Unsere Kunden sprechen über InfoWatch mehr, als wir selbst

Der Markt zum Schutz von internen Bedrohungen ist einer der jüngsten auf dem russischen IT-Markt. Die ersten Systeme entstanden Anfang des neuen Jahrhunderts. Bis jetzt hat der Begriff von DLP-Systems (Data Loss Prevention – Schutzsystem gegen Datenflucht) keine große Verbreitung auf dem Markt gefunden und viele Unternehmen-Auftraggeber sind bis jetzt sehr vorsichtig gegenüber diesen für sie nicht sehr verständlichen Produkten. Trotz dem „Kindesalter“ und einer kleinen Anzahl von Integrationen hat der Markt zum Schutz von internen Bedrohungen jedoch seine deutlich ausgeprägte Spezifik und seine Entwicklungsperspektiven. Was jetzt auf diesem Markt geschieht und was man in der nächsten Zukunft erwarten soll, darüber sprechen wir mit dem Stellvertretenden Generaldirektor der Firma InfoWatch Rustem Khayretdinov.

- Rustem, es ist kein Geheimnis, dass IT-Profis und Auftraggeber das Problem die Unternehmen vor den internen Bedrohungen zu schützen, unterschiedlich sehen. Wo sind ihre Meinungen gleich, und wo weichen sie von einander ab?

Tatsächlich hat der Markt sich noch nicht ganz gebildet, es gibt keine deutliche Auflistung der Kriterien für Schutzobjekte. Dabei werden die Hauptunterschiede in der Regel in der Stufe der Aufgabenstellung festgestellt. Der Auftraggeber will den vollen Schutz von allen möglichen Bedrohungen ein für allemal bekommen. Bei dem großen Wunsch kann man jedoch immer das System täuschen oder umgehen.

Nach unserer tiefsten Überzeugung liegt der Hauptgrund des Informationsabflusses in der falschen Simulierung von Bedrohungen. Aber der Auftraggeber selbst hat sich nicht unbedingt mit dem Simulieren zu befassen, er soll sich deutlich alle möglichen Bedrohungen und Folgen, zu denen diese führen können, vorstellen. Und solche Schutzmittel bei sich installieren, die den Bedrohungen adäquat werden.

Unsere Firma arbeitet mit bestimmten Modellen der Bedrohungen. Wir stellen die Software für den Schutz vor den Büromitarbeiter, und nicht vor den Systemadministratoren her. Es gilt, dass als Systemadministratore die vertrauten Personen arbeiten, und es ist viel bequemer, die Kontrolle über sie entweder einfach mit organisatorischen Maßnahmen, oder durch die Anwendung von der einfachen und bewährten Methode „von zwei Schlüsseln“ auszuüben. Die Top-Manager der Firmen sind überhaupt eine privilegierte Klasse von Mitarbeiter und haben den breitesten Zugang zu den vertraulichen Informationen. Den Generaldirektor zu zwingen, die Regeln einzuhalten, ist fast unmöglich.

Unsere Zielgruppe sind Büromitarbeiter. Deswegen bieten wir Lösungen an, die den Informationsabfluss verhindern können, wenn dieser durch Verschulden von gewöhnlichen Büromitarbeitern geschieht, die den Zugang zu den bestimmten Anwendungen und Kommunikationsmitteln haben. In der letzten Zeit hat die Firma wesentlich die Marketingpolitik geändert, wir sprechen gar nicht davon, das wir alle und von allem schützen können, sondern stellen unsere Systeme als eines der Datenschutzelemente zur Verfügung. Heute haben wir schon ca. 50 Projekte abgeschlossen und haben eine bestimmte Bekanntheit auf dem Markt erlangt. Im Vorjahr betrug der Umfang des Marktes der Firma InfoWatch ca. vier Millionen Dollar. In dieser Zeit hat der Wert bei allen unseren Konkurrenten zusammen kaum eine Million überstiegen. Außerdem sprechen jetzt unsere Kunden über InfoWatch mehr, als wir selbst.

Was noch außer den direkten Finanzverlusten kann Folge des Informationsabflusses im Unternehmen sein?

