Wo sind die technisch versierten Krawattenträger?

Erläutern Sie bitte kurz, was Sie im Tagesgeschäft als CSO bei EMC tun.

Dave Martin: Mein Team kümmert sich um alle Security-Themen bei EMC weltweit mit Ausnahme des Themas Produktsicherheit. Wir sind zuständig für das Risiko-Management sowie die sichere Entwicklung und Architektur der Sicherheitslösungen, die wir einsetzen. Es geht darüber hinaus um Incident Response, Monitoring und viele kleinere Security-Services. Die wichtigsten Themen, mit denen wir uns derzeit beschäftigen, sind Sicherheit im Cloud-Umfeld und die sichere Nutzung von Privatgeräten und B2C-Diensten im Unternehmen.

Inwiefern betrifft Sie der aufkommende Konflikt Datenerhebung und -analyse aus Sicherheitszwecken heraus vs. Datenschutzbedenken?

Dave Martin: Natürlich schlägt die politische Debatte auch bei uns auf - gerade in den Bereichen Incident Response und Monitoring. Ich muss häufig erklären, was wir mit den Daten, die wir mit unseren Analyse-Tools erheben, machen. Wir sammeln zwar viel ein, analysieren die Informationen aber nicht derart, dass wir beispielsweise die E-Mail-Postfächer unserer Mitarbeiter überwachen. Es geht vielmehr darum, zu erfahren, welche Clients im Netzwerk warum miteinander kommunizieren. Oder auch darum, zu erkennen, ob wir Malware oder böswillige Website-Aktivitäten feststellen. Um diese Sichtbarkeit zu erreichen, müssen wir Datenströme analysieren - das hilft auch bei der Einhaltung von Compliance-Vorschriften und beim internen Auditing. Je besser wir erklären können, was wir tun und warum wir es tun, desto besser für alle.

Perimeterschutz ist Commodity

Welche Rolle spielt die klassische Perimetersicherheit noch?

Dave Martin: Auch wenn ich gerne antworten würde, dass es den Perimeter heute nicht mehr gibt und Anti-Virus-Software nicht mehr funktioniert - klassische Sicherheitswerkzeuge erfüllen nach wie vor ihre Aufgaben. Sie sind nur stärker zur Commodity geworden. Ich habe nicht vor, diese Tools aus meinem Budget zu streichen. Ich möchte aber weniger für ihre Wartung und Verwaltung ausgeben als früher, damit ich mehr Geld in neue Technologien investieren kann. Kurzum: Der Perimeterschutz ist nach wie vor präsent - seine Effizienz ist nur nicht mehr die gleiche wie früher.

Anstatt ein ganzes Gerät oder Serversystem zu schützen - mit beispielsweise Intrusion Prevention und Antivirus - möchte ich meinen Fokus zunehmend auf kleinere Einheiten, auf granulare Technologien legen und neue vertrauenswürdige Umgebungen schaffen, in denen ich Daten und Applikationen ablegen kann. Die Umstellung, die derzeit stattfindet, ist die, um die schützenswerten Systeme neue Arten von Grenzen, von Perimetern aufzubauen. Eine "Reparameterisierung" sozusagen. Mit dem Ziel, die Entwicklungen rund um Cloud Computing und Mobilität abbilden zu können.

Die 12 Typen des BYOD-Mitarbeiters
Viele Mitarbeiter nutzen BYOD schon. Dabei haben sich im Alltag einige Typen herauskristallisiert. Wer BYOD voran getrieben hat und wer BYOD ausnutzt, erfahren Sie hier.

1. Die Millennials
Die Generation Y ist schuld daran, dass BYOD überhaupt gestartet ist. Immer mehr Millennials kommen von der Uni in der Arbeitswelt an. Sie fordern von IT und Management, dass sie ihre eigenen Geräte im Beruf nutzen dürfen - und nicht etwa einen zwei Jahre alten Blackberry. Das wäre nicht mal retro. Die Millennials arbeiten lieber flexibel und zu ungewöhnlichen Zeiten, auch mal am Wochenende. Dafür dürfen sie dann auch während der Arbeitszeit privat surfen. Dass Privates und Berufliches immer mehr miteinander verschmelzen, ist ihnen egal und vielleicht sogar recht.

2. Die Techies
Techies sind begeistert von BYOD. Noch bevor es BYOD gab, hatten sie immer schon eigene Geräte im Unternehmen am Laufen - nur hatte sich niemand dafür interessiert. Der Techie hat, was BYOD angeht, klare Vorlieben: Android vor Apple. Die Marke mit dem Apfel, mitsamt den iPads und iPhones, ist ihnen zu simpel. Android dagegen bietet den Techies viel mehr Möglichkeiten und hat ein paar nette Apps, die Technikfans lieben, etwa Software, die eine Fernsteuerung ermöglichen und andere IT-Funktionen.

