WithSecure-CEO Juhani Hintikka: Industriespionage schlimmer als Cyberangriffe

• Kriminelle Unicorns verdienen mit Ransomware viel Geld, sagt Hintikka. Mit KI-gestützten Angriffen bereiteten sie ein neues Geschäftsfeld vor.
• Der CISO muss im Unternehmen einen größeren Einfluss haben, so der CEO – gerne auch als Vorstandsmitglied.
• Wer glaubt, dass seine Daten in der Cloud sicher sind, sollte noch einmal nachdenken.

Foto: WithSecure

Das finnische Unternehmen F-Secure ist in Deutschland gut bekannt. Im Sommer 2022 haben Sie die Business-Sparte unter dem Namen WithSecure abgespalten. Warum dieser Schritt? Den Namen kennt doch niemand…

Juhani Hintikka: Vielleicht darf ich dazu auf einen aktuellen Artikel des finnischen Magazins “Business Weekly” hinweisen, das eine Liste der bekanntesten Unternehmen im Lande veröffentlicht hat. WithSecure hat es schon auf Platz sechs geschafft. Der Name wird also recht schnell bekannt.

Finnland ist ja auch ein Land von überschaubarer Größe…

Hintikka: Da haben Sie Recht, in Deutschland kommt da mehr Arbeit auf uns zu. Seit dem 1. Juli 2022 werden wir als zwei voneinander unabhängige börsennotierte Unternehmen an der Nordic Nasdaq gehandelt. F-Secure wurde schon vor ungefähr 30 Jahren gegründet und ist seit etwa 20 Jahren börsennotiert. Man kann schon sagen, dass wir zu den Pionieren im Bereich Cybersicherheit gehören. Trotzdem haben wir uns zu einem De-Merger entschieden – so heißt der technische Begriff dafür.

Wir haben die Zeit reif dafür gehalten, den nächsten Schritt in der Entwicklung des Unternehmens zu gehen. Beide Geschäftsbereiche, Corporate und Consumer, hatten die kritische Masse erreicht, um selbständig zu agieren. Der Umsatz belief sich auf jeweils über 100 Millionen Euro jährlich. Wenn man klein ist, will man alle Synergien nutzen, die sich anbieten. Wird man aber größer, gibt es Vorteile, die eher in der Fokussierung liegen.

“Aufteilung hilft uns zu fokussieren”

Welche Probleme hatten sich denn daraus ergeben, dass Sie Enterprise- und Privatkunden aus einer Organisation heraus bedienen mussten?

Hintikka: Es gab auf der einen Seite die Privatkunden, sie sich um ihre Sicherheit und ihren Datenschutz sorgen, auf der anderen Seite die großen Konzerne, darunter sechs der weltweit größten Banken, die wir schützen mussten. Diese beiden Welten unter einen Schirm zu bringen, wurde schwierig. Also haben wir uns gefragt: Wie können wir schneller und besser liefern und unsere unterschiedlichen Zielgruppen möglichst passgenau ansprechen? Da hat uns die Aufteilung geholfen. Auch in der internen Kommunikation fällt es uns heute leichter unseren Mitarbeitern klarzumachen, welche Ziele wir verfolgen.

Welche ersten Auswirkungen der Teilung erkennen Sie?

Hintikka: Wir haben aus einem Unternehmen zwei gemacht mit unterschiedlichen Firmenprofilen. Das Consumer-Geschäft bei F-Secure ist gut entwickelt, dort unterhalten wir Partnerschaften mit über 170 verschiedenen Service-Providern weltweit. Die Ebitda-Marge liegt bei über 40 Prozent. Auf der anderen Seite haben wir WithSecure mit dem Fokus auf Unternehmen, das sich noch im Aufbau befindet und momentan stark in Technologie sowie in Marketing und Vertrieb investiert. Die Geschäftsergebnisse werden besser, die Wachstumsperspektiven sind sehr gut. Im Vergleich zum Consumer-Business herrscht im Enterprise-Geschäft eine viel größere Dynamik.

