All About Security

Bill Solms, CEO von Wave Systems

Bill Solms, CEO, Wave Systems

Seit 9 Monaten sind Sie CEO von Wave Systems und lösen damit Steven Sprague, der das Unternehmen fast 20 Jahre lang geleitet hat, ab. Was ändert sich jetzt?

Das ist richtig, ich bin jetzt seit Mitte Oktober 2013 als CEO an Bord und löse damit Steven ab, der fast 20 Jahre bei Wave war und davon fünfzehn Jahre lang das Unternehmen als CEO geleitet hat. Wichtigste Änderung ist sicherlich, neben einer Vereinfachung unseres Produkt-Pricings, ein stärkerer Fokus auf „Solution Selling“ – wir verkaufen Lösungen, keine Produkte. In der Vergangenheit waren wir stark darauf konzentriert, unsere Technologie und die dahinter stehenden offenen Industriestandards zu erklären – was ist ein TPM, wie funktioniert der Verschlüsselungs-algorithmus, wer ist die Trusted Computing Group, was sind OPAL-Standards usw. Viel wichtiger ist es aber, Unternehmen lösungsorientiert zu erklären, welche Probleme mit unseren Produkten gelöst werden können. Da haben wir einerseits unsere ERAS-Lösung für die Verwaltung von selbstverschlüsselnden Festplatten, und andererseits ERAS für das Management von TPMs, dazu gehört als Use Case auch VSC 2.0 – unsere neue Virtual Smart Card.

Darauf wollte ich gerade kommen. Wave hat vor kurzem „VSC 2.0“ – die zweite Generation der Virtual Smart Card – auf den Markt gebracht. Wie funktioniert die Virtual Smart Card im Gegensatz zu einer physischen Smart Card oder einem Token?

VSC 2.0. löst ein ganz bestimmtes Problem im Bereich der Zwei-Faktor-Authentifizierung. Normalerweise nutzen Unternehmen hierfür physische Smart Cards mit Chip oder USB-Tokens. Das Problem dabei ist – sie gehen verloren. Eine Studie hat kürzlich ergeben, dass ein Drittel dieser physischen Tokens verloren gehen oder ausgetauscht werden müssen, weil sie – z.B. nach einem Scan am Flughafen – nicht mehr funktionieren. Das zieht einen hohen Verwaltungsaufwand nach sich und treibt die Kosten in die Höhe. Mit VSC 2.0 ermöglichen wir Unternehmen eine um 50-75% günstigere Art der Zwei-Faktor-Authentifizierung.  Waves virtuelle Smart Card emuliert die Funktionen einer physischen Smart Card indem sie die Credentials des Nutzers mit der Identität des Geräts zusammenbringt. Dies passiert mit und im TPM, einem Sicherheitschip der in fast allen Endgeräten verschiedenster Hersteller verbaut ist, weil er offenen Industriestandards unterliegt. Der User muss sich zur Authentifizierung nur ein Passwort merken und der zweite Faktor, das „Token“, befindet sich in virtueller Form, sicher geschützt, direkt am Motherboard seines Geräts.

Gegen welche Sicherheitsprobleme kann ich mich damit konkret schützen?

Es macht einfach Sinn, die Identität des Nutzers an die Identität des Geräts zu binden. Vielleicht erinnern Sie sich an den Sicherheitsvorfall bei der US-Handelskette Target im November letzten Jahres. Hackern war es gelungen, gültige User Credentials zu stehlen, die im System zu Wartungszwecken hinterlegt waren. Anschließend nutzten sie die Zugangsdaten um tiefer ins Unternehmensnetzwerk einzudringen und dort weitaus sensiblere Daten abzugreifen. Nutzt man eine Virtual Smart Card, kann so etwas nicht passieren. Selbst wenn es einem Hacker gelingt, sich gültige Benutzerdaten zu verschaffen, verweigert ERAS den Zugriff auf die Umgebung oder Anwendung, wenn diese nicht zusammen mit der Gerätekennung eines verwalteten Geräts, das diesem Nutzer oder dieser speziellen Gruppe von Nutzern zugewiesen ist, verknüpft ist. Das bedeutet, dass der Hacker das Gerät des Ziel-Nutzers in seinem Besitz bringen müsste, dort die Sicherheitsmechanismen des Geräts aushebeln müsste – was sehr schwierig ist, da das TPM fest mit dem Motherboard verbunden ist – um dann anschließend die gestohlenen, noch gültigen Benutzerdaten eingeben müsste noch bevor der Verlust des Geräts bemerkt und der Zugriff blockiert wird.