3. Die CEOs
Die CEOs sind auch in Sachen BYOD die Chefs. Sie wollen ein bestimmtes Gerät nutzen, das die Firmensoftware eigentlich nicht unterstützt? Da sollte sich die IT besser ranhalten. Der Entscheider bestimmt auch bei diesen Geräten, wo es langgeht. Der Geburtsort von BYOD ist obersten Stockwerk des Unternehmens anzusiedeln.

4. Die Generation X
Nicht jeder Mitarbeiter mag BYOD oder kommt damit zurecht. Trotzdem verdonnern einige Firmen ihre Mitarbeiter dazu. Eine Umfrage von Gartner unter CIOs hat ergeben, dass 2017 die Hälfte aller Arbeitgeber ihre Mitarbeiter dazu zwingen, ihre eigenen Geräte zu nutzen. Sie müssen das teure Smartphone und das kompatible Notebook selbst anschaffen. Wie gut die Generation X damit zurecht kommt, ist vielen Firmen egal.

5. Die Sales-Mitarbeiter
"Darf ich Ihnen die neue Präsentation auf dem neuen iPad mit Retina-Display zeigen?" Ein Satz, den man von Sales-Mitarbeitern garantiert häufiger hört. Zwar wurden in den Anfangsjahren des Tablet-Hypes die Geräte noch von den Firmen gestellt. Inzwischen erwarten die Unternehmen, dass die Mitarbeiter sich selbst um die Geräteanschaffung kümmern. Die tun das auch prompt. Die Präsentation ist einfach zu schön mit einem Tablet. Der Trend: Sales-Mitarbeiter und BYOD ist bald Selbstverständlichkeit.

6. Die Stundenarbeiter
In Deutschland das gängige Modell: Die 36-Stunden-Woche. Wer, anders als Führungskräfte, nicht nur nach Leistung, sondern auch auf Zeitbasis bezahlt wird, bekommt meistens kein Gerät von der Firma. Die Stundenarbeiter, die dem deutschen Durchschnittsarbeiter entsprechen, nutzen BYOD mit Begeisterung. Sie genießen damit deutlich mehr Freiheiten. Andererseits: So bekommen sie auf einmal E-Mails nach Feierabend, wenn sie sich schon längst ausgestempelt haben.

7. Die chronischen Nörgler
"Das ist doch alles Mist, so kann das nicht funktionieren, ich mache da nicht mit." Kennen Sie diesen Satz? Dauernörgler gibt es in jedem Unternehmen. Sie sind mit nichts zufrieden - vor allem nicht mit BYOD. Dabei waren sie eine der treibenden Kräfte hinter dem Ganzen. Unbedingt wollten sie ihre eigenen Geräte nutzen, weil sie nicht ständig zwei Smartphones herum schleppen wollten. Jetzt beschweren sie sich, dass sie Sicherheitsbestimmungen einhalten müssen und auf den Geräten nicht jede Anwendung laufen lassen dürfen, die sie wollen.

8. Die Sozialen Netzwerker
Wer ständig auf Facebook, Twitter und Co. unterwegs ist, liebt BYOD. Der Typus "Sozialer Netzwerker" ist für Firmen ein großes Problem: Sie fürchten, dass die Produktivität der Mitarbeiter sinkt. Einige Unternehmen verbieten daher die Facebook-App.

9. Die schwarzen Schafe
In den falschen Händen kann BYOD katastrophal sein. Eines ist sicher: In jeder Firma gibt es Angestellte, die gern woanders arbeiten möchten. Verlassen sie die Firma, nehmen sie gern vertrauliche Daten mit. BYOD erleichtert es ihnen, Informationen zu stehlen, schließlich verschwimmen persönliche und berufliche Informationen auf den Geräten und die Nachverfolgung wird schwieriger. Diese Gefahr war zwar früher nicht kleiner, heute fällt der Informationsklau im Unternehmen aber leichter.

10. Die Freelancer
Selten stellt den Freelancern die Firma ein Gerät zur Verfügung. Das war vielleicht mal - heute wird erwartet, dass der Freelancer schon alles hat. Die meisten arbeiten lieber mit ihren eigenen Geräten, als sich von anderen etwas aufdrücken zu lassen. Fremdbestimmt arbeiten mag der Freelancer überhaupt nicht.

