Google Cloud
Als Senior Director und Leiter des Office of the CISO bei Google Cloud ist es die Aufgabe von Nick Godfrey, das Unternehmen beim Austausch zwischen CISOs rund um die Themen Cloud und Security zu unterstützen. Godfrey, selbst ehemaliger Sicherheitsverantwortlicher bei einem Finanzdienstleister, leitet dazu ein Team, bestehend aus mehreren ehemaligen CISOs mit unterschiedlichem Branchen-Know-how. Die CSO hatte am Rande der Cloud Next in Las Vegas Gelegenheit zum Gespräch mit Godfrey.
“Fehlendes Security-Budget ist eher Symptom des Problems”
Viele CISOs kämpfen um mehr Security-Budget, weil die Bedrohungen zunehmen. Ist Security, insbesondere Cloud Security, in erster Linie eine Frage des Geldes oder gibt es andere Probleme, die nicht adressiert wurden?
Nick Godfrey: Dass das Budget nicht ausreicht, ist eigentlich eher ein Symptom des Problems als das Problem selbst. Das eigentliche Problem ist, dass man sich in der Vergangenheit zu sehr darauf verlassen hat, Sicherheits-Tools von Spezialisten für bestimmte Nischen zu kaufen und dann zu versuchen, alles zusammenzufügen.
Gleichzeitig führt dies aber auch zu echten Herausforderungen, da die Security-Mitarbeiter an Burnout leiden. Sie sind nicht mehr in der Lage, alles zu überblicken.
Wir haben dazu auf der Cloud Next unter dem Banner von Google Unified Security einige Dinge angekündigt. Zum Beispiel bewegen wir uns mit der Google-Cloud-SecOps-Plattform hin zu einem Ort, an dem Kunden alle Daten in ihrer Umgebung auf einem einzigen Bildschirm sehen können. Sie können KI und Mandiant-Bedrohungsinformationen nutzen, um diese Daten besser zu verstehen und sie schneller und genauer zu verarbeiten.
Dann kann man mit KI interessante Dinge tun. Man kann KI-Agenten bauen, die im Namen menschlicher Agenten handeln. Stellen Sie sich eine Zukunft vor, in der KI-Agenten Millionen von Warnmeldungen bearbeiten – damit sich Ihre Mitarbeiter auf wichtigere Dinge konzentrieren und echte Probleme lösen können. Der Grund, warum ich die Agenten ins Spiel bringe: So werden wir anfangen, KI im Sicherheitskontext einzusetzen.
Apropos KI: Früher gab es das Motto „Mach es zu teuer für den Angreifer“. Ist das immer noch relevant oder hat sich das mit KI geändert?
Godfrey: Ich denke, dass KI tatsächlich für die Verteidiger interessanter ist. Was die Angreifer betrifft, so hat Google vor einigen Monaten untersucht, wie Kriminelle unsere KI-Plattform Gemini nutzen. Das Resultat: Obwohl es 20 APT-Gruppen aus 20 verschiedenen Ländern gab, die GenAI nutzten, haben sie dort eigentlich nichts Neues gemacht. Sie haben keine neuen Angriffe entwickelt, sondern nur die Akzeptanz der Angriffe verbessert und sie etwas effektiver gemacht.
Die Angreifer spielen also ein bisschen damit herum, aber ich glaube, die Verteidiger fangen wirklich an, ernsthafte Dinge damit zu machen. Wir haben eine Menge KI in unsere Google-SecOps-Plattform eingebaut und diese Woche zwei Agenten vorgestellt, um die Automatisierung bestimmter Arten von Sicherheitsaufgaben voranzutreiben. Damit können wir Security-Teams dabei zu helfen, die Art und Weise, wie sie mit Warnmeldungen und potenzieller Malware umgehen, zu skalieren und zu beschleunigen.
Sie kennen ja sicher das ‚Defenders Dilemma‘: Der Verteidiger muss ständig erfolgreich sein, während der Angreifer nur einmal ans Ziel kommen muss. Wir glauben, dass KI uns helfen wird, die Situation zwar nicht vollständig umzukehren, aber zumindest das Problem zu verringern. Es wird interessant sein zu sehen, wohin das in den nächsten Jahren führen wird.
