“Nicht integrierte Einzellösungen erhöhen das Security-Risiko”

Herr Bürg, Sie haben heute hier auf der “Ignite on Tour” im Berliner Gasometer gesagt, Cybersicherheit sei lösbar. Das ist eine gewagte Aussage. Wer sich die Liste erfolgreicher Cyberattacken anschaut, könnte an dieser Aussage zweifeln. Was macht Sie so sicher?

Also meine Aussage basiert auf der Notwendigkeit, dass man Transparenz über alle potenziellen Einfallstore hat. Also Netzwerk, Cloud, Endpunkte. Wir müssen weg davon, dass wir viele Einzellösungen betreiben, die für sich in ihren Einzelfunktionen durchaus ihre Daseinsberechtigung haben. Warum? Sie haben den großen Nachteil, dass sie typischerweise nicht integriert sind. Und das nutzen potenzielle Angreifer aus. Mit einer integrierten Lösung hat man Zugriff auf eine gesunde Datenbasis, wir sagen Telemetrie der Systeme dazu, die man nutzen kann, um mit Machine Learning und künstlicher Intelligenz Aussagen zu treffen.

Warum glauben Sie, können sich Unternehmen schützen, trotz der zunehmenden Risiken durch den Einsatz von KI der Hacker?

Bei Palo Alto Networks nutzen wir Machine Learning schon mehr als 10 Jahre. Das heißt, KI ist über die Jahre natürlich gewachsen und für spezielle Anwendungsfälle optimiert worden. Über die Telemetrie-Daten, deren Qualität immer besser wird, sind wir in der Lage, nicht nur bekannte Muster zu erkennen, sondern auch Muster, die nichts mit dem ursprünglichen Angriff zu tun haben.

Und das ist ein ganz wichtiger Aspekt, denn mit dem Einsatz von KI kann man nicht bekannte Angriffe aufgrund der Nuancen und Vergleichbarkeit trotzdem zuordnen und damit agieren. Wir sehen jeden Tag 2,3 Millionen neue Angriffe, die es vorher noch nicht gab, und trotzdem sind wir in der Lage, sie zu erkennen und zu blockieren. Das schließt nicht aus, dass einer dabei ist, den wir nicht erkennen. Dann kommt es darauf an, wie gut die weiteren Maßnahmen in den Unternehmen sind, um weiteren Schaden zu vermeiden. Ein Angreifer muss nur einmal richtig liegen, während wir mit unserer Erkennung den Anspruch haben, zu 100 Prozent richtig zu liegen.

Im Schnitt haben Unternehmen 20 bis 30 verschiedene Security-Lösungen schon im Einsatz. So wie ich Sie verstehe, wäre es doch am besten, sich von diesen Einzellösungen zu verabschieden und die Security neu aufzusetzen.

Wenn Sie 20, 30, 40 Lösungen zu managen haben, dann ist das kompliziert. Sich von den ganzen Einzellösungen zu verabschieden, vereinfacht das Management deutlich und reduziert Komplexität. Im Idealzustand, weißes Blatt Papier, grüne Wiese, wäre das jedenfalls der richtige Weg. Warum ist das so entscheidend? Integrierte Systeme aus einem Haus produzieren Daten mit deutlich höherer Qualität, mit denen man entscheidend bessere Security-Outcomes erzeugen kann. Und das ist das, was jedes Unternehmen im Sinne der Resilienz und der Business-Kontinuität möchte. Heißt: Mit einem integrierten, konsolidierten Ansatz hat man die Datenbasis, um mehr Erkenntnisse aus den Daten ableiten zu können. Und was ganz entscheidend ist: auch eine höhere Effizienz in der Verwaltung dieser Systeme und damit der Datenbasis.

Auf ihrer Plattformlösung haben sie aber trotzdem Einzelanbieter, die sie integriert haben. Oder kommt alles aus ihrem Haus?

Es gibt viele Unternehmen, die Lösungen im Einsatz haben, die nicht falsch sein müssen. Wir integrieren diese Produkte. Nur wie es auch in anderen technologischen Bereichen der Fall ist, ist nichts standardisiert. Das heißt, es sind immer proprietäre Integrationen, die nicht die Tiefe und Qualität haben, wie es bei nativen Lösungen aus einem Haus möglich ist. Und dies bedingt immer Lücken. Und diese Lücken, die spürt man dann im Hinblick auf die Sicherheitsergebnisse. Das muss jedes Unternehmen aber für sich selbst bewerten, welches Risiko dadurch entstehen kann.

Nehme ich also ein gewisses Restrisiko in Kauf, mit der Notwendigkeit im Falle der Fälle auch viel Geld in die Hand nehmen zu müssen? Oder gehe ich jetzt den Weg in eine integrierte Welt. Das muss man nicht über Nacht machen, sprich mit einem Big Bang, sondern – und das ist auch unsere Philosophie – mit einem modularen System in einem Bereich anfangen und dann über die Zeit sukzessive erweitern. Und damit erzeugen wir die besten Sicherheitsergebnisse. Und das bestätigt uns auch der Mitre Engenuity Report, der zeigt, dass wir mit den Sicherheitsergebnissen im Markt mit Abstand vorne liegen.

