In einem englischsprachigen Podcast von Security Storage und Channel Germany erläutert Christian Have, CTO Logpoint, im Gespräch mit Carolina Heyder, stellvertretende Chefredakteurin von Security Storage und Channel Germany, die Bedeutung einer Sicherheitsstrategie, die die Bedürfnisse europäischer Unternehmen berücksichtigt. | In an English-language podcast from Security Storage and Channel Germany, Christian Have, CTO Logpoint, talks with Carolina Heyder, deputy editor-in-chief of Security Storage and Channel Germany, about the importance of a security strategy that takes into account the needs of European enterprises. |
|---|---|
Im Gespräch mit Carolina Heyder, stellvertretende Chefredakteurin von Security Storage und Channel Germany, spricht Christian Have, CTO Logpoint, auf Englisch über die kommenden EU-Vorschriften und welche Maßnahmen Unternehmen treffen sollten, um die neuen Vorgaben zu erfüllen. Außerdem schildert er die aktuelle Bedrohungslage und dass die Angreifer immer raffinierter werden. Er spricht darüber, warum es ein Fehler ist, sich in Sachen Sicherheit ausschließlich auf außereuropäische Anbieter zu verlassen. Zur Person: Christian Have, CTO Logpoint, ist seit elf Jahren bei Logpoint tätig. Seine jetzige Position füllt er seit drei Jahren aus. Zuvor wirkte er bei Devoteam, bei der Dänischen Polizei und im Bispebjerg Hospital. Er hat an der IT-Universitetet in København und an der MIT Sloan Executive Education studiert. Hier geht es zum Download des Podcasts Hier die vollständige Transkription des Podcasts: Willkommen zum Sicherheits-, Speicher- und Channel-Podcast mit Carolina Heyder Top-Zitate: Christian Have CTO Logpoint: Data Residency ist eine Sache, bei der man seine Daten nicht unbedingt bei einem US-amerikanischen Cloud-Anbieter unterbringen kann. Eines der Dinge, die wir jetzt sehen, ist, dass diese Hacker-Gruppen und diese Bedrohungsakteure einen so bedeutenden wirtschaftlichen Vorteil haben. Wir sehen so viele klassische Fehler, die wir in der IT-Branche der alten Schule erlebt haben. Sie werden nun in Cloud-Umgebungen wiederholt. Carolina Heyder, stellvertretende Chefredakteurin von Security Storage und Channel Germany: Hallo und herzlich willkommen zum Security Storage und Channel Germany Podcast. Vielen Dank, dass Sie bei uns sind. Mein Name ist Carolina Heyder. Ich bin Redakteurin und heute Ihre Gastgeberin. Wir berichten gerade aus Kopenhagen von der ThinkIn-Konferenz 2023, natürlich. In dieser Podcast-Episode werden wir über die Bedrohungen und über Cybersicherheit im Allgemeinen sprechen. Durch Remote Working, die Nutzung von Multi-Cloud und anderen Technologien werden die Hacker immer professioneller. Unternehmen sind mehr denn je gefährdet. Ich freue mich sehr, dass ich heute einen Experten für Cybersicherheit bei mir begrüßen darf, der uns zeigt, wie wir diesen Bedrohungen begegnen können. Ich möchte Ihnen gerne unseren Gast Christian Have vorstellen. Er ist CTO bei Logpoint. Herzlich willkommen Christian! Christian Have CTO Logpoint: Danke, dass ich dabei sein darf. Carolina Heyder: Sehr erfreut. Ich würde gerne von Ihnen hören: Wie entwickelt sich die Bedrohungslage aktuell? Christian Have CTO Logpoint: Mit der rasanten Verbreitung der Cloud, auch hier in Europa, sehen wir viele klassische Fehler, die wir in der Old-School-IT-Industrie erlebt haben. Sie werden nun in Cloud-Umgebungen wiederholt. Carolina Heyder: Wie kommt das? Christian Have CTO Logpoint: Wir haben zum Beispiel einen Kunden, der auf eine cloudbasierte HR-Plattform migriert hat. Diese wurde eingerichtet und alles funktionierte wie geplant. Sie haben einen Fehler in ihrer On-Premises-Lösung gemacht: Zu einem bestimmten Zeitpunkt änderten sie ihre Berechtigungen, was bedeutete, dass jeder einzelne Mitarbeiter alle Berechtigungen für das HR-System hatte. Sie konnten nicht sehen, wie lange auf die Daten zugegriffen wurde und ob jemand sie tatsächlich missbrauchte. Sie erfuhren davon, weil einer ihrer Mitarbeiter es bemerkte und sagte: Oh, das sieht nicht richtig aus. Ich habe einige Tasten, auf die ich keinen Zugriff haben sollte. Carolina Heyder: Ja, natürlich. Aber wie würden Sie die aktuelle Situation beschreiben? Christian Have CTO Logpoint: Ich denke, aus der Perspektive dessen, was derzeit in der Welt passiert, wird die Raffinesse der Angriffe immer größer. Ich denke, dass unser CEO typischerweise sagt, dass der Markt für Cyberkriminalität, oder sagen wir, das Geld, das durch Cyberkriminalität generiert wird, das drittgrößte Land der Welt in Bezug auf die Wirtschaftsleistung wäre. Carolina Heyder: Beeindruckend. Und es ist beängstigend. Christian Have CTO Logpoint: Und es zeigt einfach, wie bedeutsam es ist. Vor 15 Jahren hätte man vielleicht gesagt: Das wird uns nicht treffen, also warum sollte uns jemand angreifen? Carolina Heyder: Ich bin nicht wichtig genug, um angegriffen zu werden. Christian Have CTO Logpoint: Nein, warum sollten sie sich für mich interessieren? Ich versorge nur eine Stadt in Bayern mit Wasser oder was auch immer. Wir sehen also unter anderem, dass diese Hackergruppen und Bedrohungsakteure einen so großen wirtschaftlichen Nutzen aus Angriffen auf diese Netzwerke ziehen, dass sie sehr raffiniert werden. Carolina Heyder: Sie haben Geld, um schlechte Dinge zu tun. Christian Have CTO Logpoint: Ganz genau. Aber ich denke, noch mehr als das, eine andere Sache, die wir sehen, ist, dass es diese Klage des Außenministeriums der Vereinigten Staaten gab. Und in dieser Klage konnte man die Rollenbeschreibungen einiger dieser Angreifer sehen. Sie waren Finanzbeamte. Sie waren Unterstützungsorganisationen. Sie hatten mittlere Manager mit KPIs. Selbst die Angreifer professionalisieren sich also und optimieren im Wesentlichen die effizienteste Art und Weise, wie sie das