"Komplexität ist die grösste Schwierigkeit für Firmen"

Bremtane Moudjeb
Bremtane Moudjeb, Security-Chef von Cisco Schweiz, im Gespräch über Schwachstellen, Vertrauen, Backdoors und Edward Snowden.
 
Bei seinen Partnern und auch seinen Angestellten ist Cisco in der Schweiz beliebt, wie etwa ein Blick auf die Rangliste "Great Place to Work" nahelegt. Geht es allerdings um Belange der Security scheiden sich die Geister am Netzwerkkonzern: Hoch getaktet werden kritische Schwachstellen in Cisco-Produkten publik. Seit 2000 wurde im Schnitt fast jeden zweiten Tag eine Vulnerability in einem Cisco-Produkt entdeckt, wie aus den hauseigenen Cisco Security Advisories hervorgeht. Auch wurden immer wieder Stimmen laut, die Backdoors für die amerikanische Regierung in den Produkten des US-Konzerns vermuten.
 
Was steckt tatsächlich hinter den Vorwürfen? Welches sind die Herausforderungen moderner Security im Netzwerk? Und wie reagiert Cisco auf die Probleme und Vorhaltungen? Wir haben mit Bremtane Moudjeb von Cisco Schweiz über Sicherheits-Fragen gesprochen. Der Mann kennt sich aus, ist er doch Chef der Cyber-Security-Organisation bei Cisco Schweiz. Der System-Ingenieur arbeitet seit fast elf Jahren bei Cisco und verantwortet die Leitung des Cyber-Security-Teams seit Oktober 2016.
 
Im Zuge der letzten Quartalszahlen meldete Cisco auch ein starkes Wachstum im Bereich Security: Im Jahresvergleich setzt der Konzern 21 Prozent mehr um, nämlich 707 Millionen Dollar, was allerdings auch auf die Übernahme von Duo Security im letzten August zurückgeht.
 
"Sicherheit ist in unserem gesamten Portfolio von grundlegender Bedeutung und bildet die Grundlage für alles, was wir bei Cisco tun. Unsere Strategie ist es, die Sicherheitseffizienz durch einen architektonischen Ansatz zu vereinfachen und zu erhöhen", sagte Ciscos CEO Chuck Robbins bei der Veröffentlichung der letzten Geschäftszahlen.
 
"Wir haben das grösste Cyber-Security-Netzwerk"
Auch der Schweizer Security-Chef argumentiert in eine ähnliche Richtung: "Komplexität ist die grösste Schwierigkeit für Firmen". Viele Unternehmen würde nach wie vor auf zu viele Anbieter setzen, so Moudjeb. Der Trend ist zwar rückläufig, wie aus einer aktuellen Studie von Cisco hervorgeht, aber immer noch setzen weltweit fast 40 Prozent der Firmen auf elf oder mehr Anbieter.
 
Cisco biete die passende Antwort auf die vielfältigen Gefahren, wie Moudjeb betont, der auch als Sales-Chef des Security-Bereichs von Cisco Schweiz amtet. Von der Firewall über die Malware-Erkennung bis zu Web-Scanning und E-Mail-Security reicht die Palette. Zudem hat das Unternehmen in der Schweiz kürzlich eine Cyber-Security Academy angekündigt. Das Bewusstsein für Cyber-Sicherheit nehme in der Schweiz zu, ist sich dann auch Moudjeb sicher. "Aber es existiert immer noch einen Mangel an Awareness im Markt", gibt er zu bedenken.
 
Der Trend zu hybriden und Multicloud-Umgebungen dürfte in Sachen Komplexität nicht gerade zu Entspannung führen. Seitens Cisco hält man auch dafür eine Antwort parat: ein Architekturansatz in Kombination mit Cisco Talos, der Security Intelligence and Research Group des Netzwerk-Spezialisten. Die Abteilung mit rund 300 Forschern unterhalte immerhin eines der grössten Netzwerke zur Threat-Erkennung ausserhalb staatlicher Strukturen, hält Moudjeb fest. Schon heute würden rund 20 Milliarden Threats pro Tag von der Organisation abgewehrt und etwa 1,5 Millionen Malware-Samples entdeckt.
 
Sichtbarkeit von Bedrohungen ist für Cisco neben der Reduktion von Komplexität und Incident-Response einer der drei Haupt-Komponenten der Security-Strategie. Und der Hersteller sieht sich hier im Vorteil: Mit dem Netzwerk habe man nämlich zugleich den grössten Sensor für das Erspähen von Bedrohungen unter seiner Kontrolle, betont Moudjeb.
 
Lücken, Löcher, patchen, patchen
Doch wie sieht es mit der Sicherheit der Cisco-Produkte selbst aus? Lücken und Schwachstellen sind nur schwer zu vermeiden. Das Portfolio von Cisco ist kaum überschaubar und seit der Gründung 1984 hat das Unternehmen über 200 Firmen gekauft.
 