Dieses Problem wird jetzt sehr aktiv in der ganzen Welt besprochen. Und die Experten kommen zum Schluss, dass das Hauptrisiko mit den staatlichen Risiken verbunden ist. Es geht um die Weitergabe von persönlichen Daten, Preisgabe der Bank-, Arzt- oder Rechtsanwaltgeheimnis, d.h. jegliche Informationen, die durch das Gesetz geschützt werden und deren Weitergabe zu der strafrechtlichen Verantwortlichkeit führt. Auf diesem Hintergrund spielen die Finanzverluste oder der Ruf der Firma keine ernste Rolle. Zumal geht es jetzt um die Verabschiedung eines Sondergesetzes, welches die persönlichen Daten schützt. Jetzt ist schwer zu sagen, ob es zur Bildung eines neuen Marktes führen wird. Außerdem hält sich eine Reihe von Unternehmen an Strategie der „Risikoannahme“. Nach ihren Berechnungen werden die möglichen Verluste von dem Informationsabfluss viel kleiner, als die Kosten für die Integration eines Systems zum Schutz vor dem Abfluss.

- Auf dem internationalen Markt sind die Lösungen zum Schutz vor Informationsabfluss vergleichsweise vor kurzen erschienen. Die russischen Unternehmen stellen sich nur mühsam vor, was die DLP-Lösungen sind und wozu sie notwendig sind. Ist so eine Unkenntnis ein Hindernis für die Einführung dieser Lösungen auf dem russischen Markt?

Heutzutage gibt es auf dem Markt sogar kein deutliches Verständnis dafür, was „interne Bedrohungen“ sind. Ziemlich oft werden auch solche Begriffe wie „Informationsabfluss“ und Insider-Informationen vertauscht. Ein Insider ist ja nur ein Mensch, der die internen Informationen für eigene Zwecke nutzt. Dabei kann die Information, die er nutzt, nicht aus dem Unternehmen gestohlen werden, sondern ist diesem Menschen nur dank seinem Posten bekannt. Außerdem kommen in den Unternehmen (besonders oft in den Banken) so genannte „eingeführte“ Mitarbeiter vor, deren Aufgabe darin besteht, einfach die notwendigen Informationen zu verfolgen. So einen „Eindringling“ aufzuspüren ist fast unmöglich, er bringt nichts heraus, kopiert und gibt keine Daten weiter. Manchmal besteht seine Aufgabe darin, zu erfahren, ob die Gelder auf ein Konto eingetroffen sind.

Während der Markt der DLP-Lösungen in der Anfangsstufe der Entwicklung ist, befassen wir uns nicht nur mit Einführung von unseren Lösungen, sondern helfen unseren Auftraggebern auch die Bedrohungen zu simulieren. Dabei geht es bis jetzt nicht nur über Beraterleistungen, dieser Markt ist noch nicht ausgereift. Man kann nur einige Unternehmen aufzählen, die gesondert die Beratungen fürs Simulieren von Bedrohungen bestellt haben.

Daran, dass DLP-Lösungen noch keine große Popularität genießen, sind auch die Hersteller dieser Systeme selbst schuld. Sie positionieren DLP-Lösungen als komplizierte Systeme und viele Auftraggeber halten sich für nicht vorbereitet auf deren Integration, beispielsweise, weil sie die Dokumentenströme nicht deutlich formulieren können. Jedoch ist es nicht so. Bis jetzt sind die Informationen so ungeschützt, dass fast jedes installierte Produkt gleich beginnt, die Abflüsse zu finden, das eine etwas mehr, das andere etwas weniger. Auf jeden Fall bekommt der Auftraggeber einen ziemlich spürbaren Effekt. In dieser Hinsicht ist mir der Streit der DLP-Produkte darüber, welches Prozent der Abflüsse ihr Produkt feststellen kann, nicht ganz klar.

Der DLP-Markt hat eine weitere interessante Besonderheit – für die ganze Zeit seines Bestehens entstand auf diesem Markt keine einzige neue Technologie. Alle Technologien sind schon seit Jahrzehnten bekannt. Die Contentfilterung zum Beispiel wurde noch zu EDVA-Zeiten eingesetzt, und die digitale Abdrucknahme ist ihrem Wesen nach nichts Weiteres als Antiplagiattechnologien, die noch am Anfang von 60-er Jahren entstanden sind. Jetzt werden die bekannten Technologien für die Lösung neuer Aufgaben angewendet, die es früher nicht gab.