Lässt sich im Consumer-Geschäft auf lange Sicht überhaupt noch Geld verdienen? Unternehmen wie Microsoft, Apple und andere OEMs nehmen dieses Geschäft ja zunehmend selbst in die Hand. Vielleicht gibt es für ein Firmen wie F-Secure hier auf Dauer keine Wachstumsperspektive mehr?

Hintikka: Ich kann natürlich nicht für F-Secure sprechen, aber eines kann ich Ihnen versichern: IT-Sicherheit im Privatkundenumfeld ist keinesfalls ein sterbendes Geschäft. Dieser Markt wächst weiter, und weil F-Secure seine Lösungen überwiegend in die Anwendungen der Service-Provider integriert hat und ihnen hilft, ein eigenes Business aufzubauen, ist und bleibt die Verbreitung hoch.

Sicher, es hat schon eine Marktkonsolidierung gegeben im Privatkunden-Geschäft, dafür waren aber eher einige Akquisitionen amerikanischer Firmen und Beteiligungsgesellschaften verantwortlich. Es ist nicht so, dass Microsoft und Co. hier Marktanteile gewonnen hätten.

Mit Services zum Erfolg

Reden wir also über WithSecure: Sie sind zu klein, um mit Ihrem Portfolio Kunden rundum zu bedienen. Wo setzen Sie den Fokus?

Hintikka: Da haben Sie Recht, es gibt nur wenige Unternehmen, die mit ihren Produkten wirklich den gesamten Unternehmenssektor abdecken können. Allerdings wissen unsere Kunden das, sie sind daran gewöhnt, mit verschiedenen Cybersicherheits-Anbietern zusammenzuarbeiten. Wir haben eine Produktplattform namens Elements entwickelt und vor gut einem Jahr herausgebracht. Da stehen Endpoint-Security, Patch- und Schwachstellen-Management im Vordergrund. Das ist sehr erfolgreich, wir haben eine Reihe von nützlichen Funktionen eingebaut und ein User-Interface, das bei unseren Kunden gut ankommt.

Reicht das, um sich zu differenzieren?

Hintikka: Ausschlaggebend für den Erfolg ist aus meiner Sicht, dass wir auch Services integrieren. Die meisten Player in unserem Markt tun entweder das eine oder das andere, wir machen beides. Glauben Sie mir: Wenn man nur Produkte hat, aber auf der Serviceseite schwach aufgestellt ist, wird es schwierig, den Kunden glücklich zu machen. Irgendwann kommt in den sich schnell verändernden Umgebungen immer der Punkt, an dem der Kunde Support und Services braucht. Das differenziert uns von den Wettbewerbern.

Um nochmal auf unser Portfolio zurückzukommen: Wir bieten zu unserem Softwareportfolio Beratungsleistungen und Managed Detection and Response. Die Beratung macht ungefähr ein Drittel unserer Umsätze aus und steht im Herzen unseres Servicegeschäfts. Dort haben wir uns vor allem auf die Unterstützung schwieriger Fälle konzentriert. Dafür haben wir Experten, sie nennen sich gerne selbst die “weltbesten Hacker”, sie denken wie Angreifer. Diese Leute sehen auch genau, welche neuen Bedrohungen aufkommen und wohin der Markt geht. Dieses Wissen ist übrigens auch ein wichtiger Input für unsere Produktentwicklung.

Unsere Consultants sprechen meistens mit dem CIO oder jemandem aus seinem Bereich. Sie erledigen auch Dinge, die aufgrund regulatorischer Anforderungen zu tun sind: für Banken etwa das Pen-Testing und das Web-Testing. Sie haben aber auch eine Menge andere Aufgaben. Aus Kundensicht geht es darum, die Verteidigung gut aufzubauen. Red-Teaming ist auch ein Thema. Oft läuft es so, dass wir den Kunden ein Produkt verkaufen, mit dem sie zufrieden sind, und wenn dann auch noch die Ansprechpartner kompetent sind, ist die Tür offen für weitere Gespräche. Über unsere personelle Unterstützung in Bereichen wie Incident Response oder Managed Detection & Response können wir dann unsere Plattform dort platzieren.

