CyberTrap-CEO Jack Wagner: „IT-Security muss Chefsache sein“

12865 Zeichen

Deception Technology, also „Täuschungstechnologie“, ist eine neue und intelligente Methode IT-Systeme zu schützen. Weltweit gibt es erst ca. 10 Unternehmen in dem Bereich. Eines davon ist die österreichische CyberTrap GmbH. Wir haben mit dem Management gesprochen und sind der Frage nachgegangen, warum konventionelle Maßnahmen heute nicht mehr ausreichen, um Angriffsversuche aus dem Internet abzuwehren. 

Beinahe im Wochentakt werden wir in neuen Studien von namhaften Beratungshäusern auf die zunehmenden Gefahren durch Cyberangriffe hingewiesen. Die Deception Technology verfolgt in diesem Umfeld einen ganz neuartigen Ansatz. 

Jack Wagner: Die Deception Technology ist kein Präventiv-System, das Angreifer außerhalb des Systems halten will, sondern ist dann da, wenn der Angreifer schon im System ist. Das ist ein wesentlicher Unterschied. Die Firewall versucht, den Angreifer nicht ins System eindringen zu lassen, eine Sandbox ebenso. Wir legen hingegen unsere „Köder“ innerhalb der IT-Landschaft und hinter der Firewall aus, auf den sogenannten „Endpoints“, also Endgeräten. Und wenn der Angreifer schon im System ist und sich ausbreiten möchte, dann stößt er auf unsere Köder und wird umgeleitet in die von uns geschaffene „virtuelle IT-Umgebung“. So kann er in der echten IT-Umgebung keinen Schaden anrichten. Er kann beispielsweise keine vertraulichen Ausschreibungsunterlagen einsehen, kein wertvolles „Intellectual Property“ ausspionieren und andere Firmengeheimnisse auch nicht. Das ist der große USP, den wir mit unserer Lösung haben und den die noch junge „Deception Technology“ bietet. 

Avi Kravitz: Man darf nicht vergessen, heutzutage sind Hacker gut ausgebildet, haben ausreichend Mittel zur Verfügung und sind mit den gängigen IT-Security-Technologien vertraut. Hacker können sich Tools für das Eindringen in ein IT System relativ günstig am Schwarzmarkt besorgen. Wenn man im Darknet recherchiert erfährt man schnell, dass man heute schon ab einer Summe von 500 Euro aufwärts jemanden hacken und ausspionieren lassen kann. Insofern ist das keine große Sache mehr. Also selbst Unternehmen, die viel in IT-Security investieren, können noch immer „gehackt“ werden, weil ihnen das letzte Puzzle-Stück für ihre Sicherheit einfach fehlt. Und da setzen wir mit der Deception-Technologie an. Wir leiten den Angreifer quasi in eine „Glasbox“ und beobachten ihn. Wir legen Köder in der produktiven Infrastruktur aus. Diese Köder sind Informationen, die für Angreifer besonders interessant sind, wie zB falsche Passwörter, Zertifikate, Dokumente, Datenbanken, die man auf den Endgeräten verteilt. So bald ein Eindringling diese Köder berührt, landet er in der CyberTrap-Infrastruktur, wo er keinen Schaden mehr anrichten kann. Was passiert dann? Unser Security Operation Center bekommt sofort die Information, dass ein Angriff identifiziert wurde. Ab dem Zeitpunkt, ab dem der Angreifer in der CyberTrap-Welt landet, startet die Echtzeit-Forensik. Unser System kann in Echtzeit protokollieren, was passiert ist und digitale Fingerabdrücke sammeln. Es werden Dokumente bereitgestellt, die die Angreifer „entwenden“ können. Diese haben wir mit einem virtuellen Peilsender versehen. Wenn diese Dokumente geöffnet werden, bekommen wir die Information, wer das Dokument gerade aufmacht und wohin es wandert. So kann man auch die Hintermänner einer Hacker Attacke  identifizieren. Wir hatten schon zwei Fälle, wo unser System die ganze Befehlskette aufgedeckt hat. Ein Dokument wurde etwa von intern zu extern weitergereicht. So konnte man feststellen, wer das Dokument wann und wo aufgemacht hat. Und zu guter Letzt werden die „digitalen Fingerabdrücke“ wieder in die vorhandenen Sicherheitsmaßnahmen, wie zum Beispiel eine Firewall, gespielt. Wir erstellen quasi ein Fahndungsblatt. So können wir einerseits herausfinden, wo der Angreifer in der produktiven Umgebung ist und auf der anderen Seite erhöht es die Effizienz und Resilienz der bestehenden Sicherheitsinvestments.

Dabei handelt es sich um eindeutige kriminelle Machenschaften. Wie geht Ihr weiter vor, wenn Ihr die Hintermänner aufgedeckt habt? Werden die Behörden eingeschaltet?

Avi Kravitz: In Österreich und im EU-Raum arbeiten wir mit den Behörden zusammen. Das funktioniert recht gut. Wenn die Täter allerdings im „Nicht EU-Ausland“ sind, wird es relativ schwierig mit dem Zugriff. Aber wenn sich Unternehmen ausspionieren, dann kann man das sehr wohl rechtlich verfolgen.