11. Die Home Office Mitarbeiter
Wer zum Teil oder ganz von zuhause aus arbeitet, für den ist BYOD ohnehin schon Alltag. Anstatt sich vor das kleine Firmen-Laptop zu quetschen, arbeitet man lieber bequem vorm großen Bildschirm aus. Wenn das Firmentelefon immer auf das Smartphone umgeleitet ist, nimmt man doch lieber gleich das Privathandy.

12. Die CIOs
Er hat den Überblick über alle Geräte im Unternehmen: der CIO. Zumindest sollte er ihn haben, denn er ist dafür verantwortlich, dass BYOD funktioniert. Er muss sich zunächst um eine Policy kümmern, die eine Balance zwischen dem Sicherheitsbedürfnis der Firma und der Wahrung der Privatsphäre der Mitarbeiter darstellt. Zudem muss der CIO eine schöne neue Welt basteln aus mobiler Device-Management-Software, Sicherheits-Tools, Know-how unterschiedlichster Geräte, Enterprise-App-Stores und sozialen Support-Netzwerken statt der traditionellen Help Desks. Gleichzeitig muss er mit der Personal-, der Rechts- und der Finanzabteilung sowie den Fachbereichen zusammenarbeiten. Viel Glück!

Wie stark hat EMC seine eigenen Sicherheitslösungen bereits konsolidiert und neu ausgerichtet?

Dave Martin: Wir haben stark zentralisiert. Die Commodity-Sicherheit läuft mittlerweile komplett innerhalb der rein operativ arbeitenden IT-Abteilung, ohne dass wir uns als Security-Mannschaft da noch mit beschäftigen müssen. Wir können uns dadurch auf die Sicherheitsanalyse von beispielsweise Cloud-Anwendungen wie Salesforce.com konzentrieren. Dieses Monitoring geschieht aber nicht mehr im klassischen Sinne: Früher hätten wir mit einer Web Application Firewall gearbeitet und die verschiedenen Ebenen der Anwendungen manuell geprüft. Heute nutzen wir Logfeeds, die von Salesforce automatisiert erstellt werden, und spielen diese über offene Schnittstellen in eine Analyse-Plattform ein. Es ist ein anderer Ansatz, um das gleiche Ziel zu erreichen: zu verstehen, was die Nutzer treiben. Mittels Federated Identity Management lässt sich beispielsweise direkt nachvollziehen, wo Login-Vorgänge fehlgeschlagen sind - auf diese Weise können wir unsere Authentifizierungsplattformen gleich mit verwalten.

Wir befinden uns mitten im Prozess, für neue Typen von Technologie neue Benutzeroberflächen zu schaffen. Einige davon müssen wir sehr speziell auf unsere eigenen Bedürfnisse zuschneiden - der Vorteil von EMC ist, dass wir diese dann direkt an RSA weitergeben können, die sie wiederum in neue Features und Produkte überführen und auf den Markt bringen. Das ist der Vorteil daran, einen Unternehmensteil zu haben, der mit neuen Security-Produkten sein Geld verdient.

Mitarbeitern die Angst nehmen

Wie haben sich der Beruf des CSOs im Allgemeinen und Ihre eigene Tätigkeit im Speziellen in den vergangenen Jahren verändert?

Dave Martin: Die Themen Aufklärung und Ausbildung sind noch einmal wichtiger geworden. Durch die verstärkte Berichterstattung über Sicherheitsvorfälle, Angriffe oder staatliche Spionage-Aktionen erfahren die Menschen viel mehr über den Bereich IT-Sicherheit als früher und haben natürlich auch entsprechend mehr Fragen. Meine Aufgabe ist es, diese Berichte zu "übersetzen" und zu erklären, was sie für uns und sie selbst bedeuten. Es geht dabei stark um Themen wie Kontrolle und Überwachung. Da gibt es noch sehr viele Ängste, weil wir oft noch nicht die richtige Technologie haben, um Security wirklich transparent und verständlich genug zu machen. Dann gilt es auch, Aufgaben zu verteilen, sie aber gut zu erklären und deutlich zu machen, dass diese Intransparenz in sechs bis zwölf Monaten vorbei sein wird.

