Im Sommer letzten Jahres akquirierte Matrix42 den Sicherheitsspezialisten EgoSecure, damals neben enSilo einer der Matrix42-Security-Partner. Damit erweiterte der Frankfurter Workspace-Management-Anbieter seine Positionierung deutlich in Richtung Endpoint Security und rückte in ISGs Security-Report für Deutschland im DLP-Segment (Data Leakage Prevention) sogar in den Leader-Quadranten auf. LANline sprach mit Sergej Schlotthauer, Vice President Security bei Matrix42, über den Status quo der Integration beider Produktportfolios und die Zukunftspläne.

LANline: Herr Schlotthauer, in welcher Weise ergänzen die EgoSecure-Lösungen die Angebotspalette von Matrix42, und in welcher Hinsicht ist die Partnerschaft mit enSilo dennoch weiterhin erforderlich?

Sergej Schlotthauer: EgoSecure bietet ein breites Spektrum an Endpoint-Security-Funktionen von der Anwendungskontrolle über Verschlüsselung bis zur verhaltensbasierten Erkennung von Kompromittierungen. Das passt natürlich sehr gut zum Endpoint-Management von Matrix42. Was enSilo hier beisteuert, ist Funktionalität für Post-Infection Protection, also echtzeitnahe Reaktionen auf bereits laufende Angriffe.

LANline: Wie muss man sich das Zusammenspiel dieser Lösungen vorstellen?

„Die Integrationsthematik wird uns sicher noch ein paar Jahre beschäftigen“, so Matrix42-VP Sergej Schlotthauer. Bild: Matrix42

„Die Integrationsthematik wird uns sicher noch ein paar Jahre beschäftigen“, so Matrix42-VP Sergej Schlotthauer. Bild: Matrix42

Sergej Schlotthauer: Nehmen wir als Beispiel ein Unternehmen, das mit Ransomware-Befall zu kämpfen hat. Sobald die Schadsoftware versucht, Dateien zu verschlüsseln, blockt enSilo diesen Vorgang. Die Schadsoftware ist damit unschädlich gemacht, aber zunächst weiterhin auf dem Endgerät vorhanden. Normalerweise müsste man nun die Malware von dem Rechner entfernen, was aber immer das Restrisiko birgt, dass man den Schadcode nicht vollständig entfernt bekommt. Hier kann man per EgoSecure-Orchstrierungsmodul der UEM-Lösung (Unified-Endpoint-Management, d.Red.) von Matrix42 die Anweisung erteilen, die betroffenen Rechner neu aufzusetzen. Das vermeidet, dass man diese Rechner einzeln anfassen muss. Parallel dazu wird im ITSM (IT-Service-Management, d.Red.) ein Trouble-Ticket erstellt und nach dem Neuaufsetzen der Endpunkte automatisch wieder geschlossen.

LANline: Wie richtet die IT-Abteilung solche Abläufe ein?

Sergej Schlotthauer: Das IT-Team legt per Workflow-Manager fest: „Falls das Event X eintritt, wird folgender Workflow ausgeführt.“ Für häufig vorkommende Events oder Incidents sind bereits knapp 100 Workflows hinterlegt, man kann diese aber auch erweitern oder anpassen. Jeder Vorgang wird dabei automatisch im ITSM als Ticket angelegt, unabhängig davon, ob es sich um das automatisierte Onboarding eines neuen Mitarbeiters handelt oder um einen Sicherheitsvorfall. Bei Incidents entscheidet ein Experte am Service-Desk, was mit dem Ticket passieren muss.

LANline: Welche automatisierten Workflows könnte ein Sicherheitsvorfall auslösen?

Sergej Schlotthauer: Unsere Software könnte – je nach Vorgabe der IT-Abteilung – zum Beispiel bei auffälligem Verhalten eines Endpunkts den verdächtigen Rechner in Quarantäne setzen, die USB-Ports sperren, alle Geräte des Nutzers sperren oder auch den Rechner herunterfahren. Wichtig dabei: Die IT-Abteilung kann beliebig viele Events anlegen, die Automatismen anstoßen, und es geht nicht um ein entweder/oder, sondern es sind stets mehrere Reaktionen zugleich möglich.

LANline: Woran erkennt Ihre Lösung, welche Software erlaubt ist und welche nicht?