Google hat ja vor kurzem diese große Übernahme von Wiz bekannt gegeben. Wurden Ihnen und Ihrem Team dazu von den CISOs keine Fragen gestellt, etwa zur aktuellen Cloud-Sicherheit?
“Die Unternehmen wollen Multi Cloud”
Godfrey: Leider kann ich nicht über Wiz sprechen, da wir uns in der Quiet Period befinden, aber allgemein über die Herausforderungen, vor denen unsere Kunden stehen. Eine der größten, die die große Mehrheit der Unternehmen heute hat, ist Multi-Cloud. Sie stehen nicht nur vor der Herausforderung, ihr Team umzustrukturieren und die Fähigkeiten aufzubauen, um Cloud-native Sicherheit zu gewährleisten, sondern sie müssen dies auch für drei oder vier verschiedene Cloud-Varianten tun.
Und dann gibt es noch die Herausforderung des Konfigurationsmanagements, und ihr Sicherheitsanalyst muss sich einen Bildschirm für die Google Cloud Platform (GCP) ansehen, einen für Oracle und so weiter.
Also haben wir uns vor einigen Jahren dazu verpflichtet, unsere Plattform Multi-Cloud-fähig zu machen, mit dem Ziel, dass ein Kunde, ein Sicherheitsanalyst, die Konfiguration einer beliebigen Anzahl von Cloud-Anbietern auf einem Bildschirm sehen kann. Ich denke, das ist die Richtung, in die es geht.
Cloud-Sicherheit fängt aber nicht erst bei der Überwachung an…
Godfrey: Ja, ich denke, dass die größere Chance für die Sicherheitsteams im Zusammenhang mit der Cloud darin besteht, mit den Technologieteams zusammenzuarbeiten, um Sicherheitsrichtlinien in den Code einzubetten, den sie entwickeln.
Dann wird die Cloud oder die Software so bereitgestellt, dass sie über APIs gesteuert werden kann. Und man kann Sicherheitsrichtlinien einbauen und weiß, dass jedes Mal, wenn ein neuer Container oder eine neue virtuelle Maschine erstellt wird, dies auf die richtige Art und Weise von einem Sicherheitsteam gemacht wird.
Man kann also Security einbetten, wenn die Cloud erstellt wird. Und dann wird das Security Command Center verwendet, um kontinuierlich zu überprüfen, dass nichts aus dem Ruder läuft.
Das geht in Richtung DevSecOps, oder?
Godfrey: Ja. Diese Philosophie, wie man die Cloud absichert, ist eines der großen Themen, über die wir mit unseren Kunden sprechen, denn es erfordert einen Konsens zwischen dem CIO und dem CISO. Wie wird die Cloud verwaltet? Wie wird sie genutzt? Wenn man sich nicht darüber einig ist, wie sie genutzt werden soll und wo der Code liegt, der sie verwaltet, dann kann man auch keine Sicherheitsrichtlinien einführen, Man muss ein gemeinsames Verständnis haben, wie man vorgehen will.
Hier hat sich ja schon einiges geändert, wenn man an manche PoCs in der Cloud zurückdenkt, die ohne Rücksicht auf Datenschutz und Sicherheit erstellt wurden.
Godfrey: Genau, bei dem, was in den frühen Tagen der Cloud geschaffen wurde, handelte es sich oft um Schatten-IT – oder es sah zumindest so aus. Heute sind sich der CEO und der CIO ziemlich einig darüber, wie alles gemanagt werden soll. Vor allem, wenn es um etwas so Komplexes wie eine große digitale Transformation oder die Migration in die Cloud geht. Alle notwendigen Veränderungen, die Fähigkeiten der Teams, der Governance-Ansatz, alle Sicherheitsrichtlinien und -standards müssen angepasst werden. Wenn Sie all diese Dinge nicht angehen, werden Sie aus Cloud-Perspektive nicht gut aufgestellt sein.
“Dank KI sind CISOs heute tief in das Business integriert”
OK, dass sich das Top-Management all dieser Probleme bereits bewusst ist, ist ein wichtiger Fortschritt. Es wird also besser, oder?