Als CSO sprechen Sie viel mit Produktmanagern und anderen Sales-Vertretern, denen Sie erklären müssen, was eine bestimmte Software-Lösung oder Web-Service wie Dropbox für Sicherheitsimplikationen mitbringt. Oder auch mit Entwicklern, die Ihnen immer ganz stolz ihre Arbeit der letzten sechs Monate präsentieren. Ab und zu müssen Sie denen und den Käufern der entsprechenden Software dann aber erklären, was es bedeutet, dass ihr Code öffentlich geleakt wurde. Es geht beim Beruf des CSOs darum, auf einer sehr persönlichen Ebene mit den Menschen zu kommunizieren. Nur so können sie erfahren, was das Thema IT-Security mit jedem von ihnen selbst zu tun hat.

Sichere Dropbox-Alternative im Test
Novell Filr dient dazu, den Benutzern eine einheitliche Sicht auf ihre Dateien zu bieten, unabhängig davon, auf welchen Servern oder Storage-Systemen sie gespeichert sind. Es unterstützt dabei den Zugriff durch verschiedene Clients, auch von mobilen Geräten außerhalb der Firewall.

Das Abonnieren von Dateien ...
... und Ordnern sorgt für eine Benachrichtigung, sobald es etwaige Änderungen gibt.

Aus den Benutzereigenschaften ...
... der Verwaltungskonsole sind auch die jeweiligen Benutzerprofile erreichbar.

Der Filr-Admin kann jedem Benutzer ...
... individuelle Freigaberechte einräumen, die ggf. gesetzte globale Freigaberechte überschreiben.

Hinsichtlich des Zugriffs externer Benutzer ...
... unterstützt Filr eine Gastzugriffoder den Zugriff via OpenD.

Im Web-Client lassen sich ...
... Dateien online und offline bearbeiten direkt aus dem integrierten Viewer.

Das Hochladen von Dateien ...
... ist auch via Drag&Drop möglich.

Eine Versionierungverwaltung gibt es nicht.
Die entspricht nicht der Philosophie von Filr als auf DateisystemEbene arbeitende File-Sharing-Lösung.

Filr lässt sich in einem schmalen Setup ...
... mit einer VA oder getrennten VA für Filr, Lucene und Datenbank betreiben.

Das Vergeben ...
... von Freigaben auf Objekt-Ebene.

Der Filr-Admin kann sämtliche ...
... eingerichteten Freigaben zentral verwalten.

Ein mobiler Zugriff ...
... muss vom Filr-Admin explizit erlaubt werden.

Den Standard-Editor ...
... kann jeder Benutzer individuell festlegen.

Die Konfiguration der Appliance ...
... an sich ist ebenfalls über ein Web-Interface möglich.

Filr bietet neben Web- und Mobil-Client ...
... auch eine native Software für Windows und Mac.

Der native Client schließt ...
... unter anderem Zugang zur Filr-Konsole.

Der native Client synchronisiert ...
... nach Benutzereingriff, nach Zeitplan oder automatisch beim Login.

Selbstverständlich arbeitet auch der ...
... native Client durchgängig SSL-verschlüsselt.

Der Mobil-Client ...
... unterstützt derzeit das Löschen und Freigeben von Dateien und Ordnern noch nicht.

Ist es leichter geworden, Ihre Mitarbeiter für das Thema Security und seine Wichtigkeit zu sensibilisieren?

Dave Martin: Die Mitarbeiter sind auf jeden Fall häufiger bereit, sich mit dem Thema Sicherheit auseinander zu setzen und dazuzulernen. Die Schwierigkeit ist der Weg dorthin. Viele möchten das Thema IT-Security in kurzer Zeit "erlernen". Effektiv sind Dinge wie Online-Trainingsvideos oder jährliche Auffrischungen im Rahmen irgendwelcher "Security Days" aber nicht. Bei EMC sind wir dazu übergegangen, mehr persönliche Briefings abzuhalten oder kurze Telefonate mit Einzelnen zu führen, wenn es aktuelle Sicherheitsvorfälle wie Malware-Infektionen gegeben hat. Das ist dann auch immer eine Art von Training, wenn wir uns während des Reinigungsvorgangs oder einer Neuinstallation darüber unterhalten, wie es soweit kommen konnte. Der große Vorteil an heutigen Datenanalyse-Werkzeugen ist, dass wir weltweit genau sehen, wo es welche Sicherheitsprobleme innerhalb der Belegschaft gibt und wem wir vielleicht ein persönliches Security-Training zukommen lassen müssen.

Es bringt auch schon etwas, sich als Security-Team im Intranet oder anderen intern genutzten Web-Diensten zu präsentieren und über aktuelle Entwicklungen zu informieren. Sowohl über aktuelle Sicherheitsrisiken und neue Applikationen und Technologien, aber auch über Neuigkeiten aus der Abteilung selbst. Es geht darum, neue Wege zu finden, die Mitarbeiter zu erreichen - so, dass sie sich für das Thema begeistern lassen.