Darauf angesprochen besteht Moudjeb darauf, dass man "Vulnerability" erstmal klar definiert: Und zwar als eine unbeabsichtigte Schwachstelle, die es einem Angreifer ermöglichen könnte, die Integrität, Verfügbarkeit oder Vertraulichkeit des Produkts zu beeinträchtigen. Im Umgang mit Schwachstellen gelte für Cisco vor allem Transparenz und zugleich Verantwortlichkeit für die Produkte.
 
Dafür hat man bei Cisco die Trust-Organisation eingerichtet. Sie soll für die Sicherheit und Vertrauenswürdigkeit der Produkte vom Design bis zum Ende des Lifecycles verantwortlich zeichnen. Zudem sorgt das Product Security Incident Response Team (PSIRT) dafür, dass entdeckte Schwachstellen sowie Workarounds oder Fixes dazu veröffentlicht werden, inklusive für 3rd Party Software-Komponenten. Mehr noch verspricht man von Seiten Cisco: Die Supply-Chain solle ebenfalls vertrauenswürdig sein, indem man etwa transparent mache, wenn Drittanbieter-Elemente einfliessen.
 
Das klingt alles sehr gut, nur hört man hier und da Klagen, dass der Prozess von der Entdeckung einer Lücke bis zur Behebung lang daure. So wurde Ende März eine kritische Schwachstelle in IP-Phones und Switches publiziert. Die Lücken wurden bereits Mitte 2018 an Cisco übermittelt, wie das Schweizer IT-Unternehmen Modzero dokumentiert hat, also rund drei Viertel Jahre zuvor. Allerdings gelangten die Security-Spezialisten aus Winterthur selber erst im November an das PSIRT, wie sie einräumen.
 
Darauf verweist auch Moudjeb: "Die offizielle Meldung ist erst am 21. November beim PSIRT eingetroffen. Das Team hat bereits am gleichen Tag geantwortet und die Arbeit an einem Patch aufgenommen". Die Arbeit und die Tests würden ihre Zeit benötigen. Der Security-Mann weist zugleich auf ein bekanntes Problem hin und damit einen Teil der Verantwortung an die Anwenderfirmen weiter: Eines der grössten Probleme sei, dass die Patches von vielen Unternehmen nicht aufgespielt werden – und zwar teilweise über Jahre.
 
Edward Snowden und der offizielle Cisco-Protest
"Finstere geheime Hintertür in Netzwerkgeräten gefunden, die perfekt für die Regierungsspionage geeignet ist", titelte 'The Register' erste Anfang Mai wieder. Und ergänzte sarkastisch: "Die Chinesen sind… Oh nein, warte, es ist wiedermal Cisco". Damit griff das Tech-Medium einen bekannten Vorwurf auf. Seit Jahren werden Stimmen laut, die Regierungs-Backdoors in Cisco-Produkten vermuten. Und zwar bei weitem nicht nur von Verschwörungstheoretikern, sondern auch von Security-Forschern.
 
Fahrt nahm die Diskussion etwa im Mai 2014 auf, als Eduard Snowden mit seinen Erkenntnissen an die Öffentlichkeit ging. Die Quelle all der Gerüchte damals sei aber lediglich ein Foto, das Cisco-Geräte bei der NSA gezeigt habe, hält Judit Sinko, Communications Manager Cisco, im Gespräch fest. Die Bildunterschrift lautete damals: "Abgefangene Pakete werden sorgfältig geöffnet." Das Foto mit den Cisco-Devices ging um die Welt.
 
Der damalige CEO John Chambers habe daraufhin einen offenen Brief an Präsident Barack Obama geschickt, in dem er erklärte, dass Cisco so nicht arbeiten könne. Zudem habe er festgehalten, dass Internet-Sicherheit für die IT-Industrie lebenswichtig sei. "Cisco hat seine Stimme erhoben", folgert Sinko. Man habe nie mit Regierungen zusammengearbeitet, um Backdoors zu implementieren.
 
Zudem habe man die Transparenz-Bestrebungen seither nochmals verstärkt, ergänzt Moudjeb. Man halte sich an die globalen Sicherheitsstandards, erst dies ermögliche es schliesslich, dass man auch Hardware an China oder Russland ausliefere. In der Schweiz stehe zudem eines von zwei Transparenz-Zentren weltweit, in denen sogenannte Technology Verification Services angeboten werden. Ähnlich wie bei Kaspersky könne man hier Einsicht in den Quellcode von Cisco-Produkten nehmen.
 
Dies runde den Ansatz von Cisco in Sachen Security ab, erklärt Moujdeb und resümiert: "Das Endziel von Cyber-Security ist Vertrauen". (Thomas Schwendener)