Das veränderte Bewusstsein

Von: Thomas Heinen, Fotos: Claus Uhlendorf

Interview mit Axel Diekmann, Geschäftsführer der Kaspersky Labs GmbH, über Anforderungen an die Sicherheitstechnik und das richtige Bewusstsein.

Axel Diekmann, Geschäftsführer
der Kaspersky Labs GmbH

Der russische Anbieter von Sicherheitslösungen zum Schutz vor Viren, Hackern und Spam mit Hauptsitz in Moskau existiert seit 1993 und beschäftigt weltweit rund 1.700 Mitarbeiter. Über 140 von ihnen sind in der 2004 gegründeten deutschen Kaspersky Labs GmbH am Standort Ingolstadt tätig. Seit 2008 unterstehen sie Axel Diekmann, der die Geschäfte des Unternehmens in Central Europe, unter anderem in Deutschland, Österreich und der Schweiz, leitet.

Bei dem Geschäft des Sicherheitsspezialisten, das sich in die Bereiche Consumer und Corporate Business unterteilt, setzt Kaspersky Lab auf ein zweistufiges Modell, bei dem Partner und Distributoren die Produkte an den Endkunden vertreiben. Nach Ansicht von Axel Diekmann verdankt sich der Erfolg Kasperskys einerseits seinen Partnern und gründet sich andererseits auf die Strategie, nichts zu verkaufen, von dem die Mitarbeiter nicht selbst überzeugt sind. „Unser Vorteil ist, dass wir nicht börsennotiert sind“, so der in Dortmund geborene Geschäftsführer. „Das gibt uns einen gewissen Freiraum und ist auch gerade der Charme eines russischen Unternehmens, denn wir können auf sehr kurzen Wegen miteinander sprechen.“

Im Gespräch mit IT-DIRECTOR erklärt Axel Diekmann wie es um die Sicherheit in deutschen Unternehmen bestellt  ist, welche Anforderungen die Zukunft bringt und warum die Datenschutznovelle zu begrüßen ist.

IT-Director: Herr Diekmann, im Januar 2008 haben Sie das Ziel formuliert, im B2B-Bereich einer der Top-3-Sicherheitsanbieter für Malware-Schutz zu werden. Wie nahe sind Sie diesem Ziel gekommen?
A. Diekmann: Was den reinen Malware- oder Antivirenbereich anbelangt, sind wir heute mit Sicherheit auf Platz Nummer vier. Für Rang drei benötigen wir noch ein bis zwei Jahre, und das ist auch ganz klar der Plan für diesen Zeitraum.

ITD: Welche Anbieter sehen Sie unter den ersten dreien?
A. Diekmann: Von der Gesamtverbreitung im hiesigen Markt sehen wir Symantec vor McAfee vor Trend Micro. Das bemessen wir an Berichten von IDC und Gartner, die sich allerdings nur schwer auf den deutschsprachigen Markt herunterbrechen lassen.

ITD: Welche Lösungen bieten Sie im Unternehmensbereich an?
A. Diekmann: Wir bieten eine Absicherung für die komplette Unternehmensinfrastruktur mit dem Schutz von Workstations über File- und Mailserver bis hin zum Schutz von Gateways. Zudem haben wir schon früh begonnen, Bedrohungen für Mobiltelefone aufzuspüren und eine entsprechende Lösung auf den Markt gebracht. Gerade in diesem Bereich entsteht ein unvermeidlicher Trend, der den Sicherheitsverantwortlichen in den Unternehmen bereits Bauchschmerzen verursacht. Ergänzt wird unser Portfolio natürlich durch eine entsprechende Administrationskonsole, die es Unternehmen ermöglicht, unsere Lösungen über verschiedene Standorte von einer Stelle aus zentralisiert zu verwalten.
    