Sergej Schlotthauer: Viele Unternehmen setzen hier auf eine Blacklist, wir empfehlen hingegen einen Whitelist-Ansatz: Die IT-Organisation gibt vor, welche Applikationen erlaubt sind. Whitelists gelten als aufwendig zu verwalten und aktuell zu halten, doch dank der Integration in Matrix42 ist das in unserem Fall ganz einfach: Alles, was mit Emprium (der Software-Engine hinter Matrix42 UEM, d.Red.) verteilt wurde, ist automatisch auf der Whitelist. Im Fall von Mobilgeräten regeln wir das über das Mobile-Application-Management der Matrix42-eigenen Lösung Silverback.

LANline: Wie ist die enSilo-Lösung in diese Workflows eingebunden?

Sergej Schlotthauer: Auch die enSilo-Software wird per Workflow angestoßen. Da es sich aber letztlich um einen Fremdhersteller handelt, auch wenn Matrix42 in Europa als alleiniger Vertriebspartner von enSilo agiert, erfolgt dies über einen Connector, der den Workflow an enSilo übergibt. Dieser Prozess umfasst auch die Rückmeldung, dass enSilo angestoßen wurde.

LANline: Kommen wir von der Applikations- zur Datensicherheit. Wie macht sich die Integration von Matrix42 und EgoSecure hier bemerkbar?

Sergej Schlotthauer: Unsere Software umfasst, wie erwähnt, eine Verschlüsselung der Datenbestände, einschließlich der Daten auf Mobilgeräten. Auch hier gibt es eine Synergie: Matrix42 hatte bereits eine App für den Umgang mit Dateien, unsere Verschlüsselung ist jetzt einfach Teil dieser Documents App. Im Zusammenspiel ermöglichen wir damit einen geräteübergreifenden Zugriff auf verschlüsselte Daten.

LANline: Vertreibt Matrix42 die EgoSecure-Software ausschließlich als UEM- oder Service-Management-Add-on, oder gibt es weiterhin dedizierte EgoSecure-Projekte?

Sergej Schlotthauer: Es gibt nach wie vor Projekte, bei denen ein Unternehmen ausschließlich eine EgoSecure-Lösung kauft, zum Beispiel nur Insight. Aber wir haben ein gemeinsames Vertriebsteam.

LANline: Wie sieht die Roadmap für die Security-Produkte von Matrix42 aus?

Sergej Schlotthauer: Die Integrationsthematik wird uns sicher noch ein paar Jahre beschäftigen. Unabhängig davon arbeiten wir am Ausbau der DLP-Funktionalität. DLP wird oft nachgefragt, aber wenig genutzt, da es aufgrund der erforderlichen Klassifizierung aller Dateien um Unternehmen kompliziert einzuführen ist. Dies wollen wir erleichtern: Wir werden eine Funktionalität einführen, mit der ein Endanwender selbst über das Vertraulichkeitsniveau der jeweiligen Datei entscheidet. Auf der Basis dieser Vorgabe durch den Benutzer wird dann automatisch ein Regelsatz hinterlegt. Das ist zwar keine „100-Prozent-Lösung“, aber es ist eine pragmatische Lösung, um die Datensicherheit im Unternehmen deutlich zu verbessern.

LANline: Und wenn wir den Blick weiter in die Zukunft richten?

Sergej Schlotthauer: Mittelfristig wird Quantum Encryption (Quantencomputer-sichere Verschlüsselung, d.Red.) eine wichtige Rolle spielen. „Quantencomputer werden in zehn bis 15 Jahren marktreif sein“, so hört man heute – und das hat man auch schon vor zehn, 15 Jahren gesagt. Als Hersteller müssen wir uns jedenfalls damit befassen, dass verschlüsselte Dateien auch in zehn, 15 Jahren noch vor ungefugtem Zugriff sicher sind. Deshalb beschäftigen wir uns bereits mit dieser Thematik.

LANline: Viele Anbieter werben heute damit, dass ihre Lösungen künstliche Intelligenz nutzen. Matrix42 hält sich hier eher zurück. Werden Sie künftig ebenfalls auf KI setzen?

Sergej Schlotthauer: Wir haben bereits sozusagen eine „kleine KI“, die die Ticket-Datenbank analysiert und zu den Incidents passende Tickets aufspürt. Das funktioniert jetzt schon, und das werden wir künftig auch für unsere Security-Lösung nutzen. Hier geht es bislang aber nur um reine Mustererkennung. Das funktioniert zum Beispiel auch im Antivirus-Bereich gut, nicht aber für das Aufspüren von Insider-Bedrohungen. Spannend wird der KI-Einsatz, wenn es darum geht, Muster zu entdecken, die wir noch gar nicht kennen, um daraufhin einen Verdacht zu äußern.

LANline: Herr Schlotthauer, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.