So bleibt Trellix in Sachen Sicherheit an der Spitze

Clarke Rodgers (00:10):
Martin, vielen Dank, dass Sie sich heute mit mir treffen.

Martin Holste (00:12):
Gerne. Freut mich, hier zu sein.

Clarke Rodgers (00:13):
Bitte erzählen Sie mir ein wenig über Ihren Hintergrund und wie Sie zu Trellix gekommen sind.

Martin Holste (00:16):
Bei Trellix bin ich CTO for Cloud und kümmere mich auch um unsere neuen Technologien, einschließlich KI.

Also, ich habe 7 Jahre lang ein Security Operations Center für den US-Bundesstaat Wisconsin geleitet. In meiner Zeit dort habe ich eine Menge über Dinge wie erweiterte persistente Bedrohungen auf die harte Tour gelernt – und zwar, weil wir die Bedrohungen gefunden haben.

Clarke Rodgers (00:34):
Richtig.

Martin Holste (00:35):
Und das war ganz schön aufregend. Von dort ging ich zu Mandiant, und seitdem war es ein wilder Ritt. Wir wurden von FireEye übernommen, und ich habe dort viel über die Cloud gelernt. Und dann fusionierten wir mit Trellix. Das war ein echtes Abenteuer, aber auch ein großes Vergnügen.

Clarke Rodgers (00:49):
Sie sind also schon seit geraumer Zeit im Bereich Cybersicherheit tätig. Wie haben Sie die Entwicklung der Cybersicherheit aus geschäftlicher Sicht gesehen? Wir machen oft Witze darüber, dass wir das Sicherheitsteam so lange im Keller lassen, bis etwas Schlimmes passiert, und dann brauchen wir es ganz dringend, um etwas gegen die Bedrohung zu unternehmen. Aber jetzt haben wir CISOs. Das sind echte Unternehmenslenker und sie berichten direkt an den Vorstand. Können Sie uns etwas über die Veränderungen erzählen, die Sie beobachtet haben?

Martin Holste (01:14):
Ja, Veränderungen habe ich sowohl intern als auch direkt bei der Zusammenarbeit mit Kunden gesehen. Mir ist aufgefallen, dass der bzw. die CISO jetzt in der Regel direkt mit dem Vorstand spricht, denn der Vorstand will Berichte direkt aus erster Hand erhalten. Der Vorstand will genau wissen, was sich zu jedem Zeitpunkt im Unternehmen abspielt. Das ist etwas, das sich sicherlich im Lauf der letzten 5 Jahre geändert hat, würde ich sagen. Davor entsprach die Rolle des CISO eher einer IT-Funktion – also eher einer CIO-Berichtsstruktur. Meiner Meinung nach ist das tatsächlich ein Hinweis darauf, wie sich diese Landschaft im Laufe der Jahre verändert hat.

Clarke Rodgers (01:42):
Sie verfügen also über fundierte Fachkenntnisse im Bereich Security Operation Centers (SOC). Welches sind einige der Best Practices, mit denen Burnouts bei SOC-Analysten verhindert werden können?

Martin Holste (01:54):
Das ist wirklich ein wichtiges Thema. Wenn wir uns die Qualifikationslücke in den Unternehmen ansehen, kann man es sich nicht leisten, gute Leute zu verlieren. Besonders wichtig ist es also, so viel Automatisierung wie möglich einzusetzen, damit die Spezialisten nicht die langweiligen Sachen machen müssen.

Und das bedeutet, dass die Mitarbeitenden so viel wie möglich mit anderen Menschen sprechen müssen, insbesondere bei Vorfällen, an denen sie gerade arbeiten oder ähnlichem, oder bei Investitionsentscheidungen, denn es muss sichergestellt werden, dass alles miteinander verbunden ist, damit der Gesamtüberblick über das Unternehmen dauerhaft gewährleistet ist.

Clarke Rodgers (02:21):
Und wenn wir uns vom SOC wegbewegen, uns also von einem größeren Sicherheitsteam verabschieden, ist es heutzutage, wie Sie wissen, trotzdem schwierig, qualifizierte Sicherheitsexperten zu finden und ans Unternehmen zu binden. Was tun Sie bei Trellix, um die Entwicklung einer solchen Sicherheitskultur zu unterstützen und dafür zu sorgen, dass sich jeder einzelne Entwickler und jede einzelne Entwicklerin beim Schreiben von Code tatsächlich um die Sicherheit kümmert?

Martin Holste (02:43):
Sicherheit liegt in der Verantwortung aller – das ist ganz fest in unserer gesamten Unternehmenskultur verankert. Es ist nicht leicht, die Sicherheit außer Acht zu lassen, wenn man im Unternehmen jeden Tag gegen Bösewichte kämpft. Deshalb fängt man irgendwann selbst an, ein bisschen wie ein Bösewicht zu denken. Und selbst auf Entwicklerebene versuchen wir sicherzustellen, dass die Entwicklungsteams verstehen, wie unsere Produkte funktionieren und wie wichtig sie für die Kunden sind. Und dann bauen wir einfach Dinge wie Transparenz von Anfang an ein, um sicher sein zu können, dass wir eine starke Sicherheitsstruktur aufbauen.