Foto: WithSecure

Konkurrieren Sie mit klassischen IT-Service-Anbietern wie Accenture?

Hintikka: Nicht direkt. Die reden eher auf einem strategischen Level mit den CIOs. Wir kommen als Techniker in die Unternehmen. Wir sind manchmal auch Subunternehmer der großen Beratungshäuser, aber meistens stehen wir im direkten Kontakt zu unseren Kunden.

Sie haben gesagt, dass Sie nur einen Ausschnitt dessen bieten, was Ihre Kunden benötigen. Arbeiten sie mit anderen zusammen, wenn Kunden eine weitreichende, vollständige Lösung möchten?

Hintikka: Das hängt stark von dem Problem ab, über das wir reden. Wenn es um Endpoint Security oder Managed Detection & Response geht, das vielleicht mit irgendwelchen Cloud-Möglichkeiten kombiniert werden soll, dann können wir das mit unserer modularen Produktplattform allein. Es gibt aber auch Fälle, in denen wir mit anderen zusammenarbeiten.

Industriespionage wird zum wichtigsten Thema

Lassen Sie uns über die gegenwärtige Bedrohungslandschaft reden. Mit dem Ukraine-Krieg hat sich die Sicherheitssituation zugespitzt. Lauern die größten Gefahren momentan in Russland oder doch eher in China oder dem Iran?

Hintikka: Die geopolitische Situation und der Krieg in der Ukraine beschäftigt natürlich alle. Es ist traurig, dass erst ein Krieg stattfinden muss, um uns alle aufzuwecken. Wenn ich auf die verschiedenen Konferenzen zurückblicke, die ich in den vergangenen drei bis vier Monaten besucht habe, dann waren da oft Leute aus der Ukraine dabei, die erklärt haben, wie sie ihre Cyberabwehr orchestrieren. Sehr professionell und eindrucksvoll, übrigens.

Wenn man aus einem EU-Land wie Finnland kommt mit einer langen gemeinsamen Grenze mit Russland, dann würde man vielleicht erwarten, dass Finnland im Fokus der Cyberangriffe stünde. Das sehen wir aber momentan nicht. Die Russen scheinen damit beschäftigt zu sein, ihren Krieg in der Ukraine zu kämpfen. Sehr viel akuter ist derzeit aus unserer Sicht das Thema Industriespionage, vor allem in den USA wächst die Bedrohung aus China.

In Deutschland beobachten wir seit Jahren sehr viele Ransomware-Angriffe.

Hintikka: Das hat in der Tat enorm zugenommen. Das Thema ist nicht neu, da stecken Organisationen mit einem kriminellen Geschäftsmodell dahinter. Der Bitcoin hat diesen Gruppen ein Zahlungsmittel gegeben, das kaum verfolgt werden kann. Es gibt schon richtige kriminelle Unicorns, Startups also, die mit Erpressersoftware viel Geld verdient haben. Die Frage ist: Wo investieren die ihre Kryptogelder als nächstes?

Diese kriminellen Unternehmen orientieren sich an ganz normalen ökonomischen Aspekten: Wo müssen wir als nächstes investieren, um den bestmöglichen Return on Invest zu erzielen? Ich schätze, wir werden schon bald im großen Stil KI-gestützte Angriffe sehen. Künstliche Intelligenz wurde bisher vor allem von den Verteidigern genutzt, aber das dürfte sich nun ändern. Die finanziellen Mittel dafür sind vorhanden. Das ist besorgniserregend.

Haben wir in Europa ausreichende Mechanismen, um unser Wissen über erfolgreiche Angriffe und Angriffsmuster zu teilen?

