Web Summit 2016: Jeder Anbieter muss ein Security-Anbieter sein
Autor: Oliver Schonschek, Technology Analyst und Journalist
Nicht nur die Zahlen waren beeindruckend: Anlässlich des Web Summit 2016 kamen mehr als 50.000 Teilnehmer nach Lissabon, davon 7.000 CEOs aus 15.000 Unternehmen, 1.490 Startups, 1.300 Investoren und über 2.000 internationale Medienvertreter aus mehr als 150 Ländern.
Ausgesprochene Security- Lösungen fand man auf dem Web Summit 2016 ebenso wie Produkte und Services, die Security als integralen Bestandteil haben und haben müssen, darunter FinTech, Cloud und E-Commerce. Es war spannend zu beobachten, wie zum Beispiel Anbieter von Content Management Lösungen (CMS) die Security-Funktionen ihrer Lösungen stärker in den Fokus stellten als die CMS-Eigenschaften selbst. Zum einen sind Aussagen am Stand zu einem integrierten Hacker-Schutz natürlich werbewirksame Botschaften und erhöhen die Zahl der Besucher und Interessenten. Zum anderen aber ist es gut und richtig, Security nicht als Randerscheinung zu sehen, sondern als elementaren Bestandteil.
Gute Ideen für eine bessere IT-Sicherheit gefragt
Die Startups und Unternehmen, die sich der Security ganz verschrieben haben, zeigten beim Web Summit 2016, dass sie innovative Lösungen in Arbeit oder schon auf dem Markt haben, die aktuelle Herausforderungen der IT-Sicherheit adressieren. Dazu gehören das schnellere Aufspüren und Beseitigen von Sicherheitslücken, die höhere Sicherheit digitaler Identitäten oder die stärkere Nutzung von Security Intelligence.
Ein Beispiel ist Smart ID Estonia, ein Startup, das sich den Themen digitale Identität, digitale Signatur, sicheres Online-Payment und Cloud-Speicherung vertraulicher Dokumente widmet, mit dem wichtigen Ziel „Building trust in the internet“. Buglab hat sich zum Ziel gesetzt, Penetration-Testing für KMU leichter und günstiger zugänglich zu machen. Probe.ly bietet automatisiertes Scanning für die Suche nach Schwachstellen in Web-Applikationen. Secr Secure setzt bereits bei der Entwicklung an, um Schwachstellen so früh wie möglich aufzudecken. Dazu bietet das Startup ein Security-Toolkit für Entwickler an. CyberSafe bietet unter anderem SOC- und SIEM-Services und betreibt dazu eine neue Threat-Intelligence-Plattform, die sicherheitsrelevante Informationen aus zahlreichen Quellen aggregiert und auswertet.
MeReal Biometrics stellte eine Smartcard vor, die mit Fingerprint-Sensor und der Möglichkeit ausgestattet ist, Einmal-Passwörter mittels NFC oder akustischem Signal zu übertragen. Einen anderen Ansatz der Zugangskontrolle hat ZSS Information Systems gewählt. Deren Lösung nutzt vom Anwender gewählte Standorte auf einem individuell modifiziertem Google Maps als Passwort-Ersatz, die Standort-Koordinaten bilden also das Passwort (Geographical Passwords).
Security muss topaktuell sein, gute Security ist es auch
Neue Ideen in der Security sind deshalb gefragt, weil die Entwicklung der Technologien und auch der Bedrohungen so dynamisch ist, ja immer dynamischer wird. Die Security kann nicht stillstehen, sondern muss auf aktuelle Trends und Entwicklungen reagieren, immer mit dem Ziel, gleichauf mit den Angreifern zu sein, im Idealfall sogar eine Nasenspitze voraus.
Ein gutes Beispiel, wie man in der Security auf aktuelle Entwicklungen reagiert, lieferte Mikko Hyppönen mit seinem Vortrag „Hackers and elections“. Das Thema des Vortrags stand zwar schon vor dem Ausgang der US-Präsidenten-Wahl fest, doch das Thema Hacker und Politik hätte nicht passender sein können gleich nach dem Wahltag in den USA. Gleich zu Beginn machte Mikko Hyppönen ein bemerkenswertes Statement: „Die Russen haben die US-Wahl nicht gehackt, aber ich denke, sie haben es versucht“. Er führte aus, wie politische Kräfte versuchen, zum Beispiel durch manipulierte Webseiten auch Wähler zu manipulieren.
Der Security-Experte zeigte sich als strikter Gegner von Internet-Voting. Solche Verfahren erlauben zwar die zentrale Auswertung von Wahlen und beschleunigen so die Auszählung der Stimmen. Im Gegenzug ziehen aber zentrale Datensammlungen Angreifer nahezu magisch an. Zudem sind Online-Wahlen ein Risiko dafür, dass die Vertraulichkeit der Wahlen verloren geht, einfach schon dadurch, dass es daheim keine Wahlkabinen gibt.
Jedes Unternehmen ist ein Softwareunternehmen
Mikko Hyppönen unterstrich die Bedeutung von Security auch dadurch, indem er anhand vieler Beispiele klarmachte, dass heute jedes Unternehmen ein Softwareunternehmen ist. Selbst die Bäcker, die die Brötchen für das Frühstück der Konferenzteilnehmer hergestellt hatten, sind Softwareunternehmen. Entsprechend werden auch alle Unternehmen über ihre Software und IT angreifbar.
Dies ist aber bei weitem nicht die einzige Entwicklung, auf die die Security reagieren muss. Auch die Angreifer haben sich deutlich verändern. Zu Beginn waren es Jugendliche, die als Hacker zeigen wollten, was sie alles können. Heute aber können auch Nationalstaaten die Angreifer sein, die keine Angst davor haben, ertappt zu werden, denn sie sind selbst der Staat, der die Polizeigewalt innehat.
Die Veränderungen und Entwicklungen in der Security-Industrie zeigte auch der ebenfalls spannende Vortrag „How hackers changed the security industry“ von Chris Wysopal, mit dem ein zweiter Security-Experte die FullSTK-Konferenz innerhalb des Web Summit 2016 bereicherte.
Mein Fazit: Der Web Summit 2016 war beispielhaft dafür, welche Rolle Security nicht nur in allen Feldern der IT, sondern in jedem Unternehmen spielen muss. Kein Startup, kein Anbieter und kein Anwenderunternehmen kommt heute noch ohne Software und IT aus, genauso kann und darf niemand ohne Security auskommen.
Kategorien