Dresden soll europäischer IT-Sicherheitshub werden
24.09.2014 von Simon Hülsbömer
FireEye, Anbieter von Produkten und Managed Services gegen Cyberattacken, hat im "Silicon Saxony" in Dresden ein Forschungs- und Entwicklungszentrum eröffnet. Es ist das erste seiner Art überhaupt in Europa.
FireEye-Gründer Ashar Aziz will von Dresden aus FireEyes Forschungsarbeit in Europa intensivieren. Foto: FireEye
"Wir haben weltweit nach einem geeigneten Standort gesucht, in Dresden haben wir ihn gefunden", erklärt FireEye-Gründer und Chief Strategy Officer Ashar Aziz im Gespräch mit der Computerwoche. Die TU Dresden und speziell der Lehrstuhl für Betriebssysteme und Sicherheit, biete mit ihren Forschungen im Bereich Datensicherheit und Datenschutz genau das richtige Umfeld, neue Security-Experten heranzuziehen und auszubilden.
Im indischen Bangalore und in Singapur hat der Security-Anbieter bereits zwei Forschungszentren in Betrieb - in Dresden wurde nun das erste in Europa eröffnet. Unter Leitung von Software-Ingenieur Hendrik Tews soll ein zunächst 15-köpfiges internationales Entwicklerteam mit Hilfe mathematischer Methoden neue Schutzmaßnahmen gegen ausgefeilte, komplexe Angriffe aus dem Cyberspace entwickeln.
Dresden soll den Sicherheitsforschern und -entwicklern die idealen Rahmenbedingungen bieten. Foto: Sabine Klein - Fotolia.com
In erster Linie geht es dabei um die Erforschung von Mikrokernen, die es möglich machen sollen, dass nur noch ein Bruchteil des Quellcodes eines Betriebssystems als mögliches Angriffsziel dienen kann. Tews spricht von 50.000 Zeilen Code statt wie bisher 50 Millionen. Ein derart verringerter Anteil ließe sich dann viel problemloser überwachen als es bisher der Fall sei.
Weitere Kooperationen geplant
FireEye wolle den neuen europäischen Security-Hub beizeiten ausbauen und weitere Universitäten als Partner gewinnen, so Aziz. "Die Budgets der Angreifer - staatlich wie privat gesteuert - werden weiter wachsen, die Bedrohung durch gezielte Angriffe damit auch. Das führt natürlich auch bei uns zu einem stark erhöhten Bedarf an Security-Profis."
Gartner: Wie Security einen Unternehmenswert erzeugt
Formalisieren Sie Risiko-Management und IT-Security Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb.
Messen Sie den Reifegrad Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können.
Fahren sie risikobasierte Ansätze Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen.
Nutzen Sie Kennzahlen Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen.
Passen Sie Ihre KRIs den KPIs an Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs.
Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen.
Kommunizieren Sie klar, was geht und was nicht In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.