tun können, was sie tun müssen. Carolina Heyder: Und warum ist die Kombination von SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) für Unternehmen heute sinnvoll oder wichtig? Christian Have CTO Logpoint: Ich denke, Sie haben mit dem Wort Kombination einen wirklich wichtigen Punkt getroffen. SIEM und SOAR haben lange Zeit als getrennte Technologien existiert. Und eines der Dinge, die wir sehen, ist, dass, wenn man… SOAR ist Automatisierung und Orchestrierung. Bei der Orchestrierung geht es im Wesentlichen darum, den Rest der Infrastruktur dazu zu bringen, das zu tun, was man mit dem kleinen Dirigenten und dem Orchester tun muss, damit alles gut zusammenspielt. Damit die Dinge gut zusammenspielen, muss man nahe an den Daten sein. Wo befinden sich die Daten? Im SIEM. Wenn Sie die Daten nicht verstehen, wie können Sie sie dann automatisieren? Nun, man kann es, aber es wird ein Alptraum für Sie sein, weil Sie am Ende einen Geschäftsprozess beenden können, der Ihre gesamte Einrichtung, Ihr Werk oder was auch immer zum Stillstand bringt. Damit SIEM und SOAR effektiv arbeiten können, muss man also nahe an den Daten sein. Effizienz ist der Schlüssel. Carolina Heyder: Weil man eine Menge Dinge tun muss. Heutzutage sind viele Dinge im Gange, und man muss seine Systeme, seine Anwendungen orchestrieren. Das ist schwierig. Christian Have CTO Logpoint: Ich meine, Gartner hat eine Analyse herausgebracht, die besagt, dass das durchschnittliche IT-Team 70 IT-Sicherheitslösungen verwaltet, 70 Lösungen verwaltet. Und nicht nur das, sondern jede von ihnen hat eine Alarmfunktion, jede von ihnen hat ein Reporting, jede von ihnen sieht ein kleines Stück des großen Puzzles. Aber wenn man keinen einzigen Ort hat, an dem man diese Informationen sammeln, analysieren, verstehen und auswerten kann, wird es sehr, sehr schwierig, ja fast unmöglich, den besten Weg zur Erhöhung der Sicherheit zu finden. Carolina Heyder: Und das ist der Grund, warum Sie Ihre Plattform anbieten, richtig? Christian Have CTO Logpoint: Wir sehen dieses Muster. Und ich meine, da wir aus Europa kommen und vielleicht ein kleinerer Anbieter im Vergleich zu einigen amerikanischen Unternehmen sind, mussten wir uns von Anfang an in das integrieren, was die Kunden hatten. Wir konnten nicht in ein sehr großes Unternehmen gehen und sagen: Ihr müsst alles durch das ersetzen, was wir haben, nur weil wir es euch sagen. Wir haben also mit allem, was vorhanden war, koexistiert, was uns dazu veranlasste, unsere Methodik und die Art und Weise, wie wir die Kundennetzwerke betrachteten, zu ändern, eine bessere Datenstruktur zu schaffen, eine bessere Methode zur Integration dieser Technologien zu entwickeln, um im Wesentlichen mit dem zu arbeiten, was der Kunde bereits hatte. Für uns als Unternehmen ist dies also aus der Not heraus geboren worden. Aber es hat uns in eine Situation gebracht, die für uns jetzt sehr vorteilhaft ist, weil jedes Unternehmen all diese verschiedenen Schlüsselpunkte zu einem einzigen Punkt verschmelzen muss. Carolina Heyder: Natürlich, alles integrieren. Und was denken Sie? Wie sollten Kunden, wie sollten Unternehmen mit SOAR beginnen? Christian Have CTO Logpoint: Ich denke, als allgemeine Hypothese gilt, dass Unternehmen ihre Sicherheitsabläufe ausbauen müssen. Sie müssen die Art und Weise, wie sie automatisieren und orchestrieren, verbessern. Gleichzeitig – und ich weiß, das ist eine langatmige Antwort – müssen diese Organisationen im Wesentlichen die Art und Weise, wie sie ermitteln und nach Bedrohungen suchen, miteinander verbinden. Sie haben also im Wesentlichen zwei Seiten der Medaille. Entweder untersuchen Sie eine bestimmte Sicherheitsverletzung, und wenn das, was Sie gefunden haben, möglicherweise noch einmal vorkommt, sagen Sie: „Okay, lassen Sie uns das in den Eimer legen und sagen, dass ich das irgendwann automatisieren möchte. Wenn Sie auf Bedrohungssuche sind, sagen wir mal, Sie haben nicht unbedingt eine Sicherheitslücke oder arbeiten an einem Vorfall, gehen Sie typischerweise Ihr Netzwerk durch oder überprüfen alle Anzeichen für eine mögliche Sicherheitslücke. Wenn Sie dabei etwas Bedeutsames entdecken, können Sie diese Erkenntnisse nutzen und sagen: Okay, es lohnt sich, auch das zu automatisieren. Das ist in der Regel unser Rat für den Anfang. Wir schauen uns an, was Sie heute schon tun, und überlegen, ob wir Ihnen mit unserem Service oder mit der Software selbst helfen können, diese Automatisierung voranzutreiben. Einer der Fehler, den viele Unternehmen begehen, besteht darin, dass sie sich direkt an die Spitze des Berges begeben, also an die anspruchsvollsten Die anspruchsvollsten Dinge in einem Anwendungsfall, und dann setzen wir einen Orchestrierungsjob ein, der fünf Dinge in verschiedenen Komponenten deaktiviert und so weiter. Aber es ist selten der richtige Weg, gleich mit dem anspruchsvollsten Anwendungsfall zu beginnen. In der Regel wird jemand im Team entmündigt, man macht Fehler und verliert die Unterstützung oder den Rückhalt in der Organisation, bevor man mit der Lösung überhaupt etwas erreicht hat. Carolina Heyder: Ja, natürlich. Manche Unternehmen können die Dinge selbst in die Hand nehmen, aber andere brauchen Hilfe. Warum sollten Unternehmen in Erwägung ziehen, zum Beispiel einen Managed Service Provider (MSP) für bessere Sicherheit einzuschalten? Christian Have CTO Logpoint: Ich denke, dafür gibt es mehrere Gründe. Hauptsächlich würde ich sagen, dass der Fachkräftemangel eine Sache ist, richtig? Wenn es 1 Million oder 2 Millionen Sicherheitsspezialisten sind, die uns fehlen, dann ist das eine ganze Menge. Aber unabhängig davon, wie das im Wesentlichen aussieht, selbst wenn Sie die Leute finden und ausbilden können, werden Sie es schwer haben. Die meisten Unternehmen werden es schwer haben, diese