Dabei befassen sich die Herstellerfirmen mit der Entwicklung von innovativen Algorithmen. Wir haben zum Beispiel unser eigenes Contentanalyse-Kernel patentiert. In der Tat, gibt es zurzeit auf dem Markt maximal zwanzig DLP-Firmen (nach Forester-Angaben - 12). Dabei sind in Europa maximal fünf davon vertreten. Und bis jetzt hat keine der bestehenden Firmen ihre Gewinne deklariert. Dem Wesen nach sind alle diese Geschäfte „Start-Ups“, deren Hauptaufgabe darin besteht, einen Platz auf dem Markt fest einzunehmen.

Und was ist Ihre Aufgabe?

Wir nehmen jetzt auch einen Platz auf dem Markt ein. Seit dem Vorjahr braucht unser Geschäft keine Zuschüsse mehr. Es handelt sich darum, dass der Markt, wo wie tätig sind, (das sind vor allem große Holdings und staatliche Strukturen) sehr stark von der politischen Situation abhängt. Sobald sich etwas ändert, können die Projekte entweder plötzlich angefangen werden, oder genau so schnell eingestellt werden. Bis jetzt beginnen alle Einführungen mit den Pilotprojekten, genau dafür, damit der Auftraggeber verstehen konnte, ob er das System braucht oder nicht. Dank den gewonnenen Erfahrungen werden fast alle Projekte in unserer Firma bis zu Ende geführt. Wir fangen mit dem Projekt erst an, wenn wir verstehen, dass der Auftraggeber wirklich beschlossen hat, die Verluste zu bekämpfen, und dass er dafür die Mittel hat. Der dritte Erfolgsfaktor besteht darin, deutlich zu verstehen, ob wir unsererseits das Projekt fertig stellen können.

Übrigens besteht eine der positiven Seiten unseres Marktes darin, dass unsere Projekte nie ausgehen. Während des Betriebes versteht der Auftraggeber, was noch nachzuarbeiten ist, beginnt die nächsten Programmversionen einzusetzen, das Geschäft zu erweitern.

- Sie positionieren sich als Hersteller und Lieferant von DLP-Lösungen?

Unsere Firma ist vor allem ein Hersteller und deswegen streben wir die Arbeit durch Partner an, wie jeder andere Vendor. Unsere Aufgabe besteht darin, ein einfach einzusetzendes Produkt zu erstellen und dieses durch Kanäle unseren Partnern zu verkaufen, umso mehr, weil es für die Intergratoren sehr interessant ist. Erstens ist es ressourcenintensiv. Zweitens erfordert die Integration unseres Systems eine große Anzahl von zusätzlichen Servicen, das System ist zu installieren, einzustellen und zu warten. Und endlich gewähren wir unseren Partnern die traditionellen Rabatte.

Jedoch betragen bis jetzt die Umsätze durch unsere Partner maximal 20 %. Das hängt in vielen Hinsichten damit zusammen, dass über 25 % unseren Projekte komplizierte Systeme darstellen, die speziell für den Auftraggeber entwickelt worden sind. So ein Projekt kann nur durch Fachleute unserer Firma erstellt und integriert werden.

- Welche Rolle spielen die Technologien bei der Sicherstellung eines erfolgreichen Schutzes vor den internen Informationsverlusten?

In der Welt ist es üblich drei Hauptarten von Bedrohungen auszusondern: äußere Bedrohungen, fahrlässige Mitarbeiter und „böswillige“ Mitarbeiter. Dabei gehören der letzten Kategorie maximal 10 % des Personals an. Und die Fahrlässigkeit führt oft zu den größeren Schäden als die Böswilligkeit. Die Fahrlässigkeit lässt sich jedoch bekämpfen – darunter auch mit den Technologien. Wenn dem Mitarbeiter der Zugang zu den Informationen gesperrt wird, die er für die Arbeit nicht braucht, und deutlich festlegen, was er tun kann, und was er nicht tun soll, wird er höchstwahrscheinlich die angebotenen Regeln einhalten. Nach der Einführung von DLP-Systemen stellt es sich heraus, wie viel Schaden ein Mitarbeiter zufügen kann, wenn er sich nach den besten Vorsätzen richtet. Zum Beispiel auf eine offene Postbox zu Hause die Unterlagen der Firma abschicken.