ITD: Die technologische Kompetenz Ihres Unternehmens liegt in Moskau. Wie stimmen Sie sich ab, wenn es um die Entwicklung Ihrer Produkte geht?
A. Diekmann: Unser technischer Support und unser Consultingteam in Ingolstadt bilden den Second-Level-Support in Deutschland komplett ab. Alle Probleme, die hier nicht gelöst werden können, behandelt der Third-Level-Support in Moskau, der auch für die Entwicklung zuständig ist.

Die Kundenanforderungen, die wir in der DACH-Region beobachten, geben wir an die russische Entwicklungsmannschaft weiter. Außerdem laden wir die Produktmanager aus Moskau mindestens einmal pro Jahr nach Deutschland ein, um sie mit den technisch Verantwortlichen wichtiger Partner und Kunden zusammenzubringen. Während des dabei entstehenden Austausches erklären die IT-Verantwortlichen, wie ihre Netzwerke aufgebaut sind. So erfahren unsere russischen Kollegen im Detail, wo deren Anforderungen liegen. Statt eines Stille-Post-Spiels, bei dem wir etwas aufnehmen und dann nach Moskau transferieren, nehmen die Entwickler wichtige Informationen direkt auf und lassen sie in die Entwicklung einfließen.

ITD: Wie steht es um das Sicherheitsbewusstsein in den Unternehmen?
A. Diekmann: Natürlich ist den IT-Verantwortlichen in den Unternehmen heute praktisch überall klar, dass Sicherheit ein enorm wichtiges Thema ist. Wenn wir über das Bewusstsein für Sicherheit auf Anwenderseite reden, sieht die Welt jedoch ganz anders aus. Es ist erschreckend, wie viele Informationen Menschen freiwillig ins Netz stellen. Dadurch wird deutlich sichtbar, dass wir bei weitem noch kein angemessenes Sicherheitsbewusstsein erreicht haben.

Denken Sie auch an die Vielzahl von Phishing-Attacken, die immer noch durchgeführt werden. Ohne immer noch hohe Resonanzraten würde sich niemand mehr die Mühe machen, solche durchzuführen. Oder stellen Sie sich vor, durch wie viele Betriebe Sie gehen können, in denen Mitarbeiter ihren Arbeitsplatz verlassen, ohne den Computer zu sperren.

ITD: Woran liegt das?
A. Diekmann: Zum einen leben wir im Vergleich mit anderen Ländern in einer sehr sicheren Welt. Sie sehen beispielsweise kaum jemanden, der eine Lenkradsperre einsetzt, wenn er sein Auto parkt. Je nachdem wo Sie sich befinden, würde niemand auf die Idee kommen, seinen Wagen so abzustellen, wie wir das hier machen. Wir wiegen uns also in einer falschen Sicherheit und dieses Gefühl setzt sich auch am Arbeitsplatz fort. Viele Mitarbeiter können sich gar nicht vorstellen, was passieren kann, wenn sie ihren Computer nicht sperren, sobald Sie ihn verlassen. Schließlich sind sie von Kollegen umgeben, mit denen sie die ganze Woche über zusammensitzen.

In Organisationen jedweder Art kommt teilweise noch die fehlende Erziehung der Mitarbeiter hinzu, weil sich niemand die Zeit dafür nimmt, Sicherheitsbelehrungen durchzuführen und darauf hinzuweisen, dass Passwörter gewechselt werden müssen oder eine bestimmte Form aufweisen sollten. Dabei geht es nicht nur um das Thema Virenschutz, Phishing oder dergleichen, sondern darum, das richtige Verständnis innerhalb einer Organisation zu schaffen. Die interne IT ist damit überfordert. Ein großes Problem ist sicherlich, dass heute bei den Anwendern nur noch sehr wenig Wissen über Computer vorhanden ist.

ITD: Fehlt es deutschen Anwendern also an grundsätzlicher IT-Kompetenz?
A. Diekmann: Viele Menschen sind in geradezu fahrlässiger Weise dazu in der Lage, einen Computer hochzufahren. Zwar gibt es mittlerweile Computerführerscheine, die gar nicht mal schlecht sind, aber im Gegensatz zum Führerschein für das Auto sind diese ja leider nicht Pflicht.