Clarke Rodgers (03:06):
Und gibt es dann irgendwelche Mechanismen oder Best Practices, die Sie bei Nicht-Sicherheitsexperten anwenden, um sicherzustellen, dass die Sicherheitsmaßnahmen sie nicht wie ein Hammer erschlägt, sondern Sie weisen sie vielleicht eher auf die sanfte Tour darauf hin, wie etwa: „Hey, das hätten Sie besser machen können“ – also eher mit einer Coaching-Mentalität?

Martin Holste (03:20):
Deshalb gibt es bei uns eine Reihe von Schulungsprogrammen, an denen alle unsere Mitarbeitenden teilnehmen. Und außerdem sind wir als Sicherheitsfirma sowieso die ganze Zeit an vorderster Front. Sicherheit ist also wirklich ein fester Bestandteil unserer Unternehmenskultur. Unabhängig davon, ob wir mit Mitarbeitenden im Vertrieb oder in der Buchhaltung sprechen, es geht immer um Sicherheit. Deshalb sorgen wir dafür, dass wir alle zusammen immer an vorderster Front dabei sind, das ist oberstes Gebot.

Clarke Rodgers (03:44):
Wenn Sie mit Kunden über Themen wie Multi-Cloud sprechen und darüber, wie mehrere Workloads in mehreren Clouds gesichert werden können, welche Ratschläge geben Sie ihnen?

Martin Holste (03:55):
Komplexität ist der Feind der Sicherheit. Zuallererst gilt es also, sicherzustellen, dass die Unternehmensabläufe so einfach wie möglich sind. Und im Allgemeinen hilft es der Einfachheit, so wenig Clouds wie möglich zu haben. Wenn es mehrere Clouds gibt, empfehle ich in der Regel, eine davon als primäre Cloud zu behandeln und die anderen im Wesentlichen als eine Art On-Premise-Version oder Rechenzentrum zu betreiben. Auf diese Weise lassen sich Unternehmensabläufe weitgehend vereinfachen, unabhängig davon, ob es sich um eine Cloud oder nicht um eine Cloud handelt.

Clarke Rodgers (04:21):
Ein weiteres aktuelles Thema ist also die generative KI. Wenn ich mit Kunden spreche und ich mir vorstelle, dass deren Geschichte so ähnlich aussieht wie Ihre, gibt es im Grunde nur zwei Standpunkte. Erstens: Wir können das gesamte Potenzial in den Unternehmen aus einer positiven, geschäftlichen Perspektive betrachten. Und zweitens: Wir können das gesamte Potenzial in den Unternehmen aus einer böswilligen und aus der Perspektive eines Angreifers betrachten. Was ist Ihre Sicht auf generative KI und wo wird sie uns Ihrer Meinung nach hinführen?

Martin Holste (04:47):
Aus unternehmerischer Sicht müssen wir damit beginnen, generative KI einzusetzen, oder wir fallen im Wettbewerb zurück. Als CISO müssen Sie also einen Weg finden, Ihren Mitarbeitenden die Möglichkeit zu geben, produktiv zu sein, aber immer mit der Sicherheit im Blick. Das bedeutet also, dass Sie Kontrollen und Richtlinien benötigen, um ihnen dies zu ermöglichen und sie und das Unternehmen beim Einsatz generativer KI zu schützen.

Clarke Rodgers (05:05):
Nutzen zurzeit alle Mitarbeitenden bei Trellix generative KI?

Martin Holste (05:08):
Ja, ich bin ein großer Befürworter des möglichst umfangreichen Einsatzes generativer KI im Standardgeschäft. Deshalb führen wir intern viele Mitarbeiterschulungen zur Verwendung verschiedener Arten von KI durch, damit wir produktiver arbeiten können. Daher verfügen wir auch über Kontrollen, um sicherzustellen, dass es unseren Mitarbeitenden unmöglich ist, versehentlich etwas zu kopieren und an einer falschen Stelle wieder einzufügen.

Clarke Rodgers (05:29):
Fantastisch. Zero Trust ist ein weiteres heißes Eisen, stimmt‘s? Ein Teil der Herausforderungen von Zero Trust ist es, dass es für mich etwas anderes bedeuten kann als für Sie. Was ist Ihre Meinung zu Zero Trust?

Martin Holste (05:38):
Gerne. Es gibt zwei Blickwinkel. Aus unserer Sicht betrachten wir Zero Trust von einem Endpunkt aus – das heißt, wir stellen uns die Frage, ist dieser Endpunkt vertrauenswürdig? Ja oder nein? Und eines der interessanten Dinge, die in den letzten Jahren mit der Einführung von AWS Verified Access passiert sind, ist, dass man jetzt eine Richtlinie auf der Cloud-Seite schreiben kann, die eine Schnittstelle zum Endpunkt hat. Das war also ein großer Wandel in der Branche, und ich denke, es ist wirklich wichtig für Kunden von AWS und auch für unsere Kunden, zu verstehen, wie das zusammenpasst.

Clarke Rodgers (06:03):
Martin, vielen Dank, dass Sie sich heute Zeit für unser Gespräch genommen haben.

Martin Holste (06:06):
Es war mir ein Vergnügen.