Der zweite typische Fahrlässigkeitsfall hängt damit zusammen, dass die modernen Bürogeräte es zulassen, ziemlich viele zusätzliche Informationen übers Dokument zu erhalten. Dabei ahnen das selbst die Mitarbeiter nicht. Zum Beispiel bei der Editierung eines Dokumentes durch eine große Anzahl von Mitarbeiter kann die geschlossene Informationen als Ergebnis „vergessen“ werden und zusammen mit dem Dokument abgespeichert. Als Ergebnis kann der Brief, welcher die vertraulichen Informationen enthält, den Partnern oder sogar den Konkurrenten abgeschickt werden. Es ist klar, dass es nur Fahrlässigkeit ist, es gibt keine Böswilligkeit darin. Diese kann aber zu den für die Firma sehr negativen Folgen führen. Wir hatten zum Beispiel einen Fall, als einer unserer Auftraggeber zwei Angebote von unterschiedlichen Firmen bekommen hat. Es hat sich jedoch herausgestellt, dass der Autor dieser völlig unterschiedlichen Dokumente der gleiche Mitarbeiter war. Höchstwahrscheinlich war das Dokument von einem Insider gestohlen und an die Konkurrenten weitergegeben. Die Mitarbeiter dieser Firma haben aber vergessen, den Autor dieses Dokumentes abzuändern, und haben ihr Angebot „unter dem fremden Namen“ abgeschickt. In eine komplizierte Situation waren alle geraten – die Firma, die die fremden Informationen nutzte, und auch die, die „betroffen“ wurde.

- Und diese Art von Verlusten kann man auch mit Technologien bekämpfen? Es ist bekannt, dass für 80 % des Ergebnis 20 % der Bemühungen gemacht werden. Im Prinzip werden die Abflüsse „aus der Fahrlässigkeit“ ziemlich leicht gesperrt – sogar der einfachste Schutz führt zu einem guten Ergebnis. Der fahrlässige Täter versucht nicht, etwas zu verstecken und zu täuschen. Aber einen böswilligen Verletzer zu finden, ist viel schwieriger. Dafür kann man zum Beispiel die Suche nach den morphologischen Merkmalen einsetzen, die wir für effektiver als die Suche nach den Schlüsselworten halten. Es ist ausreichend, in den Wörtern die russischen Buchstaben durch die lateinischen zu ersetzen und der Text geht ganz leicht durch alle Filter „der Schlüsselwörter“ durch. Den morphologischen Filter aber kann man mit solchen Tricks nicht umgehen. Übrigens besteht einer der Vorteile der Anwendung von DLP-Systemen darin, dass man mit deren Hilfe Feinde von den unvorsichtigen Nutzern abtrennen kann. Man kann doch keine Textmanipulationen „aus der Fahrlässigkeit“ heraus vornehmen.

Für die Suche von böswilligen Mitarbeitern gibt es kompliziertere Algorithmen, denen die Feststellung von Informationsströmen zu Grunde liegt. Ein DLP-System lässt es nicht nur zu, das zu verfolgen, was man mit dem Dokument machen kann, sondern auch die Informationsströme. Zum Beispiel soll der Buchhalter das Recht haben, die Bilanz in die Finanzbehörde abzusenden und nirgendwohin mehr. Der Systemadministrator darf dieses Dokument überhaupt nicht verschicken, hat aber den Zugang dazu.

Der Einsatz von solchen Funktionen des Systems führt zu sehr guten Ergebnissen, aber erfordert – wie zu sehen ist – von dem Auftraggeber zusätzliche Bemühungen. Nicht zufällig wird die Integration von DLP-Systemen hinsichtlich des Aufwands manchmal mit der Integration von ERP oder Dokumentendurchlaufsystemen verglichen. Die DLP-Systeme funktionieren jedoch ab dem ersten Tag der Integration, und verhindern somit 80 % der Verluste. Heutzutage machen sich die Auftraggeber mehr Sorgen um die fahrlässigen Verluste, die Feinde werden mit anderen Methoden ausfindig gemacht.

Haben Sie vor, auf die westlichen Märkte zu gehen ? Haben unsere Firmen da Perspektiven?

In Russland ist unser Geschäft vor allem auf die großen Firmen ausgerichtet. Davon ausgehend, bauen wir unser Geschäftsmodell auf. Im Westen sind die für die Integration von DLP-Lösungen aussichtsreichsten Segmente - SМВ und SМЕ (Small and Medium Enterprise). Natürlich ist das Klein- und Mittelgeschäft in Amerika nach den russischen Maßstäben ein ziemlich großes Geschäft. Aber auf jeden Fall muss man im Westen mit „leichteren“ Lösungen anfangen. Eine „schwere“ Lösung sieht die Unterstützung rund um die Uhr voraus, dabei in mehreren Sprachen, die „schrittweise“ Zugänglichkeit von technischen Fachleuten und vieles anderes mehr. Und das kostet viel.