ITD: Wer muss dem Anwender vermitteln, wie er angemessen mit seinen Daten umgehen kann?
A. Diekmann: Letztlich sollte das bereits in den Schulen stattfinden. Im Unternehmen ist es jedoch ein Thema des Managements, das sich darüber klar sein sollte, was die Mitarbeiter wissen. Schließlich gibt es eine Reihe guter Sicherheitslösungen, aber solange der Anwender ihren Sinn nicht versteht, wird er einen Weg finden, sie so weit wie möglich zu umgehen.

Für meinen Geschmack gibt es nur wenige durchgängige und gleichzeitig teure Lösungen, die den Anwender dazu zwingen, sich wie gewünscht zu verhalten. Ein schönes Beispiel für eine durchgängige Lösung basiert auf Smartcards. Im Idealfall befinden sich auf einer Mitarbeiterkarte Daten für die Gebäudezugangskontrolle sowie die Credentials (Berechtigungsnachweise), um sich am PC einzuloggen. Verlässt der Mitarbeiter seinen Arbeitsplatz und passiert eine Sicherheitstür, muss er seine Karte aus dem PC ziehen, der ab diesem Moment gesperrt ist. Ein gewöhnliches eToken hat zwar die gleiche Funktionalität, aber es stört nicht dabei, das Gebäude zu verlassen oder zu betreten. Schlimmstenfalls lässt ein Mitarbeiter das Token also einfach im Rechner stecken, weil er am Folgetag oder nach der Mittagspause weiterarbeiten muss und sich Mühen ersparen will.

Das ist die Crux an der Geschichte. Wenn sich das Bewusstsein der Menschen ändert, kann sich auch ihr Verhalten ändern. Das bewirkt allerdings keine IT-Abteilung der Welt. Vielmehr müsste sich die Personalabteilung mit einer solchen Organisationsfrage beschäftigen. Bei uns ist es im Übrigen so, dass jeder neue Mitarbeiter eine Sicherheitsschulung absolvieren muss, wenn er eingestellt wird.

ITD: Welche Änderungen der IT-Infrastruktur erwarten Unternehmen und ihre Mitarbeiter in der Zukunft?
A. Diekmann: Die Welt wird zunehmend mobiler, die Kommunikation nimmt zu und die Datenflüsse werden immer verteilter. Dabei werden mobile Geräte in allen Arbeitsbereichen wichtiger, wie sich bereits heute zeigt. Fährt heute beispielsweise ein Landmaschinentechniker auf einen Bauernhof oder einen Acker, weil ein Trecker liegengeblieben ist, dann hat er ein Notebook mit einer vollen Systemanalyse dabei. Im Einzelhandel haben Geräte zur mobilen Datenerfassung das Arbeiten mit Klemmbrett und Bleistift abgelöst und der Kundendienst ist heutzutage mit Notebook und CRM-Tool ausgestattet. In fünf Jahren hat sicherlich auch der Heizungsmonteur ein entsprechendes Gerät zur Datenerfassung in Echtzeit dabei.

ITD: Welche Anforderungen stellt das an die Sicherheitstechnik?
A. Diekmann: Ähnlich wie bei aktuellen Smartphones besteht die Anforderung zunächst darin, die auf dem Gerät vorhandenen Daten vor Missbrauch zu schützen, falls es abhanden kommt. Dafür eignen sich Verschlüsselungslösungen oder auch die Möglichkeit, Daten ferngesteuert löschen zu können. Eine entsprechende Lösung bieten wir beispielsweise auch an. Geht ein Gerät verloren, senden Sie einfach einen Befehl „Clear All“, und die sensiblen Daten geraten schon einmal nicht mehr in falsche Hände. Je mehr diese Geräte mit dem Firmennetzwerk verbunden werden, desto wichtiger wird auch das Thema Authentifizierung.