Godfrey: Ja, ich bin im Moment ziemlich optimistisch, was diesen speziellen Aspekt der Sicherheit angeht. Wir können uns immer noch verbessern – aber im Vergleich zu vor 10 oder 15 Jahren, als Sicherheit ein nachrangiges Thema war und manchmal buchstäblich nur oben drauf gesetzt wurde. Heute sind wir an einem Punkt angelangt, wo wir von „Secure by Default“, „Secure by Design“ und Governance sprechen.
Davon profitiert sicher auch die Stellung des CISO im Unternehmen?
Godfrey: Ja, eine grundlegende Veränderung ist, dass CISOs mehr anerkannt werden. Aber das liegt wahrscheinlich auch daran, dass CISOs jetzt in einer Sprache sprechen, die das Business versteht. Die Kombination dieser beiden Dinge macht uns besser, und ich denke, das sieht man auch im Vergleich zu früher. Dank KI sind viele CISOs heute tief in das Business integriert und haben in einigen Fällen sogar die Diskussion über KI in ihren Organisationen vorangetrieben. Ein Grund dafür ist, dass sie von Natur aus einige der potenziellen Herausforderungen bei der Einführung von KI verstehen. Aber sie sind auch sehr gut darin geworden, mit neuen Technologien zu arbeiten und sie zu verstehen. Daher sehe ich heute weniger Bedenken, dass KI eine Schattentechnologie ist, als noch vor ein paar Jahren.
Ist die Häufigkeit der Angriffe ein Grund dafür, dass sich CEOs nun stärker mit der Möglichkeit von Breaches befassen?
Godfrey: Ja, ich denke schon. Aber es hat auch viel damit zu tun, wie die CISOs heute auftreten. Sie kommunizieren in Form von Geschäftsrisiken, Risiken für das Unternehmen, die der CEO verstehen kann, anstatt sie als rein technische Übung zu betrachten. So erkennen sie auch, dass CISOs eine ziemlich herausfordernde Aufgabe haben. Und auch das Risikobewusstsein von CEOs und Vorständen wird besser, weil wir es als Branche einfacher machen, es in ihren Begriffen zu verstehen.
Trotzdem habe ich manchmal den Eindruck, dass der Job eines CISO sehr frustrierend ist und es manchmal sehr schwierig sein muss, jemanden für diesen Job zu begeistern. Wie kann man CISOs motivieren?
“Der CISO ist immer involviert”
Godfrey: Meine Antwort auf diese Frage besteht aus zwei Teilen. Erstens: Wir haben die Möglichkeit, die Cybersicherheitsbranche nach außen hin verständlicher und für Neueinsteiger attraktiver zu machen. Das bringt zwar nicht sofort etwas, aber es schafft eine größere Pipeline von Menschen, die in die Branche kommen. Ich denke, eine der Herausforderungen, vor denen wir stehen, ist, dass eine Karriere in der Cybersicherheit nicht so bekannt oder anerkannt ist wie Medizin, Jura oder Ingenieurwesen. Wenn man einen Abschluss in einem dieser Fächer hat, wissen die Eltern, welchen Beruf man ergreifen kann. Bei einem Abschluss in Cybersicherheit ist das nicht der Fall.
Der andere Teil meiner Antwort ist eindeutiger. Ich glaube, was CISOs motiviert, ist, dass es einer der wenigen Jobs innerhalb einer Organisation ist, bei dem man so ziemlich allen Veränderungen ausgesetzt ist. Neue Technologien, neue Unternehmen, Übernahmen, Fusionen, Veräußerungen – der CISO ist immer involviert.
Aus meiner Sicht ist das für viele Menschen, mit denen ich gesprochen habe, an sich schon sehr motivierend. Man ist in einer Position, in der man viel bewegen kann. Man ist buchstäblich an allem Neuen beteiligt, an allem Neuen in der Organisation, und das macht den Job aus.
Aber manchmal wird das nicht anerkannt.
Godfrey: Vielleicht nicht, aber ich glaube, es wird besser. Wir sind auf dem richtigen Weg, wenn man an die Zeiten zurückdenkt, als Cybersicherheit noch Informationssicherheit hieß und ein Teil der IT war, nämlich das Backoffice innerhalb der IT.
No Responses