Zurzeit verhandelt die Firma InfoWatch mit westlichen Partnern und Auftraggebern. Wir führen Pilotprojekte durch, eröffnen Vertretungen, nehmen an Ausstellungen teil. Dabei ist unser Augenmerk nicht nur auf Westen gerichtet, sondern auch auf Osten, insbesondere auf arabische Länder. Unter den Schwierigkeiten, auf die wir uns unbedingt stürzen werden, sind vor allem die Schwierigkeiten der Anpassung und der Lokalisierung unseres Produktes zu nennen. Dabei besprechen wir alle möglichen Formen der Zusammenarbeit, darunter auch die Nacharbeit und Lokalisierung durch den Auftraggeber.

- Ist das möglich?

Alle Wünsche des Auftraggebers, teilen wir in drei Teile auf. Zu der ersten Gruppe gehört der Schutz, den wir mit Hilfe des erstellten Produktes sicherstellen können. Zu der zweiten gehört das, was in der nächsten Produktversion kommen wird. Der dritte Teil enthält die Wünsche, die auf Sonderbitte des Aufraggebers auf seine Kosten erfüllt werden können. Solche Position lässt es sehr bequem zu, die Erwartungen des Auftraggebers steuern. Zudem haben wir ein Sondersystem für die Steuerung von Anforderungen sichergestellt, das ist eine Art Know-how unserer Firma. Wir erstellen in der Webseite eine Konsole für die Steuerung der Anforderungen der zukünftigen Version, zu der auch unsere Auftraggeber den Zugang haben. Sie studieren gründlich unsere Angebote, und können abstimmen, was ihnen mehr gefällt. Als Ergebnis können wir anschaulich sehen, was am meisten nachgefragt ist, und was nicht besonders notwendig ist. Und mit Hilfe dieser Art Feedback von dem Auftraggeber passen wir die Entwicklung der neuen Produktversion an. Auf solche Weise können wir das Produkt erstellen, das dem Markt fast ideell entspricht.

Wie wird Ihrer Meinung nach die Entwicklung der Märkte zum Schutz der internen und äußeren Bedrohungen vorangehen – werden sie sich integrieren oder parallel entwickeln?

Jetzt haben sich einige sehr interessante Trends angedeutet. Auf den Markt zum Schutz vor internen Bedrohungen gibt es jetzt Angriffe gleich von mehreren Seiten. Einerseits haben sich die Hersteller der Dokumentenumlaufssysteme aktiviert. Sie beginnen jetzt die Unternehmen zu erwerben, die sich mit der Entwicklung von DLP-Systemen befassen, und entsprechende Funktionen in ihre Systeme zu integrieren. Genau so gehen auch die Hersteller von Datenbanken vor, die diese Technologien in die Schutzsysteme für Workstationen integrieren. Andererseits haben die Hersteller von Sicherheitssystemen ihren Angriff begonnen. Ihre Aufgabe besteht darin, dass es prinzipiell keinen Markt für den Schutz vor internen Bedrohungen gibt. Dafür erwerben sie die Unternehmen, die die DLP-Systeme herstellen, und präsentieren dem Markt die universellen Schutzsysteme. Es geht um die Lösungen, die in sich den Schutz vor internen und äußeren Bedrohungen vereinigen.

Uns freut die zustande gekommene Situation, da sie unserer Marktstrategie entspricht. Wir – wie ich schon gesagt habe - übernehmen nicht die Aufgabe, alle vor allem zu schützen, sondern haben vor, in unserem engen Marktsegment zu arbeiten. Braucht eine Firma einen universalen Schutz, wird sie sich an die Lieferanten von universalen Lösungen wenden. Wird der Auftraggeber jedoch einen Sonderschutz vor Bedrohungen brauchen, wird er sich an uns wenden. Es scheint mir, dass die universellen Lösungen vor allem für das SMB-Segment interessant sein werden, während unsere Systeme zum größten Teil an die großen Unternehmen ausgerichtet sind. Natürlich wird ein Marktteil verloren gehen, unser Markt wird kleiner und enger. Aber die Notwendigkeit an „reinen“ DLP-Lösungen wird es immer geben.