Talente zu halten. Sie werden woanders hingehen, wo es eine größere Herausforderung gibt, wo ein neues Umfeld entsteht. Wenn Sie also nicht gerade eine Sicherheitskultur oder ein großes, komplexes Umfeld haben, das für diese jungen Experten interessant ist, sind Sie in der Regel besser bedient, zumindest was die 24- bis siebenjährigen Mitarbeiter angeht. Das sollte man an jemanden auslagern, der über das nötige Fachwissen und die nötige Kraft verfügt, um das zu tun. Carolina Heyder: Die Menschen. Christian Have CTO Logpoint: Ganz genau. Und Sie werden sehen, dass diese Leute wahrscheinlich in einem MSP arbeiten wollen, richtig, wo Sie nicht nur das Problem eines Kunden bearbeiten können, sondern vielleicht Probleme von 1015 Kunden als Teil Ihrer täglichen Arbeit. Und darüber hinaus, seien wir ehrlich, gibt es eine Menge Sicherheitsarbeit, die man in einer Organisation erledigen muss. Es gibt vieles, was Sie im Auge behalten müssen. Wenn man es also nicht aus der Perspektive des Fachkräftemangels betrachtet, sind die Investitionen, die erforderlich sind, um die Sicherheit Ihres Unternehmens zu gewährleisten, beträchtlich, und manchmal werden sie es auch sein. Auch wenn es kontraintuitiv klingen mag, so ist es doch so. Die Gesamtbetriebskosten werden für Sie billiger sein, wenn Sie einen Managed Service Provider beauftragen, als wenn Sie versuchen, dies im eigenen Haus aufzubauen. Carolina Heyder: Ja, natürlich. Und auf der anderen Seite, wie genau unterstützt Logpoint MSPs? Christian Have CTO Logpoint: Ich denke, eine der Herausforderungen für MSPs ist, dass sie ihren Kunden zeigen und beweisen müssen, wie es funktioniert. Sie müssen die Rechnung, die sie schicken, rechtfertigen. Richtig? Eine unserer Maßnahmen ist daher, dass wir uns speziell an Managed Security Service Provider (MSPPs) wenden. Wir lizenzieren auf eine Art und Weise, bei der wir mit dem MSSP mitwachsen, so dass es keine großen Vorabinvestitionen gibt. Wenn der MSSP an Zugkraft, an kommerzieller Zugkraft gewinnt, wachsen wir tatsächlich mit dem MSSP auf der operativen Seite, und aus der Cyber-Perspektive erhalten MSSPs Zugang zu unserem Schutz vor neuen Bedrohungen, d. h. zu unserem hochmodernen Sicherheitsforschungsteam. Sie werden Zugang zu zwei Experten erhalten. Sie erhalten Zugang zu einem Großteil des Materials. Diese können sie dann in einen Mehrwert für ihre Endkunden umwandeln. Ein ganzer Teil des Produkts ist auf die Optimierung und den Betrieb großer Implementierungen zugeschnitten, die Sie als MSP letztendlich haben werden, richtig. Wenn Sie 100 Kunden verwalten, müssen Sie sich mit einer Menge Portfolio-Management beschäftigen. Und wir haben eine Produktfunktion, die speziell dafür entwickelt wurde, mit und für MSSPs. Carolina Heyder: Und Sie haben ein neues Produkt, das Sie hier auf der Konferenz vorstellen werden. Können Sie uns mehr darüber erzählen? Was ist neu? Was ist besser? Christian Have CTO Logpoint: Die neue Version des Produkts, die auf der Konferenz vorgestellt wurde, nennen wir Logpoint 72. Und das ist die erste Version des Produkts, die Case-Management-Systeme einführt. Vorher konnten wir natürlich einen Alarm ausgeben und dem Analysten zeigen, was zu tun ist. Und wir hatten SOAR-Playbooks und alles. Aber mit Case Management in 72 verschmelzen wir Alarme, SIEM, SOAR und unseren Endpunkt-Agenten auf eine Weise, die im Wesentlichen ein neues Zuhause für den Analysten und das Produkt schafft. Hier kann ich alle Beobachtungen sehen. Ich kann meine Playbooks ausführen, ich kann Forensik auf den Workstations durchführen. Carolina Heyder: Sie erhalten also mehr Transparenz. Christian Have CTO Logpoint: Auf jeden Fall. Man bekommt eine einzige Glasscheibe oder einen einzigen Punkt, an dem man alles machen kann. Wir haben Endpunkt-Fähigkeiten aufgebaut, also EDR, SOAR-Fähigkeiten, SIEM-Fähigkeiten, und jetzt haben all diese Fähigkeiten ein Zuhause. In diesem Fall ist es ein Managementsystem. Carolina Heyder: Lassen Sie uns nach Europa gehen. Ganz genau. Sie sind ein europäisches Unternehmen. Wie sehen Sie das? Warum wenden sich die Kunden zunehmend an europäische Sicherheitsanbieter? Christian Have CTO Logpoint: Geopolitisch gesehen gibt es, glaube ich, ein altes chinesisches Sprichwort, das besagt, dass man in interessanten Zeiten leben kann. Und ich glaube nicht, dass das im Wesentlichen eine positive Aussage ist. Und wir befinden uns gerade in geopolitisch interessanten Zeiten, es gab eine gewisse Unsicherheit in Europa. Wo haben wir unsere US-Verbündeten? Politische Instabilität ist vielleicht ein starkes Wort, aber es waren andere Zeiten für uns. Die Datenschutz-Grundverordnung (DSGVO/GDPR) wurde auch hier in Europa eingeführt, und zwar genau zu dem Zeitpunkt, als wir erkannten, dass dies ein Problem darstellen würde. Das Schrems-2-Urteil besagt, dass die Datenresidenz eine wichitige Sache ist. Sie können Ihre Daten nicht unbedingt bei einem US-amerikanischen Cloud-Anbieter unterbringen, auch wenn sich das Rechenzentrum in Europa befindet, und zwar aufgrund des US Cloud Act. Das US-Cloud-Gesetz besagt, dass man im Moment damit rechnen muss, dass die US-Regierung Zugriff auf die Daten erhält. Das ist ein großes Problem für europäische Kunden. Das ist ihnen nicht erlaubt, und wir sehen gerade ein erhebliches Interesse von Unternehmen, insbesondere aus Deutschland und Frankreich, und jetzt auch von ambitionierten Schweden, die sagen: Okay, das ist eine Sache, die wir in Europa im Auge behalten müssen. Carolina Heyder: Glauben Sie, dass die GDPR der Hauptgrund für Kunden ist, zu Ihnen zu kommen und nicht zu anderen Anbietern von Cybersicherheit? Christian Have CTO Logpoint: Ich denke, es ist ein Problem, sich zu sehr auf die Lösungen eines einzelnen Landes zu verlassen. Ich erinnere mich an meinen