RSA ernennt als Konsequenz aus dem Einbruch "Chief Security Officer"
Die Tochterfirma von EMC ernennt Edward Schwartz zum Security-Chef - einer offenbar als Konsequenz des Einbruchs und des nachfolgenden Debakels mit den SecureID-Tokens neu geschaffene Stelle.
Als eine der Konsequenzen aus dem Einbruch ernennt RSA nun Edward Schwartz zum Chief Security Officer. Schwartz bekleidete bislang bereits eine ähnliche Position bei der kürzlich vom Mutterkonzern EMC aufgekauften Firma NetWitness.
Vor knapp drei Monaten brachen Unbekannte über Sicherheitslücken in das Netz der Sicherheitsfirma ein. Dabei konnten sie unter anderem Informationen stehlen, die die Sicherheit der SecureID-Tokens massiv beeinträchtigte. Einige Zeit später gelang es, mit nachgebauten Tokens in das VPN des Rüstungskonzerns Lockheed Martin einzubrechen. In der Folge musste sich RSA bereit erklären, die SecureID-Tokens auszutauschen, wenn die Kunden das wünschen, was bei 40 Millionen verkauften Exemplaren sicher nicht mehr aus der Portokasse zu bezahlen ist.
RSA erntete in dieser Affäre heftige Kritik – unter anderem für die Art und Weise, wie mit dem Vorfall umgegangen wurde. So hat die Firma bis heute nicht erklärt, was die Einbrecher tatsächlich klauen konnten und wie das genau die Sicherheit der Tokens beeinträchtigt. Auch bei den Beteuerungen, dass die neuen Tokens sicherer seien, beschränkt man sich auf wolkige Beteuerungen und das Versprechen, die Seeds nun in einem Hardware-Sicherheitsmodul zu lagern. Konkrete Informationen, etwa wie dieses HSM in die Prozesse eingebaut werden soll und gegen welche Angriffe es denn eigentlich schützen soll, gibt es nicht.
Dass RSA nun die Stelle eines Chief Security Officers einrichtet, kann man durchaus als Schritt in die richtige Richtung werten. In den meisten Firmen ist das Thema Sicherheit in der IT-Abteilung eingeordnet. Das ist in etwa so sinnvoll, wie den IT-Chef zum Datenschutzbeauftragten zu ernennen, denn die Zielsetzungen sind häufig gegenläufig. Aufgabe des IT-Chefs ist es, die Dienstleistung IT möglichst reibungslos und vor allem kostengünstig zu gestalten. Zusätzliche Sicherheitsvorkehrungen stören da nur. Die Stelle des Security-Chefs so aufzuwerten, dass er zumindest formal mit dem IT-Chef auf Augenhöhe kommuniziert, kann also durchaus ein Schritt in die richtige Richtung sein.
Schwartz ist sich der Herausforderung des neuen Jobs durchaus bewusst. So retweetete er die Twitter-Nachricht "Good luck to @eddieschwartz Only job more public and challenging at the moment would be CSO of Sony". Im Übrigen hat auch Sony erst nach dem Einbruch ins Playstation Network und dem Klau von über 100 Millionen Kreditkarten-Datensätzen die Stelle des Chief Information Security Officers eingerichtet. (ju)