Sie waren vor Ihrer aktuellen Tätigkeit als CSO für den EMC-Gesamtkonzern ausschließlich für RSA tätig und hatten dort fast nur mit Security-Experten zu tun. Inwiefern ist Ihre Arbeit heute anders als früher?

Dave Martin: Es gibt keinen großen Unterschied zwischen meiner Tätigkeit für RSA und dem, was ich heute für den EMC-Gesamtkonzern tue. Die Gespräche mit den Nicht-RSA-Kollegen sind fast die gleichen wie die mit den RSA-Kollegen. Natürlich räumen beispielsweise nicht alle EMC-Entwickler allein schon vom Kopf her dem Thema Security die oberste Priorität ein - wie es die RSA-Entwickler tun würden. Oder wenn es darum geht, Daten via Salesforce zu den Kunden zu bringen - Nicht-RSA-Mitarbeiter würden meist den schnellsten und effizientesten Weg dafür wählen, ohne sich Gedanken darüber zu machen, ob es auch der sicherste ist.

Wenn ich hingegen meine Aufgaben bei EMC mit denen zu meiner Zeit als Sicherheitsberater vor 2004 vergleiche, gibt es große Unterschiede. Damals war ich viel in regulierten vertikalen Märkten wie dem Finanzwesen oder der Gesundheitsbranche unterwegs - dort ist die Security-Awareness doch um ein Vielfaches höher als in der IT-Branche, das wirkt sich natürlich stark auf die tägliche Arbeit aus.

Nur kleinere Nachwuchssorgen

Wie finden Sie Ihren Security-Nachwuchs?

Dave Martin: Wir suchen sowohl IT-Experten als auch Ingenieure - Voraussetzung ist, dass sie zu uns passen, so denken wie wir. Wir suchen aber auch diejenigen, die nicht so denken wie wir, um einen anderen Blickwinkel auf bestimmte Dinge zu erhalten. Für unser CERT und die dortigen Analytics-Jobs sind wir auf der Suche nach Bewerbern, die noch ganz am Anfang ihrer Karriere stehen. Solchen, denen die Analyse von Daten Spaß macht und die auch ein wenig vom Business verstehen - bei uns werden sie dann sehr erfolgreich betreut und ausgebildet.

Darüber hinaus arbeiten wir mit Universitäten zusammen, was ebenfalls gut klappt. Hier geht es in erster Linie um den Bereich Risiko-Management, der bestimmte Fähigkeiten voraussetzt. Ein weiterer Weg ist die Kooperation mit RSA Professional Services, über die wir Mitarbeiter in unser Team hereinholen und wieder hinausrotieren. Wenn es beispielsweise jemanden gibt, der nicht so viel reisen möchte, hat der die Möglichkeit, bei uns eine Zeit lang ausschließlich inhouse tätig zu sein. Auch dort kann er sich aktiv in Kundenprojekte einbringen und neue Tools kennen lernen.

Was die allgemeine Nachwuchssituation angeht, ist es immer noch recht leicht, traditionelle Security Engineers zu bekommen. Richtig schwierig wird es im Bereich Risiko-Management, dort, wo es ins "harte" Business geht. Mitarbeiter zu finden, die sich Anzug und Krawatte anziehen und mit Unternehmensvorständen über Sicherheitsthemen diskutieren können, dabei aber auch um die technischen Hintergründe und Herausforderungen wissen.

Welche Fähigkeiten brauchen Analytics-Experten heute?

Dave Martin: Sie müssen die Risikokomponente verstehen, Analysefähigkeiten besitzen und sehr frei über den Umgang mit Daten nachdenken. Es geht um Fragen wie: Welche Art von Angreifern könnten das Unternehmen bedrohen? Auf welche Weise könnten sie angreifen? Das Wissen um die technische Architektur der eigenen Systeme und ihre Schwachstellen ist genauso wichtig wie das um mögliche Abwehrtechniken. Es kann sein, dass zwar die richtige Technologie zum Einsatz kommt, aber an der falschen Stelle. Es braucht sowohl Verständnis für das IT-Ökosystem als Ganzes als auch für die ihm zugrunde liegende System- und Daten-Infrastruktur. Noch ist es schwierig, beide Eigenschaften zu vereinen. Wir beschäftigen daher häufig Security-Experten, die wenig von Analytics verstehen und Analytics-Experten, die wenig von Security verstehen. Das wird sich aber annähern, je besser die Tools werden.