Hintikka: Einiges gibt es hier schon, börsennotierte Unternehmen sind ja verpflichtet, über Angriffe zu berichten. Was wir bisher zu wenig tun, ist uns klarzumachen, dass Cybersecurity ein Teil des übergeordneten Risiko-Managements in den Unternehmen ist und keine reine IT-Disziplin. Solange Cybersecurity der IT zugeschlagen wird, stellen Unternehmen einen zu kleinen Anteil ihres Budgets dafür ab. Das ist nicht logisch.

Ransomware-Angriffe können existenzbedrohende Ausmaße annehmen. Jemand bricht in meine Systeme ein und verschlüsselt die Festplatten: Wenn ich dann kein gut organisiertes und ausreichendes Backup habe, ist mein Geschäft vorbei.

Wie sollten Unternehmen vorgehen, wenn Sie Cybersicherheit im Risiko-Management aufhängen wollen?

Hintikka: Ich denke, die unabhängigen Aufsichtsräte, die es zumindest in börsennotierten Unternehmen gibt, sollten sich mit Cybersicherheit als Bestandteil des Enterprise Risk Management beschäftigen. Sie haben die Verpflichtung, sich um das Unternehmen insgesamt zu kümmern. Deshalb müssen sie sich mit der Frage beschäftigen, wie die Cybersicherheit im Unternehmen organisiert ist und wie die langfristige Strategie diesbezüglich aussieht. Wenn das Board dieses Thema aufnehmen würde, stünde das Management stärker unter Druck, über Ressourcen, Technologien und Cyberabwehr nachzudenken. Das gilt nicht nur für börsennotierte, sondern für alle Unternehmen mit einem Aufsichtsorgan oder privaten Besitzern.

Sie sprechen häufig mit Chief Information Security Officers (CISOs). Wie sehen Sie deren Rolle im Unternehmen?

Hintikka: Es ist eine Frage der Unternehmensreife, wie sie mit der Informationssicherheits-Funktion umgehen. In vielen Fällen müsste das CISO-kleinfeldOffice aus meiner Sicht klar aufgewertet werden. Er muss heraus aus den Schützengräben und einen Platz am Management-Tisch haben. Keineswegs sollte es als Subset der CIO-Organisation gesehen werden. Ich fände es auch nicht schlecht, wenn der CISO einen Sitz im Vorstand hätte.

Wer kontrolliert Cloud-Inhalte auf Schadcode?

Die Angriffsoberfläche für Unternehmen wird immer größer: Web-Anwendungen, Mobile-Anwendungen, Social Web, Cloud, vernetzte Maschinen etc.

Hintikka: Die größte Veränderung auf der Unternehmensseite ist die Migration in die Cloud. Da kommen viele neue Fragen auf: Ist meine Konfiguration in der Cloud-Umgebung die richtige? Es geht jetzt weniger um Cybersicherheits- als um Konfigurationsfragen. Das ist vergleichbar mit einem neuen Smartphone, da müssen sie auch die Konfiguration ansehen, damit das Gerät sicher ist.

Sind die verfügbaren Cloud-Sicherheitslösungen schon ausgereift?

Hintikka: Ich glaube, da gibt es noch viel zu tun. Die Sicherheit von SaaS-Anwendungen ist ein wichtiges Thema. Die großen Cloud-Player sind verantwortlich für die Integrität ihrer Plattformen, aber es gibt Randgebiete, wo sich Verantwortlichkeiten überschneiden. Nehmen Sie zum Beispiel Salesforce, das wohl größte Software-Ökosystem. Die übernehmen nicht die Verantwortung für Third-Party-Content und haben kein System für dessen Validierung beziehungsweise den Scan auf Schadcode integriert.

Wenn Sie als Unternehmen Salesforce nutzen und Word- oder Excel-Files importieren, dann wird Ihnen niemand garantieren, dass da keine Malware drin ist. Dafür brauchen Sie ein gesondertes System. Für uns ist das ein Geschäftszweig, Cloud Content Protection, wir bieten das auch für Microsoft Office 365 an. Die Evolution der Cloud wird uns beschäftigt halten.