Sony und Sony Playstation wurden kürzlich rund 100 Mio. Kundendaten gestohlen, und Amazon Web Services kann keine bei Ausfall verlorenen Daten wiederherstellen. Viele Shopbetreiber fragen sich jetzt: Lassen sich für den E-Commerce so essentielle Infrastrukturen wie Rechenzentren sowie Cloud Computing überhaupt wirksam schützen?
Internet Retailing sprach mit Kent Blossom, dem Vertriebsleiter der beiden IBM-Software-Sparten für Security-Produkte und für Informationsmanagement.
Der Gesprächspartner
Kent Blossom ist Vice President, IBM Security Solutions und leitet ein globales Expertenteam, das Risk- und Compliance Management Lösungen basierend auf IBM Security Software, Hardware und Services, entwickelt und vertreibt. Er bringt langjährige Erfahrung aus dem Bereich IBM Global Services und aus dem IBM Partnergeschäft mit.
Vorher war Kent Blossom als Vice President, Tusted Identity Solutions dafür zuständig mit der Bandbreite an IBM Produkten und Services Kunden Identity & Access Assurance Lösungen zu liefern. Außerdem war er zuvor als Director Emerging Business Opportunities (EBO) für Global Technologies Services verantwortlich. Das Team hat mehr als $500 Millionen Jahresumsatz durch Safety & Security, Grid, Linux, Digital Media und Broadband Wireless und Sensing Services erzielt.
Seit 1983 ist Blossom bei IBM und hat in Produktion, Vertrieb und im Service Solution Development and Delivery gearbeitet. Er besitzt umfassende Kenntnisse im Design, Vertrieb und Management komplexer Consulting- und SI-Projekte. Als IBM Certified Information Technology Specialist wurde er im Zuge vieler Erfindungen und Patente ausgezeichnet.
Internet Retailing: Könnte IBM ein Fertigungsunternehmen vor einem ausgefeilten Trojaner wie Stuxnet schützen?
Kent Blossom: Um die Produktionssteuerung vor Bedrohungen wie Stuxnet zu schützen, bietet IBM eine breite Palette von Sicherheitsfunktionen an, darunter Applikationsschutzsysteme und Einbruchsabwehr für Netzwerke.
Wir werten täglich Millionen von Alarmmeldungen aus, die wir von den weltweit 3700 Kunden unserer Managed Security Services erhalten. Wir destillieren die Ergebnisse dieser Analysen, um Schwachstellen auszumachen und Gefahren abzuwehren.
Wie sollte eine optimale Sicherheitsarchitektur gegen Stuxnet aussehen?
Kent Blossom: Eine Sicherheitsarchitektur baut auf mehrere Verteidigungslinien. Ein Risiko wie Stuxnet wird auf den Leitrechnern durch Anwendungssicherheitssysteme, Virenscanner oder Systemhärtung zum Schutz vor externen Datenträgern abgeschirmt. Das Netzwerk wird durch Firewalls, isolierende Systeme wie Positivlisten für Anwendungen und Intrusion-Prevention-Systeme geschützt. Organisatorische Maßnahmen zielen auf Mitarbeiterverhalten und Governance. Ethical Hacking identifiziert durch die Simulation von Angriffen potentielle Schwachstellen der Sicherheitsarchitektur.
Wie sieht Ihre Produktstrategie aus und wie passen Ihre Firmenaufkäufe dazu?
Kent Blossom: Ich habe die Verantwortung für den Vertrieb des gesamten Portfolios aller Sicherheitslösungen von IBM-Produkten und Services. Wir liefern Lösungen durch Professional Services in Projekten. Wir haben zudem Managed Services, zum Teil über die Cloud. Wir verfügen über Software-Produkte, einige im Tivoli-Portfolio, Identity and Access Management (IAM), Sicherheitsservices, Internet Security Produkte, Produkte für den Schutz von Servern und Netzwerken und von virtuellen Servern.
Ich bin auch für den Vertrieb unseres Informationsmanagement-Portfolios zuständig, besonders für InfoSphere Guardium, unsere Datenbankschutz-Lösung. Und InfoSphere Optim, das einige Information Discovery Funktionen besitzt. Es hilft Kunden, Daten zu maskieren und zu verschleiern, so etwa Testdaten.
Zur Suite gehören auch Rational-Produkte, um damit Whitebox- und Blackbox-Security-Scanning durchzuführen. So etwa unter Laborbedingungen, wo man eine Applikation nach Schwachstellen abklopft, und Blackbox ist zur Laufzeit. Dies hilft unseren Kunden bei der Lifecycle-Security: wie man Sicherheitsfunktionen ins Anwendungsdesign einbaut, Entwicklung, Testphase, Bereitstellung, Inbetriebnahme, Wartung bis zur Ablösung.
DataPower, eine SOA-Appliance, ist eine Art Verkehrspolizist, um damit in einer Service-orientierten Architektur Richtlinien anzuwenden, und zwar mit Hilfe des Tivoli Security Policy Managers (TSPM) zur Laufzeit eines Netzwerks – mit Hilfe der Appliance. DataPower ist also ein Schlüsselteil unseres Portfolios.
Könnte ein Angreifer mit einem Trojaner wie Stuxnet auch die Energieversorgung eines Rechenzentrums bedrohen?
Kent Blossom: Theoretisch ja, aber nur im Falle eines Smart Grids. In der bisherigen Stromversorgung waren Stromzähler passive Geräte. Doch digital ferngesteuerte Stromzähler regeln auch die Stromversorgung, sind also aktiv. Man kann den Energieverbrauch eines Verbrauchers so anpassen, dass es kostensparend und umweltschonend ist. Dadurch werden einige neue Sicherheitsrisiken erzeugt. In den Altsystemen konnte man als Schädiger nur einen Transformator ausschalten und dadurch vielleicht hundert Stromverbraucher treffen. Mit Smart Grids besteht die Gefahr, eine ganze Stadt abzuschalten.