ITD: Welche Rolle spielen Managed Services für die Unternehmensinfrastruktur der Zukunft?
A. Diekmann: In unserem Portfolio stehen Managed Services noch am Anfang. Im Augenblick sind es erst die Early Adopters, die solche Lösungen einsetzen. Allerdings sind Managed Services gerade im Bereich der Sicherheit für mich die logische Konsequenz der bisherigen Entwicklung. Früher haben Administratoren sich ihre Sicherheitslösungen selbst zusammengebaut. Die permanente Entwicklung in der Sicherheitstechnik überstieg allerdings rasch das Wissen und die Fähigkeiten der IT-Verantwortlichen. Entsprechend verlangte der Markt nach komplett vorkonfigurierten Lösungen, die bestenfalls in Form von Appliances nur noch in ein Rack geschoben und verkabelt werden mussten.

Heute stoßen auch Appliances an ihre Grenzen und müssen permanent nachgekauft werden. Je größer Unternehmen werden, desto höher steigt der Netzwerkverkehr und desto mehr Datenströme werden erzeugt. Alleine wegen des zunehmenden Spams steigt das zu bewältigende Datenvolumen und ein Administrator muss im Halbjahresrhythmus neue Festplatten kaufen, weil die alten ständig ausgereizt werden. Schließlich müssen die eingehenden Daten alle erst einmal gelesen und wieder gelöscht werden.

ITD: Und Managed Services lösen das Problem?
A. Diekmann: Die kommen ganz klar zum Zug. Erreichen nur die benötigten und erwünschten Daten ein Unternehmensnetzwerk, muss sich die IT-Abteilung keine Gedanken mehr um die Infrastruktur machen. Das Problem der rechtzeitigen Skalierung, die Konfiguration eines Clusters in benötigter Größe und auch die Absicherung gehören dann zu den Verantwortlichkeiten des externen Anbieters. Das entlastet die interne IT, die ohnehin mit permanent ansteigenden Anforderungen konfrontiert wird. Unternehmen sollten sich die Frage stellen, um welche Belange sich die IT in erster Linie kümmern sollte. Zunächst ist es deren Aufgabe, die Infrastruktur in Betrieb zu halten und Support für die vielleicht nicht immer perfekt ausgebildeten Mitarbeiter zu leisten. Da kein Unternehmen daran interessiert ist, seine interne IT permanent zu vergrößern, stellt sich die Frage, welche Probleme sich auslagern lassen. Und da bieten sich die Themenbereiche Speicher und Sicherheit als erstes an.

ITD: Wie stehen Sie zur kürzlich in Kraft getretenen Datenschutznovelle, die eine Anzeigepflicht bei Datenverlust vorsieht?
A. Diekmann: Es kommt doch ständig zu Vorfällen, bei denen Daten in größerem Stil abhanden kommen. Die letzte Datenschutznovelle wird mit Sicherheit eine neue Sensibilität für dieses Thema schaffen. Auf dem englischen Markt wurde ein ähnliches Gesetz bereits vor einigen Jahren erlassen. Als es wirksam wurde, änderte sich zunächst nichts. Dann aber tauchten die ersten großflächigen Anzeigen in den Zeitungen auf. Das sorgte für eine extreme Änderung des Sicherheitsbewusstseins. Die Verantwortlichen in den Unternehmen wollten schließlich vermeiden, dass auch ihr Name unter so einer Anzeige stehen würde.

Veränderungen in einer Gesellschaft sind tatsächlich nur mit solchen Brachialmethoden möglich. Unter Garantie kann dieses Thema auch unter dem Aspekt des mittelalterlichen An-den-Pranger-Stellens betrachtet werden. Für mich steht jedoch im Vordergrund, etwas bewegen zu wollen und zu überlegen, wie das zu bewerkstelligen ist. Würden wir mit den Schülern anfangen, wären wir eine ganze Generation weiter, bis die Bevölkerung durchgängig wenigstens halbwegs sensibilisiert wäre.

