, weil es keinen erfolgreichen Ransomware-Angriff gab, wenn ein Unternehmen durch den SOPHOS-Service geschützt war. Dies ist ein Beweis dafür, wie effektiv wir unsere Kunden schützen.

Global Security Mag: Wie Sie wissen, ist eines der aktuellen Themen NIS 2 (Network Information Security Version 2). Wie kann SOPHOS Organisationen und Unternehmen dabei helfen, Compliance-Anforderungen zu erfüllen und generell sicherer zu werden?

Michael Veit: Es gibt einige Aufgaben, die mit NIS 2 verbunden sind, vor allem im Bereich des Risikomanagements, und dazu gehört zum Beispiel das Incident Management, um die NIS 2 Compliance zu erreichen. Es gibt noch viele andere Aufgaben wie Patch-Management, Lieferkettenmanagement und Multi-Faktor-Authentifizierung. SOPHOS bietet diese Dienste und SOC-Dienste an, die auch das Incident Management umfassen. Natürlich bieten viele unserer technischen Lösungen auch technische Kontrollen, die im Risikomanagement für NIS 2 erforderlich sind. Aber das Wichtigste ist das Reporting und andere Aufgaben bezüglich des Incident Managements. Es ist interessant, dass NIS 2 Organisationen hilft, ihren eigenen Mangel zu verwalten. Das bedeutet, dass Unternehmen ihr Sicherheitsniveau erhöhen sollten, unabhängig davon, ob sie eine Vorschrift wie NIS 2 einhalten müssen. Viele Organisationen fallen direkt unter NIS 2. In Deutschland sind es etwa 30.000, glaube ich, aber noch viel mehr Organisationen, die in der Lieferkette dieser Organisationen stehen, müssen ebenfalls ihr Cybersicherheitsniveau erhöhen. Die deutsche Automobilhersteller haben zum Beispiel eine Compliance für ihre Lieferkette, da sie die Produktion von Autos nicht einstellen wollen, wenn einer ihrer Zulieferer einen Cyberangriff erlitten hat. Bedenken Sie, dass im letzten Jahr etwa ein Drittel der deutschen Unternehmen einen erfolgreichen Ransomware-Angriff erlebt hat. NIS 2 hat zur Folge, dass alle Organisationen ein höheres Maß an Cybersicherheit haben müssen, um nicht Opfer von Cyberangriffen zu werden.

Global Security Mag: Wir nehmen an, dass SOPHOS AI (Artificial Intelligence) verwendet. Könnten Sie uns ein wenig darüber erzählen?

Michael Veit: KI wird eingesetzt, um Regelmäßigkeiten und Anomalien in großen Datensätzen zu erkennen und um das Verhalten von Angreifern in den Ereignissen zu identifizieren, die wir aus vielen Quellen sammeln, analysieren und korrelieren. Zum Beispiel Log-in-Ereignisse, E-Mails oder eine verdächtige Ausführung von Systemtools, die für eine gute oder schlechte Kommunikation genutzt werden können. KI oder Machine Learning wird eingesetzt, um mögliche Angriffsmuster zu erkennen, aber KI wird nicht eingesetzt, um automatisch Abhilfe zu schaffen. KI wird also eingesetzt, um Ereignisse in einem Unternehmen zu filtern und für menschliche Analysten zusammenzufassen, die dann mit menschlichem Wissen über die Arbeitsweise von Menschen und Organisationen feststellen können, ob es sich bei dem Ereignis um eine echte Bedrohung oder um einen Fehlalarm handelt. Wenn die Aktion bösartig ist, wird sie automatisch gestoppt. Es gibt einige Ereignisketten, bei denen wir ein schlechtes Verhalten erkennen können. Sie erhalten z. B. eine E-Mail, öffnen sie mit Outlook und erhalten einen Word-Anhang mit Makros, der eine PowerShell ausführt, die ein Systemtool herunterlädt oder ähnliches. Diese Art von Ereigniskette wird automatisch unterbrochen. Wir verwenden also große Sprachmodelle, um den Analysten bei der Zusammenfassung zu unterstützen, sodass sie effektiver arbeiten können. KI spart dem Analysten viel Zeit, aber sie ersetzt ihn nicht, denn der Analyst muss entscheiden, welches Ereignis gut oder schlecht ist. In der Grauzone entscheidet der Analyst, und mit seinem menschlichen Verständnis findet er auch Wege, um die Bedrohung zu beseitigen, indem er den kreativsten oder vernünftigsten Weg findet, den Angreifer zu stoppen.

Global Security Mag: Könnten Sie vielleicht unseren Lesern einige Kernbotschaften mit auf den Weg geben?

Michael Veit: Die Schlüsselbotschaft ist, dass Unternehmen, die ihre IT-Cybersicherheit nicht auf ein höheres Niveau bringen, einschließlich spezialisierter Menschen, spezialisierter Analysten, die Cybersecurity-Lösungen betreiben, sehr wahrscheinlich in den nächsten Monaten oder Jahren Opfer eines Cyberangriffs sein werden. Unternehmen sollten also nicht so weitermachen wie bisher und nur technische Lösungen kaufen. Sie brauchen spezialisierte Menschen, die sie bedienen. Die IT-Abteilung ist wahrscheinlich nicht in der Lage, dieses Cybersecurity-Thema zu behandeln und rechtzeitig und vernünftig zu handeln und zu reagieren. Dafür braucht man Spezialisten.

Compliance mag ein Motivator sein, aber es sollte nicht der erste Grund sein, um das Niveau der Cybersecurity zu erhöhen, die nicht mehr nur ein Kostenfaktor ist. Cybersecurity ist zu einer Art Versicherung geworden, die ein Unternehmen haben sollte, um das nächste Geschäftsjahr abzusichern, denn Cybersecurity verhindert, dass Daten gestohlen werden und, dass der Betrieb durch Ransomware, Verschlüsselung oder Sabotage lahmgelegt wird.