Gibt es diese Lösung nicht schon längst von Microsoft? Warum bringt Wave gerade jetzt VSC 2.0 auf den Markt?

Es stimmt, dass Microsoft auch eine Virtual Smart Card-Funktion anbietet. Wie aber bei Partnerlösungen üblich, haben wir sehr viel Zeit und Forschung investiert um diese Lösung zu optimieren. ERAS ist für Nutzer und Administratoren sehr einfach zu bedienen und zu verwalten. Am interessantesten dürfte aber sein, dass Waves VSC 2.0 die einzige unternehmensgerechte virtuelle Smartcard-Management-Lösung der Branche ist, die neben Windows 8 und 8.1 auch mit Windows 7 kompatibel ist. Unsere Marktforschungen haben ergeben, dass hier noch sehr viel Bedarf herrscht.

Glauben Sie, dass Käufer Technologie, die auf Basis des TPMs funktioniert, nach der Snowden-Affäre vertrauen werden?

TPMs werden nach den offenen Industriestandards der Trusted Computing Group hergestellt. Dessen Vorstandsvorsitzender ist aktuell ein Deutscher, Dr. Jörg Borchert von Infineon. Weitere Mitglieder des Board of Directors kommen von Fujitsu, Intel, Lenovo, Cisco, IBM, HP, Dell, Juniper und eben auch von Wave Systems – wir haben es also mit einem global funktionierenden Unternehmenszusammenschluss zu tun. Die Verschlüsselung basiert auf bekannten Algorithmen – das kann Ihnen unser CTO EMEA, Boudewijn Kiljan sicher besser erklären [z.B. hier und hier, Anmerkung d. Red.]. Viel wichtiger ist, welche Probleme ERAS für den Kunden lösen kann. ERAS ist ja nicht das TPM – Wave stellt auch keine TPMs her – wir liefern die Security Management Software zur Verwaltung von spezieller Hardware: TPMs oder SED-SSDs. Diese Trennung ist manchen nicht klar.

Eben – bekannt geworden ist Wave mit Lösungen zum Management von selbstverschlüsselnden Festplatten – basiert diese Technologie auch auf dem TPM?

ERAS für SED-SSDs ist etwas anderes als ERAS zur Verwaltung von TPMs. ERAS verwaltet Zertifikate und Nutzer-Credentials, und wir können das mit ERAS für SED-SSDs, also selbstverschlüsselnde Festplatten, tun, oder für Endgeräte, die ein TPM besitzen – das sind, Stand heute, 2.1 Milliarden Endpoints.

Beim Schutz gegen APTs soll Wave auch helfen können – wie?

Eines unserer Produkte ist WEM – der Wave Endpoint Monitor. WEM kann dazu eingesetzt werden, bestimmte Werte im TPM zu monitoren – es geht hierbei um die sogenannten PCR-Werte. Sie verändern sich, wenn ein Rootkit eingeschleust wurde. WEM registriert verdächtige Muster in diesen Veränderungen und kann Alarm schlagen. Wir bieten mit WEM das bestmögliche Frühwarnsystem gegen Advanced Persistent Threats, da sich all diese Monitoring-Vorgänge und mögliche automatisierte Reaktionen auf verdächtige Muster abspielen, noch bevor der Computer und das Betriebssystem hochfahren – das leistet kein anderes Produkt.

Worauf setzt Wave für die Zukunft?

Wave Systems wird auch in Zukunft in puncto Technik eine Vorreiterrolle einnehmen – wir arbeiten an weiteren Lösungen zur Absicherung von Mobiltelefonen und ein weiteres Geschäftsfeld ist die Absicherung von sogenannten Card-not-present Transaktionen, also die Bezahlung via Kreditkarte in Onlineshops. Näheres darf ich noch nicht verraten, ich kann nur sagen, dass wir dabei sind in diesen beiden Bereichen unsere technologie-Partnerschaften auszubauen.

Danke für das Gespräch, Herr Solms.

Ich danke Ihnen, Herr Kolaric.

Ein anschauliches Video zu VSC finden Sie übrigens hier.