ITD: Ist die Novelle in irgendeiner Hinsicht auch negativ zu bewerten?
A. Diekmann: Was heißt negativ? Natürlich entsteht ein Imageschaden, wenn die Anzeigepflicht in Kraft tritt. Schlimmstenfalls stürzt ein Unternehmen darüber und dann stellt sich die Frage, ob der Schaden in Relation zu dem jeweiligen Sicherheitsvorfall steht. Ob künftig vielleicht mit Kanonen auf Spatzen geschossen wird, hängt am Ende stark davon ab, wie das Gesetz in der Praxis gelebt wird. Damit steht die Frage im Raum, wie straff wir unsere Gesetze anwenden und in welcher Situation ein Unternehmen zur Anzeigepflicht gezwungen wird und wann es mit einem blauen Auge daran vorbei kommt.

Wenn eine großformatige Anzeige in einer Tageszeitung geschaltet werden muss, die leicht einen fünfstelligen Betrag kosten kann, wird es kleinere Firmen zunächst härter treffen als ein DAX-Unternehmen. Unter Berücksichtigung der Aufmerksamkeit, die das unter den Verantwortlichen erregen wird, ist es jedoch mit Sicherheit der richtige Schritt. Es geht dabei um die Sensibilisierung der Gesellschaft und mag ziemlich drastisch sein, wird seine Wirkung aber gewiss nicht verfehlen.

ITD: Fördert die neue Gesetzeslage nicht ein Geschäft mit der Angst?
A. Diekmann: Unsere Branche sieht sich dem ständigen Vorwurf ausgesetzt, mit Angstmacherei Geld verdienen zu wollen. Allerdings kann man das „Geschäft mit der Angst“ auch jeder Versicherung unterstellen. Warum schließen Menschen wohl Versicherungen ab, wenn nicht aus Angst vor einem Schaden, der eintreten kann? Im Sicherheitsbereich lässt sich ähnlich argumentieren. Wer sich ein Schloss kauft, um seine Haustüre abzuschließen, der entscheidet sich auch für eine physikalische Sicherheitslösung, die verhindern soll, dass jemand unbefugt seine Wohnung betritt. Wo das Geschäft mit der Angst beginnt, bleibt also letztlich eine philosophische Frage.

ITD: Werden sich Data-Loss-Prevention-(DLP-)Lösungen zum Schutz vor Datenverlust langfristig etablieren?
A. Diekmann: Beim Thema DLP sehe ich im Markt eine klare Tendenz, die sich in zwei Richtungen erstreckt. Sollte der Markt fordern, dass DLP in einer Antivirenlösung enthalten ist, dann wird eine Out-of-the-box-Lösung erwartet, die einfach zu verteilen ist und quasi selbsterklärend funktioniert. Reduziert reden wir dann über nicht viel mehr als eine Device Control, die als Grundschutz von einem IT-Verantwortlichen verteilt werden kann.

In der anderen Richtung, in der auch unsere Tochterfirma Infowatch arbeitet, wird sich DLP nur dann umsetzen lassen, wenn sich ein Unternehmen für eine durchgängige Security Policy entscheidet und sie mit hohem Aufwand umsetzt. Dafür ist ein Consulting-Apparat erforderlich, der die gesamte Organisation durchleuchtet, denn es muss definiert werden, welche Daten überhaupt vertraulicher Natur sind. Dann muss festgelegt werden, wer dazu Zugang haben und wer lesen oder schreiben darf. Anschließend muss eine Lösung gesucht werden, die genau das abbilden kann. Dafür ist eine beachtliche Menge an Intelligenz erforderlich und die Lösung muss zunächst gefüttert und trainiert werden, bevor sie sich im Netzwerk implementieren lässt und sicherstellt, dass nichts mehr verloren geht.