Hintergrund bei der dänischen Polizei, wo wir typischerweise amerikanische und europäische Lösungen gemischt haben. Bevor ich zu Logpoint kam, war ich zehn Jahre lang als Leiter der Netzwerksicherheit bei der dänischen Polizei und im dänischen Gesundheitswesen tätig. Das Tolle an meinem Einstieg bei Logpoint war, dass ich die Chance hatte, einige der Lösungen zu entwickeln, die ich als Verteidiger des Netzwerks nie hatte, so dass ich, als ich von der Kundenseite zur Anbieterseite wechselte, ein Jahrzehnt an Erfahrung mitbrachte. Aber eines der Dinge, die wir bei der Polizei gemacht haben, war, dass wir in der Regel Technologien aus verschiedenen geografischen Regionen miteinander kombiniert haben, um eine gewisse Isolierung gegen potenzielle Sicherheitsverletzungen zu erreichen. Und das ist auch bei uns zu beobachten. Die Abhängigkeit von ausschließlich US-amerikanischer Technologie, wie sie, seien wir ehrlich, bei vielen Unternehmen anzutreffen ist, ist einfach bedenklich. Und mit der bevorstehenden NIS 2 ist es sehr kritisch, wenn es um Daten geht. Sie müssen vor Ihrem Vorstand Rechenschaft ablegen. Wie gehen wir damit um? Also ganz sicher. Carolina Heyder: Okay. Und wie können Unternehmen die strengeren EU-Vorschriften für kritische Infrastrukturen einhalten? Christian Have CTO Logpoint: Ich würde sagen, dass die NIS-2-Verordnung und die neue EU-Verordnung das Thema Cyber ernst nehmen. Wenn man sich an die bewährten Verfahren hält, ist man in einer guten Position. Einige der Dinge, die für viele Organisationen neu sind, sind die Meldepflichten für NIS 2: Innerhalb von 24 Stunden müssen Sie eine Meldung machen, dass wir ein Problem haben. Innerhalb von 72 Stunden müssen Sie dann in der Lage sein, präzise und genau zu berichten, gegen welche Vorschriften verstoßen wurde. Das ist eine Menge Arbeit, die in sehr kurzer Zeit erledigt werden muss. Carolina Heyder: Für viele Unternehmen ist das eine Herausforderung. Christian Have CTO Logpoint: Seien wir ehrlich, es wird fast unmöglich sein. Die andere Sache, die NIS 2 mit sich bringt, wird die Art und Weise, wie Unternehmen über Sicherheit denken, verändern. Denn die meisten Unternehmen haben begriffen, dass sie bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO/GDPR) oder ähnliche Bußgelder bestraft werden. Ich weiß nicht, ob man sowohl von GDPR als auch von NIS 2 Geldstrafen bekommen kann, aber wenn ja, wäre das sicher ein Problem. Ich würde jedoch sagen, dass es wichtiger ist, dass in der NIS 2 der Vorstand und die Geschäftsleitung für Verstöße haftbar gemacht werden können. Ich denke also, dies zeigt die Entschlossenheit des Gesetzgebers, dieses Thema ernster zu nehmen. Der letzte Teil der NIS 2 ist die Definition kritischer Sektoren. In jedem dieser Sektoren wird es Computer-Notfallteams geben, die auf nationaler Ebene angesiedelt sind. Carolina Heyder: Sie meinen so etwas wie Gesundheitswesen, Energie und Transport. Christian Have CTO Logpoint: Mit all diesen Bereichen sind so genannte C-Zertifikate verbunden. Sie müssen mit den C-Zertifikaten interagieren. Viele Organisationen, die als sektorkritisch eingestuft werden, müssen diese Informationen nun sowohl bereitstellen als auch nutzen, was wiederum mit der Integration, der Orchestrierung und der Arbeit mit den Daten zusammenhängt, die man nicht nur von seinem eigenen Unternehmen erhält, sondern zu der man nun auch von außen gesetzlich verpflichtet ist. Carolina Heyder: Sprechen wir ein wenig über die Gegenwart und auch über die Zukunft. Sie haben frisches Geld aufgenommen, Sie haben einen neuen Investor. Können Sie mir etwas dazu sagen? Christian Have CTO Logpoint: Als Technologe finde ich es toll, dass wir jetzt einen Partner haben, der Logpoint als eine Plattform sieht, um großartige Lösungen zu entwickeln. Unser neuer Partner ist Summa Equity. Sie kommen aus Nordeuropa und Skandinavien. Was mir an Summa gefällt, ist, dass sie einen europäischen Marktführer im Bereich Cybersicherheit aufbauen wollen. Sie haben diese Bedeutung also erkannt. Und dadurch, dass wir auf einer Plattform aufbauen, können wir eine Menge wirklich großartiger Funktionen auf den SIEM-Daten aufbauen, die in den letzten 12 bis 15 Jahren unser Hintergrund waren. Und natürlich ist es in dem derzeitigen makroökonomischen Klima ein bedeutendes Zeugnis, diese Anerkennung zu sehen und tatsächlich in der Lage zu sein, eine beträchtliche Summe an Investitionen aufzubringen. Und es geht um Cybersicherheit. Es geht nicht nur darum, die Entwicklung von Fähigkeiten fortzusetzen, sondern auch darum, andere europäische Start-ups, die hervorragende Arbeit leisten, zu übernehmen. Im Vergleich zu vor zehn Jahren ist der europäische Cybermarkt im Wachstum begriffen. Es gibt eine Menge Start-ups, die aufkommen. Natürlich ist es ein schwieriger Markt. Wenn wir also die besten der klügsten Köpfe hier in Europa zusammenbringen können, um tatsächlich etwas zu bewirken, wäre das großartig. Carolina Heyder: Ich danke Ihnen. Haben Sie vielleicht zum Abschluss dieses Gesprächs noch ein paar Best Practices oder Tipps für Unternehmen? Christian Have CTO Logpoint: Ich denke, ich würde sagen, dass man darüber nachdenken sollte, wie man Sicherheit demonstrieren kann. Und das ist beides, um Sicherheit zu demonstrieren. Wenn ich also sage, Sicherheit demonstrieren, wenn Sie heute ein Sicherheitsleiter sind, wenn Sie heute ein CSO sind und ein Sicherheitsteam haben, das an Technologien arbeitet, fragen Sie sie, wie können Sie beweisen, dass dies funktioniert? Und wenn Sie mit Ihrem Vorstand und der Geschäftsleitung sprechen, denken Sie darüber nach. Worüber macht sich die Geschäftsleitung dann Sorgen? NIS 2-Geldbußen, die auf der Titelseite erscheinen, wenn der Aktienkurs fällt, richtig. Wir müssen also in der Lage sein, ein effektiver Kommunikator