Und die Hacker lassen sich so einfach von Euch täuschen?

Avi Kravitz: Die Deception-Lösung lebt davon, dass sie keinen eindeutigen „Fingerabdruck“ hat.  Wir haben von Anfang an daran gearbeitet, dass die Lösung nicht als solches erkennbar ist. Die CyberTrap-Umgebung besteht aus ganz vielen verschiedenen Systemen. Abgesehen davon, dass das „Look and Feel“ immer an den Kunden angepasst wird, achten wir zum Beispiel sehr darauf, dass die Namens-Konventionen stimmen. Wir haben bei der Entwicklung sehr viele verschiedene Aspekte berücksichtigt. Kollegen aus dem Sicherheitsumfeld tappen regelmäßig bei externen Penetrationstests in unsere Fallen, das ist die beste Bestätigung.

Rufen Euch die Kunden eigentlich erst dann an, wenn Sie merken, dass jemand im System ist?

Avi Kravitz: Die meisten Kunden kommen dann auf uns zu, wenn sie einen Verdacht haben. Wir hatten beispielsweise einen Fall, wo die Geschäftsführung gemerkt hat, dass sie bei öffentlichen Ausschreibungen immer ganz knapp unterboten wurde. Das war schon sehr auffällig und wir wurden engagiert um herauszufinden, wie das passieren kann. Es hat sich herausgestellt, dass es ein Mitbewerber war, der das Unternehmen geschickt ausspioniert hat. Große Behörden und Unternehmen setzen unsere Technologie aber vorbeugend ein, da sie es sich überhaupt nicht erlauben wollen kompromittiert zu werden, und sich mehrfach absichern. 

Damit sind wir bei den Kunden von CyberTrap angekommen. Wer, neben den großen Behörden, setzt Eure Technologie schon ein?

Jack Wagner: Wir haben große Behörden als Kunden. ZB eine Behörde in einem EU Land, die über mehr als 100.000 Mitarbeiter und ein Milliarden-Budget verfügt. Da gibt es stets die Befürchtung, dass es zu Betrugsfällen kommen könnte. Und deshalb sichern die sich auch mit Deception Technology ab. Das andere sind große Unternehmen. Wir haben etwa einen DAX-Konzern als Kunden. Diese Unternehmen sind meistens schon sehr gut aufgestellt, was ihre IT-Security-Infrastruktur betrifft. Und diese Unternehmen wissen, wie es auch der namhafte  Berater Gartner vorhergesagt hat, dass der nächste große Trend in Richtung Deception Technology geht. Es gibt auch eine interessante Studie vom Ponemon Institute, wo herausgefunden wurde, dass sich Einbrüche in IT-Systemen sowohl negativ auf den Shareholder Value als auch auf die Vertrauenswürdigkeit bei den Kunden der Unternehmen auswirkt. In weiterer Folge führt dies zu einem Kundenverlust und Umsatzrückgang. IT-Security sollte also heute nicht nur eine Angelegenheit der IT-Abteilung sein, sondern viel mehr auch der Unternehmensführung. Denn gibt es einmal einen Vorfall, ich erinnere an die Causa FACC in Österreich oder die High-Level Fälle Deloitte oder Equifax, die monatelang kompromittiert waren ohne dies zu merken, dann ist das gesamte Management damit konfrontiert und muss sich vor Kunden, Aktionären, Mitarbeitern, Lieferanten etc. erklären. IT-Security sollte heute Chefsache sein, weil es ein strategisches Thema ist um die eigene Wettbewerbsfähigkeit zu verteidigen.

Sie haben erwähnt, dass Deception Technology noch sehr jung ist. Noch kein heiß umgekämpfter Markt?

Jack Wagner: Unseres Wissens nach gibt es in Europa derzeit nur zwei Unternehmen, die sich mit diesem Thema befassen. Eines davon sind wir. Der Rest der Mitbewerber sitzt in Israel oder USA. Ein großer Marktvorteil in Europa ist für uns das Thema „Backdoors“ (Anmerkung: Software, die einen entsprechenden Fernzugriff auf den Computer ermöglicht): In den USA ist es so, wenn die NSA dem Hersteller sagt, es muss eine „Backdoor“ eingebaut werden, dann muss dieser Hersteller sie einbauen. In Europa ist das Gott sei Dank gesetzlich nicht so geregelt. Deshalb fokussieren wir uns als europäisches Unternehmen auch sehr stark auf den europäischen Markt. Diese Art von „Neutralität“ ist aber auch in Asien gefragt, wir verhandeln gerade in Singapur einen Deal, wo dieser USP eine große Rolle gespielt hat.  

Einer der größten Betrugsfälle in Europa war jener der FACC. Hättet Ihr diesen „Fake President Fraud“ verhindern können?

Jack Wagner: Wir hätten sicher zur Aufklärung beitragen können. Im Falle FACC kann man aber nicht von einem klassischen Einbruch in das IT-System bzw. einer Cyberattacke sprechen, sondern es war ein sehr geschickt gemachtes Social Engineering. Wir kennen einen ähnlichen Fall, wo sich dann herausgestellt hat, dass Mitarbeiter involviert waren, die es dann als Cyberangriff darstellen wollten. 