Wie ließe sich so ein Angriff unterbinden?
Kent Blossom: Mit Hilfe des Tivoli Security Policy Managers (TSPM) ginge das zur Laufzeit eines Netzwerks, am besten in der Appliance DataPower, die als eine Art Verkehrspolizist fungiert. Um Sicherheit zu garantieren, könnte man z.B. die Richtlinie vorgeben, dass ein Versorger nur fünf Verbraucher auf einmal abschalten darf. Der TSPM würde die Richtlinie anwenden und jeden Verstoß unterbinden sowie einen Alarm auslösen, um Maßnahmen anzustoßen.
Können Schutzsysteme künftig in Echtzeit auf einen Angriff reagieren?
Kent Blossom: Wir haben der US-Luftwaffe ein solches System, das aus vorhandenen Komponenten besteht und in Nahezu-Echtzeit reagiert, bereits Ende 2010 demonstriert. Viele unserer Kunden wollen Analyseanwendungen, um spezifische Datenströme von verschiedenen Sensoren korrelieren zu können. Dafür stehen ihnen die Middleware IBM InfoSphere Streams und die Analyseanwendungen von Cognos zur Verfügung. InfoSphere Streams ist eine Middleware, die sich so konfigurieren lässt, dass sie Datenströme von jeder Art Sensor aufnehmen kann.
Compliance wird immer wichtiger, um lebenswichtige IT-Infrastruktur zu schützen.
Kent Blossom: Unsere Lösung OpenPages 6 ermöglicht dem Kunden Risikobewertung, die über den Bereich IT hinausgeht, aber auch Analyse und Management. Dies gehört zum Komplex Governance, Risk and Compliance (GRC), der zunehmend ein Kernstück unseres Security-Portfolios wird. Unsere Datenbankschutz-Lösung Optim und InfoSphere Guardium, das Daten maskiert und tarnt, schützen Netzwerk, Storage und Datenbank gegen interne und externe Risiken.
Sorgt IBM auch für Sicherheit in der Cloud?
Ja, aber nicht nur wegen Compliance. GRC ist das Fundament für ein gut entworfenes und ausgeführtes Sicherheitskonzept für ein Unternehmen. Immer mehr Kunden werden Compliance berücksichtigen müssen. Die Weiterführung des Unternehmens ist untrennbar mit der Kontinuität der IT verbunden. Keine manuellen Backups mehr!
Was ist also Ihr Produkt für Cloud Security?
Kent Blossom: ich wünschte, ich hätte solch ein Produkt. Die Strategie für Cloud Security sieht ganz ähnlich aus. Cloud Security ist im allgemeinen eine Erweiterung der Cyber Security, die folglich eine solides Fundament haben muss. Sie muss alle die Fähigkeiten haben, über die ich gerade gesprochen habe: ein solides GRC-System, die Fähigkeit, Informationen zu entdecken und zu klassifizieren.
Hinsichtlich der Cloud muss man verstehen, welche Workload man in die Cloud auslagern will. Was sind die Charakteristika der Daten? Ich muss Identitäten in einer Cloud verwalten, was Probleme hinsichtlich Federated Identity Management bedeutet. Ich muss Datenzugang kontrollieren oder meinem Dienstleister so vertrauen, dass er den Datenzugriff kontrolliert. Die Datenverwaltung muss die Mandanten voneinander abschotten (Mandantenfähigkeit).
Im Hinblick auf den Bereich der Cyber Defense gelten die Grundregeln ungeachtet dessen, ob es sich um eine Cloud handelt oder nicht. Ein Unterschied: Eine Cloud ist eine stark virtualisierte Umgebung. Alle damit verbundenen Aspekte sind in der Cloud zu beachten.
Steht Cloud Security in engem Zusammenhang mit Governance und Risk Management?
Kent Blossom: Cloud Computing wirft ein Schlaglicht auf GRC und verschärft Probleme hinsichtlich GRC. Ein gutes GRC-Programm muss also ins Cloud Computing erweitert werden. Wenn man beispielsweise ein Dienstleister im Gesundheitswesen in den USA ist und ein Angebot aus der Public Cloud nutzen möchte, muss die Frage gestellt werden: “Wie können wir dabei den Anforderungen des Regelwerks HIPAA (Health Insurance Portability and Accountability Act von 1996) entsprechen?” Wir bieten ihnen neben Schutzsoftware auch Identity- und Zugangsverwaltungslösungen, damit die Cloud-Services mandantenfähig (Multi-Tenancy) sind.
GRC wird zunehmend ein zentraler Bestandteil der Sicherheitslösungen und Teil der Evolution der Sicherheitstechnik – von einer Geheimwissenschaft zu einer Angelegenheit des Vorstands. Man braucht zwar noch Techniker, aber auch Geschäftsleute kümmern sich jetzt darum.
Wie sehen Sie Ihre Rolle?
Meine Rolle in der Organisation ist Lösungsvertrieb. Ich muss verstehen, was die Kunden brauchen und diese verschiedenen Komponenten zusammenstellen. Ich arbeite eng mit der IBM-Forschung und allen Produktentwicklungsteams zusammen, ebenso wie mit den Teams für Managed Security Services und für Professional Services.
Wir verstehen die geschäftlichen Bedürfnisse des Kunden und wir vertrauen auf die Breite unseres Portfolios von Fähigkeiten. Ich habe etwa 35 Experten weltweit, die unser Portfolio kennen und die mir helfen. Ich arbeite Hand in Hand mit Leuten, die Experten für einzelne Marken sind. Niemand kann ein tiefschürfender Experte in so vielen Themen sein.