ITD: Ist eine integrierte Lösung, die gegen alle Angriffe von außen und gegen Datenverlust von innen schützt, überhaupt zu realisieren?
A. Diekmann: Es gibt nichts, was es nicht gibt. Der Aufwand wäre allerdings sehr hoch. Das Problem einer solchen Lösung beginnt bei der mobiler werdenden Welt. Ein „innen“ gibt es schon gar nicht mehr. Sobald ein Mitarbeiter mit einem mobilen System unterwegs ist, befindet er sich nicht mehr im Unternehmensnetzwerk und das System ist auf sich gestellt. Entscheidet eine DLP-Lösung auf seinem Gerät nun, dass er beispielsweise einen Druckauftrag nicht ausführen darf, weil es sich um einen Sicherheitsvorfall handelt, hat er ein Problem. Bei host- oder serverbasierten Systemen hätte er das Problem nicht. Die Anforderungen an die mobile Welt verlangen also, dass ein mobiles System selbst entscheiden kann, was ein Anwender darf und was nicht. Heute können Sie das in einem System singulär aber noch nicht abbilden.

ITD: Was plant Kaspersky Lab für die nächste Zukunft?
A. Diekmann: Wir sehen uns sehr genau an, was der Markt als nächstes verlangt. Im Augenblick gibt es eine Reihe an Anforderungen, die der Markt jedoch noch nicht hundertprozentig verifiziert hat. Bei DLP zeichnet sich die Entwicklung allerdings klar ab. Wenigstens die leichtere Variante in Form eines Device Locks stellt eine ganz klare Anforderung für uns dar und wird zukünftig einfach von einer Sicherheitslösung erwartet.

Verschlüsselungslösungen sind ebenfalls ein Thema, das wir genau beobachten. Bei den meisten Firmenkunden steht es allerdings noch nicht wirklich auf der Agenda. Zudem gibt es bei dem Thema noch eine Menge nicht trivialer Problemfragen, die es zu beantworten gilt. Wie etwa soll eine DLP-Lösung verschlüsselte Daten prüfen, die Mitarbeiter per E-Mail versenden? Was geschieht, wenn ein Mitarbeiter mit verschlüsselten Daten arbeitet und das Unternehmen Hals über Kopf verlässt? Wie werden verschlüsselte Daten der Steuer oder der Staatsanwaltschaft zugänglich gemacht, wenn sofortige Einsichtnahme gefordert wird?

ITD: Wie sieht Ihre persönliche Zukunft aus?
A. Diekmann: Ich bin absolut zufrieden in meiner jetzigen Position. Es ist eine spannende Zeit, denn unser Unternehmen hat jetzt eine kritische Größe erreicht mit der die klassische Startup-Zeit vorbei ist. Organisatorisch ist vieles zu tun, was mich derzeitig umtreibt. Gleichzeitig treiben wir das Geschäft voran. So ist etwa in Osteuropa noch eine Menge aufzubauen und im Unternehmensbereich steckt auch noch viel Musik. Es wird also nicht langweilig.


Axel Diekmann

Alter: 46
Werdegang: Diekmann begann seine Laufbahn als Bundeswehroffizier und studierte Wirtschafts- und Organisationswissenschaften. Über Xerox und Network Associates führte sein Weg anschließend als Produktmanager zu Integralis. 2004 wechselte er zu Kaspersky Lab, um als Channel Sales Manager die Vertriebslandschaft auszubauen. Seit Januar 2008 leitet er die Kaspersky Labs GmbH als Geschäftsführer und ist als Managing Director Central Europe für das Europageschäft zuständig.
Derzeitige Position: Geschäftsführer der Kaspersky Labs GmbH
Hobbys: Familie und Freunde, gutes Essen und Wein, Reisen

Die Bilder entstanden im Kult Hotel Ingolstadt. (www.kult-hotel.de) Wir danken für die freundliche Genehmigung.