Wenn ein Kunde Eure Deception Technologie einsetzen möchte.  Wie sind die Arbeitsschritte und wie viel Aufwand für den Kunden steckt dahinter?

Avi Kravitz: Ich war lange Zeit im Consulting tätig und kenne die üblichen Vorbehalte der Kunden. Sie haben meist zu wenig Mitarbeiter in den Fachbereichen, die in der Regel ohnehin ziemlich  ausgelastet sind, und möchten nicht, dass eine zusätzliche Software auf den Endgeräten installiert wird, etc. Aus diesen Gesichtspunkten heraus haben wir den gesamten Prozess designt. Am Anfang setzen wir uns mit dem Kunden etwa vier Stunden zusammen und entwickeln ein Deception Design-Konzept. In einem Workshop schauen wir uns dann die Infrastruktur holistisch an, und analysieren die strategische Positionierung. Anschließend kümmern sich unsere Operations-Leute um das gesamte Setup. Die brauchen, je nach Design, dafür nur wenige Tage. Man kann die Lösung in der Cloud installieren, oder direkt beim Kunden „on premise“. Wie es der Kunde haben will. Wir haben auch schon Hybrid-Modelle erfolgreich eingeführt. Ist das geklärt, dann geben wir dem Kunden ein Set Up-Package, in dem die Köder enthalten sind. Wenn es notwendig ist, unterstützen wir sie dann noch beim Ausrollen dieser Köder. Das dauert aber nur ca. eine halbe Stunde. Der Kunde hat praktisch gesehen kaum einen Aufwand. Er kann sich dann aussuchen, ob er die Lösung selbst managen will, oder durch unser Security Operation Center betreiben möchte. In Summe ist das System hochgradig automatisiert.

Benötigt Ihr bei diesen Implementierungsschritten uneingeschränkten Zugang zu den Systemen der Kunden?

Avi Kravitz: Wir brauchen keinen Zugang in das IT System des Kunden oder zu vertraulichen Informationen. Es ist zu vergleichen mit der Montage einer Überwachungskamera. Unsere Insights bekommen wir dann, wenn der Angreifer eindringt. Dann sehen wir, wonach er sucht, welche Werkzeuge er verwendet und was ihn genau interessiert.  Wie man sich vorstellen kann, ist diese Information extrem viel wert.

Da möchte ich auch gleich zum Thema Kosten kommen. 

Jack Wagner: Wir bieten unsere Technologie ab rund 3500 Euro pro Monat an, dazu kommen noch die einmaligen Implementierungskosten. Der Preis hängt aber natürlich von der Größe des IT Netzwerks der Company ab.

Wie sieht es mit den eigenen Wachstumsplänen aus?

Jack Wagner: Wir haben im abgelaufenen Jahr einen Umsatz von etwa 700.000 Euro erreicht und wollen heuer verdoppeln.

Ihr nehmt immer wieder an Startup-Programmen und –Bewerben teil. Was sind die Outcomes?

Jack Wagner: Ja und da waren wir auch nicht ganz unerfolgreich, bei der PWC Cyber Security Challenge haben wir in Luxemburg den „Most promising Company“ Award gewonnen, und zuletzt bei WeXelerate den „Crowd Award“. Dadurch ergeben sich immer gute Chancen mit Investoren oder potenziellen Kunden ins Gespräch zu kommen.

Welchen langfristigen Plan verfolgt ihr als Eigentümer von CyberTrap? Könntet Ihr Euch auch einen Börsegang vorstellen?

Jack Wagner: Unsere Kunden stehen im Mittelpunkt, die müssen wir zufrieden stellen. Dann sind wir am Weltmarkt erfolgreich und können weiter wachsen. Die Börse ist sicherlich langfristig gesehen ein spannendes Thema. Aber kurzfristig überlegen wir eher die Hereinnahme eines strategischen Partners, der uns z.B. ganz neue Vertriebskanäle eröffnen kann.

Avi Kravitz: Da kann ich nur beipflichten, ein Börsegang ist sicher eine sehr langfristige Option.  Aber zunächst haben wir noch einige Hausaufgaben zu erledigen. Auch das Thema strategischer Partner ist nicht von der Hand zu weisen. Große Anbieter, die das Problem holistisch angehen, haben teilweise das Thema Deception noch nicht im Portfolio. Für die ist es wichtig, zu beobachten und gezielt neue Lösungen ins Portfolio aufzunehmen. Insofern könnte es vorteilhaft sein, unsere Stärken in einem Gesamtkontext auszuspielen.  

Text: Christine Petzwinkler   Foto: Michaela Mejta

 

Aus dem "Börse Social Magazine #13" - 1 Jahr, 12 Augaben, 77 Euro. Ca. 100 Seiten im Monat, ca. 1200 Seiten Print A4

Seiten und Bilder aus dem Magazine (Navigieren mit Klick oder den Cursor-Tasten, Wischen am Smartphone)

Sample page 1 for "BSM #13"

Sample page 2 for "BSM #13"

---