zwischen den Leuten zu sein, die tagtäglich E-Mail-Phishing-Versuche abwehren, und den Bedenken des Vorstands, ob wir genug tun. Und was die „Don’ts“ angeht. Ich meine, lassen Sie sich nicht von Leuten wie mir blenden, die sagen, dass wir das absolut beste Produkt der Branche haben. Seien Sie kritisch bei den Sicherheits- und Technologieentscheidungen, die Sie treffen, und machen Sie sich die vollständigen Auswirkungen bewusst, denn die Entscheidungen, die Sie als Sicherheitsverantwortlicher treffen, können über das Wohl und Wehe des Unternehmens entscheiden, insbesondere in der heutigen Zeit, in der die Bedrohungslandschaft und die neuen Vorschriften in Kraft treten. Carolina Heyder: Wir sind uns also einig, dass wir heutzutage etwas für die Cybersicherheit tun müssen. Ich möchte mich bei dir, Christian, für die Tipps und die Einblicke bedanken. Es war ein interessantes und sehr ehrliches Gespräch. Und allen, die bei der Arbeit, zu Hause oder unterwegs sind, danke ich, dass sie bei uns waren. Und vergessen Sie bitte nicht, Ihr Unternehmen zu schützen und weiter zu innovieren. Auf Wiedersehen. | In an interview with Carolina Heyder, deputy editor-in-chief of Security Storage and Channel Germany, Christian Have, CTO Logpoint, talks in English about the upcoming EU regulations and what measures companies should take to comply with the new requirements. He also describes the current threat situation and that attackers are becoming more sophisticated. He talks about why it is a mistake to rely exclusively on non-European providers when it comes to security. Personal details: Christian Have, CTO Logpoint, has been with Logpoint for eleven years. He has filled his current position for three years. Previously, he worked at Devoteam, the Danish Police and Bispebjerg Hospital. He has studied at IT-Universitetet in København and MIT Sloan Executive Education. Click here to download the podcast: Here is the full transcription of the podcast: Welcome to the Security, Storage and Channel Podcast with Carolina Heyder Top quotes: Christian Have CTO Logpoint: Data Residency is a thing you can not necessarily place your data with a United States cloud provider. One of the things we are seeing now is that these hacker groups and these threat actors they have such a significant economic upside. We are seeing so many classical mistakes that we encountered in the old school IT industry. They are now being repeated in cloud environments. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Hello and welcome everyone to the Security Storage and Channel Germany podcast. Thank you so much for joining us. My name is Carolina Heyder. I am an editor and your host today. We are now reporting from Copenhagen at the ThinkIn conference 2023 of course. In this podcast episode we will talk about the threats and about cyber security in general. Because of Remote Working, the use of Multi-Cloud and other technologies the hackers are becoming more professional. Companies are more exposed than ever. I am very lucky to welcome an expert in cyber security with me today to show us how to address these threats. I would like to introduce our guest Christian Have. He is CTO at Logpoint. Welcome Christian! Christian Have CTO Logpoint: Thanks for having me. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: My pleasure. I would like to hear from you: How is the threat situation currently evolving? Christian Have CTO Logpoint: With cloud adoption going fast even here in Europe now we are seeing so many classical mistakes that we encountered in the old school IT industry. They are now being repeated in cloud environments. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: How so? Christian Have CTO Logpoint: For instance we have a customer that migrated to a cloud based HR platform. This was set up and everything was working as planned. They made a mistake on their on-premises solution: At a certain point of time they changed their authorization permissions which meant that every single employee had every privilege to the HR system. They could not see for how long data was accessed and if anyone actually abused it. They got to know about it because one of their employees noticed and said: Oh that does not look right. I have some buttons I should not have access to. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Of course. But how would you describe the current situation? Christian Have CTO Logpoint: I think from a perspective of what’s going on in the world right now, the sophistication of attacks is increasing. I think our CEO typically says that the cyber crime market, or let’s say the money generated in cyber crime, would be the third largest country in the world in terms of economic output. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Impressive. And it’s scary. Christian Have CTO Logpoint: And it just shows how significant it is. Maybe 15 years ago, you would say: This won’t hit us, so why would anyone attack us? Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: I am not important enough to be attacked. Christian Have CTO Logpoint: No, why would they care about me? I’m just providing water to a city in Bavaria or whatever. So one of the things that we’re seeing now is that these hacker groups and these threat actors, they have such a significant economic upside of attacking these networks that they’re becoming very sophisticated. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: They have money to do bad things. Christian Have CTO Logpoint: Exactly. But I think even more so than that, another thing we’re seeing is that there was this lawsuit by the United States State Department. And in that lawsuit, you could see the role descriptions of some of these attackers. They were revenue officers. They were support organizations. You had middle managers with KPIs. So even the attackers are now professionalizing, essentially optimizing for the most efficient way for them to do what they need to do. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: And why is the combination of SIEM and SOAR beneficial or important for companies these days? Christian Have CTO Logpoint: I think you hit a really important point with the word combination. SIEM and SOAR have existed as separate technologies for a long time. And one of the things that we’re seeing is that when you need to… SOAR is automation and orchestration. So orchestration is essentially getting the rest of your infrastructure to do what you needed to do with the little conductor and then the orchestra, getting everything to play nicely together. Getting stuff to play nicely together requires you to be close to the data. Where does the data live? In the SIEM. If you don’t understand the data, how can you automate? Well, you can, but it’s going to be a nightmare for you because you can end up terminating a business process that shuts down your entire facility, your plant or whatever. So being close to the data is central for SIEM and SOAR to work effectively. Efficiency is key. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Because you have to do a lot of things. A lot of things are going on these days and you have to orchestrate your systems, your application. It’s tough. Christian Have CTO Logpoint: I mean, Gartner came out with an analysis to say that the average IT team manages 70 IT security solutions, managing 70 solutions. And not only that, but each of them will have alerting, each of them will have reporting, each of them will see a little piece of essentially the big puzzle. But if you don’t have a single place to dump that information, parse it, understand it, make sense of it, figuring out the best way to increase security is going to be really, really, really difficult, almost impossible. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: And this is the reason why you’re offering your platform, right? Christian Have CTO Logpoint: We are seeing this pattern. And I mean, coming out of Europe as maybe a smaller vendor compared to some of the American companies, we had to from the very beginning to integrate with what the customers had. We could not go into a very large company and say, You need to replace everything with what we have just because we tell you to. So what we did is we co-existed with whatever was in there, which made us integrate and essentially change our methodology and how we looked at the customer’s networks, build a better data structure, build a better way to integrate these technologies to essentially work with what the customer already had. So this has been a born out of necessity, I guess, for us as an organization. But it essentially put us in a situation that is highly advantageous for us now because every organization needs to fuse all of these different key points together into that single point. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Christian Have CTO Logpoint: I think as a general hypothesis, as organizations, well, they need to mature their security operations. They need to mature how they automate and orchestrate. At the same time, and I know it’s a long winded answer, but essentially what these organizations need to do is they need to bridge together how they investigate and how they hunt for threats. So you’d have essentially these two sides of the coin. So either you’re investigating a specific breach, and if what you found is potentially to happen again, you say, Okay, let’s put this in the bucket of saying, eventually, I would like to automate this. If you’re threat hunting, let’s say you’re not necessarily breached or working on an incident, you’re typically going through your network or refining any signs of a potential breach happening. If you uncover something that’s meaningful, you can take that learning and say, okay, this is worthwhile automating as well. Typically, that’s our advice to getting started. It is looking at what you’re already doing today and seeing if we can somehow either help with our service or with the software itself to drive that automation. One of the pitfalls that many organizations are doing is that they go directly to, let’s say, the top of the mountain, the most But going all the way to the most sophisticated use case to begin with is rarely the right way to go. Typically, someone on the team will get disenfranchised, you will make mistakes, and you will lose the sponsorship or the buy in in the organization before you get any traction with the solution. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Of course. Some companies can do things by themselves, but others need help. Why should companies consider, for example, bring in an MSP for better security? Christian Have CTO Logpoint: I think there are a couple of different reasons. Mostly, I would say the skill shortage is a thing, right? If it’s 1 million or 2 million security specialists that we’re lacking in professionals, there’s just a lot. But regardless of essentially how that that that looks even if you can find the people and you can train them, you will have a hard time. Most companies will have a hard time retaining that talent. They will go somewhere else, somewhere more challenging, somewhere in new environment. So unless you have a security culture or a large, complex environment, that’s interesting for these young experts to work in, what you would typically find is that you’re probably better served at least for the 24 over seven stuff. Outsourcing that to someone who has the expertise, who has the muscle to do so. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: The people. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Of course. And on the other side, how exactly does Logpoint support MSPs? Christian Have CTO Logpoint: I think the one of the challenges for MSPs is that they have to demonstrate and prove to their customers how it works. You need to justify the invoice you’re sending. Right? So one of the things we do is we specifically for the MSPPs. We are licensing in a way where we grow with the MSSP, so there’s no massive upfront investment. As the MSSP gains traction, commercial traction, we will actually grow with the MSSP on the operational side and from a cyber perspective, MSSPs get access to our emerging threat protection that is our cutting edge security research team. They will get access to two experts. They will get access to a lot of that material. They can then transform into value for their and to their end customers. We have an entire part of the product that is tailored around optimizing and operating the large deployments that you will eventually end up having as an MSP, right. If you manage 100 customers, there’s a lot of portfolio management to deal with. And we actually have a product feature specifically designed for that, built with and for MSSPs. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: And you have a new product that you’re introducing here at the conference. Could you tell us more about it? What is new? What is better? Christian Have CTO Logpoint: So the new version of the product that came out or during the conference is what we call Logpoint 72. And this is the first version of the product that introduces case management systems. So previously we could, of course, surface an alert and we could show the analyst what to do. And we had SOAR playbooks and everything. But with case management in 72, we’re completely fusing together, alerts, the SIEM, the SOAR and our endpoint agent in a way that essentially creates a new home for the analyst and the product. Here I can see all of the observations. I can run my playbooks, I can run forensics on the workstations. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: So you get more visibility. Christian Have CTO Logpoint: Absolutely. You get that single pane of glass or single point where you can do everything. We’ve built up endpoint capability, so EDR, SOAR capabilities, SIEM capabilities, and now all of those capabilities have a home. In that case, management system. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Let’s move to Europe. Exactly. You are a European company. What do you think? Why are customers increasingly turning to European security providers? Christian Have CTO Logpoint: Geopolitically, it’s I think there is an old Chinese saying that may you live in interesting times. And I don’t think it’s a positive statement, essentially. And we are right now geopolitically in interesting times, there has been some uncertainty in Europe. Where do we have our US allies? Some political instability is maybe a strong word, but it has been different times for us. GDPR came about as well here in Europe, right where we saw, okay, this is going to be a problem. The Schrems 2 verdict says the data residency is a thing. You cannot necessarily place your data with a United States cloud provider, even though the data center is in Europe because of the US Cloud Act. The US Cloud Act says right now you need you can expect the US government to get access to the data. This is a driving concern for European customers. They are not allowed to do that and we’re seeing that significant inbound interest right now from companies in particular in Germany and France and now with ambition tornado from Sweden as well, saying, okay, this is a thing we need to be mindful of Europe. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: So do you think that GDPR is the main reason for customers to come to you now and not to other cyber security vendors? Christian Have CTO Logpoint: I think there is an overreliance on a single country’s solutions is a problem. I remember from my background in the Danish police, we typically sandwiched American, European. Before joining Logpoint I spent ten years as head of network security for the Danish police and in Danish health care. One of the things that that that that was awesome about joining Logpoint was I got a chance to build some of the solutions that I never had as a defender of network so coming from that customer side, going to the vendor side, I brought a decade of experience into that. But one of the things we did at the police was we would typically sandwich technologies from different geographical regions together so we could have some kind of insulation against potential breaches. And we’re seeing that as well. A reliance on US only technology, which, let’s face it, is what many companies end up having is just a concern. And with NIS 2 coming up, it’s very critical when it comes to data. You need to answer to your board. How are we dealing with this? So for sure. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Okay. And maybe in a few words, how can companies comply with the stricter EU critical infrastructure regulations? Christian Have CTO Logpoint: I think I would say from an outside perspective, the NIS 2 regulation and the new essentially the EU picking up on cyber and taking it seriously. If you follow what has always been best practice, you are in a good position. Some of the things that are new to many organisations, for NIS 2 is the reporting requirements you have within 24 hours you need to be raising a flag saying we have an issue. Then within 72 hours you need to be able to give precise, accurate reporting on what was breached. This is a significant amount of work that has to happen within a very short time. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: For many companies this is a challenge. Christian Have CTO Logpoint: Let’s face it, it’s almost going to be impossible. The other thing about NIS 2 that is going to be a game changer for how companies think security is not only defined because most companies have come to understand that you get fined when you get breached because of GDPR or similar type of fines. I don’t know if you can get fines from both GDPR and NIS 2 but that would be a headache if you could, I guess. But I would say more importantly is that in NIS 2 your board of directors and senior management can be held liable for breaches. So I think this shows a determination from legislators to take this way more seriously. And then the final part is NIS 2 define critical sectors. In each of these sectors, you will have a computer incident response teams that are nationally owned. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: You mean like health care and energy, transportation. Christian Have CTO Logpoint: All of these will have what you call C certs associated. You have to interact with the C certs. So many organizations that will be deemed sector critical, they will now have to both provide and use that information that comes, which again ties back to that integrate, orchestrate, work with the data that you get not only from your own company, but you’re now legally obligated to do from the outside. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Talking a little bit about the present and also the future. You raised fresh money, you have a new investor. Could you tell me something about it? Christian Have CTO Logpoint: So I think as a technologist, I love the fact that we now have a partner that sees Logpoint as a as a platform to build great solutions. So our new partner is Summa equity. They’re Northern European and Scandinavian. And one of the things that I like about Summa is that they want to build a European category leader in cybersecurity. So they recognize this importance. And by being built on a on a platform play, we can build a lot of really awesome features on top of that SIEM data that has been our background for the last 12 to 15 years. And of course in the current macroeconomic climate, seeing that recognition and actually being able to raise a significant amount of investment, it just is a significant testament. And it’s cybersecurity. It’s both for continuing the development of capabilities, but also going out and acquiring other European startups that are doing excellent things. There is a compared to ten years ago, the European cyber market is growing. There are a lot of startups coming up. Of course, it’s challenging market. So if we can bring the best of the brightest minds here in Europe together to actually make an impact, it would be amazing to do so. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: Thank you. Maybe to wrap up this this talk, do you have some best practices or tips for companies? Christian Have CTO Logpoint: I think I would say as do’s and don’ts, you should think about how you can demonstrate security. And this is both to demonstrate security. So when I say demonstrate security if you’re a security leader today, if you’re a CSO today and you have a security team that’s working on technologies, ask them, how can you prove that this works? And when you talk to your board and senior management, you think about it. What is senior management worried about then? NIS 2 fines getting in on the front page share price going down if they’re down, Right. So being able to be an effective communicator between the guys that are stopping email phishing attempts every single day and back to that boardroom concern about are we doing enough? And on the don’ts side. I mean don’t get don’t get blinded by people like me coming up and saying we have the absolute best product in the industry. Be critical about so be critical about the security and technology choices you make and understand the complete implications of doing so, because essentially the decisions you take as a security leader can make or break the company, in particular in the times we’re in now with the threat landscape and the regulations coming up. Carolina Heyder Deputy Editor-in-Chief of Security Storage and Channel Germany: So we agree we need to do something about cyber security these days. I like to thank you, Christian, for the tips and the insights. It was an interesting and very honest talk. And to all of you at work, at home or on the road, thank you for joining us. And please don’t forget to protect your organization, to keep innovating. Goodbye. |
Carolina Heyder ist Chefredakteurin Security Storage und Channel Germany sowie freiberufliche IT-Fachjournalistin und Moderatorin. Sie verfügt über langjährige Erfahrung in renommierten Verlagshäusern wie WEKA-Fachmedien, Springer und Aspencore. Ob Text fürs Web oder Print, Audio oder Video. Am Laptop, vor dem Mikrofon oder der Kamera. Ob in Deutsch, Englisch oder Spanisch, Carolina Heyder ist in der IT-Welt Zuhause. Ihre Themenschwerpunkte sind Cybersecurity, Digitale Transformation, Nachhaltigkeit, Storage u. a.
Carolina Heyder is Editor-in-Chief of Security Storage and Channel Germany as well as a freelance IT journalist and presenter. She has many years of experience at renowned publishing houses such as WEKA-Fachmedien, Springer and Aspencore. Whether text for the web or print, audio or video. On the laptop, in front of the microphone or the camera. Whether in German, English or Spanish, Carolina Heyder is at home in the IT world. Her main topics are cybersecurity, digital transformation, sustainability, storage and others.
Kontakt – Contact via Mail: carolina.heyder@security-storage-und-channel-germany.com