Ihr Gründer hat auf der Ignite in Berlin noch eine weitere gewagte Aussage getätigt: In 2030 gäbe es auf dem Security-Markt nur noch maximal vier große Vendoren und die restlichen Anbieter wären weg vom Markt. Ist das selbstbewusst oder unrealistisch?

Ich glaube, es ist nicht selbstbewusst, sondern es ist eine logische Folge der Konsolidierung, die bereits stattfindet. Schauen Sie sich nur Palo Alto Networks an. Wir haben in den letzten Jahren rund 19 Unternehmen erworben, um bestimmte Teilfunktionalitäten in unsere Plattform zu integrieren. Und das ist der Weg. Wir haben es schon im CRM-Bereich gesehen, wo es im Wesentlichen noch Salesforce und Microsoft gibt. Da gab es früher einen Flickenteppich von kleinen und speziellen Lösungen und es hat auch eine extreme Konsolidierung stattgefunden. Und diesen Trend sehen wir ganz klar. Aber ich glaube, die Motivation in unserer Branche ist eine andere. Die ist motiviert durch die besseren Security-Apps und nicht dadurch, dass Großanbieter Marktkonsolidierung betreiben und bestimmte Kleinanbieter erwerben. Das ist nicht die Intention, sondern man weiß, bei der Cybersecurity geht es ganz stark um Daten und wenn man nicht flächendeckend die entsprechenden Insights bekommt, wird man die entsprechenden Ergebnisse nicht produzieren können.

Das Thema Kosten spielt eine große Rolle, weil immer mehr Geld in Security hineingesteckt werden muss. Wenn man jetzt umschwenkt auf eine zentrale Plattform, wie Palo Alto Networks sie anbietet, könnten Unternehmen die Security-Kosten massiv senken. Lässt sich beziffern, wieviel das ausmachen kann?

Wir haben ein Business-Value-Team, das Total Cost of Ownership-Analysen macht. Die schauen sich an, was wir beim Kunden vorfinden. Was wir im Mittel sehen, sind Kosteneffizienzsteigerungen zwischen 25 und 35 Prozent. Da spielen einige Faktoren hinein, zum Beispiel Softwareanschaffung. Aber es gibt auch viele Faktoren, die eher im Bereich Effizienzsteigerung zu verorten sind. Also die Frage, was die Leute im Security-Bereich denn eigentlich machen? Lassen sie sich auf andere wertschöpfende Aufgaben verteilen? Es gibt eine klare Korrelation zu der Anzahl der Lösungen, die im Einsatz sind. Wenn Unternehmen 35 oder 40 Lösungen im Einsatz haben, dann ist der Benefit im Hinblick auf TCO deutlich höher, als bei einem Einsatz von nur 3 oder 4 Lösungen.

Würden Sie sagen, dass Palo Alto Networks eher geeignet ist für große oder auch für mittelständische Unternehmen? Braucht ein Unternehmen eigene Security-Leute, um Palo Alto Networks einführen und nutzen zu können?

Die Marktrealität zeigt, dass sich ein kleines Unternehmen gut ausgebildete Leute kaum leisten kann. Sie beauftragen diese Dienstleistung typischerweise bei Systemintegratoren oder ähnlichen. Unsere Lösungen kommen aber in der Tat über die komplette Bandbreite von Kleinunternehmen bis hin zu Enterprise-Kunden zum Einsatz. Eine kleine Firewall kann bei einem kleinen Unternehmen zum Einsatz kommen. Wir haben aber auch Firewalls, die eher für den großen Enterprise-Bereich geeignet sind. Man muss also differenzieren. Als Beispiel nehme ich den Prisma Access Browser, ein sicherer Internet-Browser, der auf Chrome basiert und dieser Browser ist sehr einfach von der Installation und deckt eben alle Unternehmensgrößen ab. Eine klassische SOC-Lösung dagegen, beispielsweise unser Cortex-Produkt, ist für ein SOC gebaut worden. Ein Mittelständler betreibt in der Regel kein eigenes SOC. Es ist dann eher ein Service Provider, der mit unserem Produkt eine SOC-Dienstleistung einem mittelständischen Kunden anbietet.

Sie haben jüngst eine neue Version der Prisma Cloud auf den Markt gebracht. Was genau verbirgt sich dahinter?

Sie meinen wahrscheinlich die Cortex Cloud, eine SOC-Lösung, die Datenmanagement, Automatisierung und KI zusammenführt. Sie führt Cloud Detection and Response (CDR) und Cloud Native Application Protection Platform (CNAPP) nativ auf der einheitlichen Cortex-Plattform zusammen und kann Angriffe in Echtzeit stoppen. Cortex Cloud ist darauf ausgelegt, Daten von Drittanbieter-Tools aufzunehmen und zu analysieren, um eine zentrale Sichtbarkeit, KI-gesteuerte Erkenntnisse und eine End-to-End-Abhilfe für das gesamte Cloud-Sicherheitsökosystem zu bieten.

Klaus Bürg

ist VP EMEA Central bei Palo Alto Networks.