©2025 Akamai Technologies
Wenn Ihr Unternehmen Elemente aus den Bereichen Finanzdienstleistungen, Einzelhandel und Gaming umfasst, benötigen Sie einen flexiblen Sicherheitsansatz, der interne Ressourcen mit Lösungen von Drittanbietern kombiniert. Online-Trading-Anbieter CMC Markets bildet da keine Ausnahme.
Philip Yeo, Head of Security bei CMC Markets, erläuterte kürzlich in einem Gespräch mit Akamai, wie das Unternehmen bei einem Zero-Day-Vorfall ununterbrochene Wachsamkeit mit einer blitzschnellen Reaktion vereint.
Er spricht auch über die Rolle, die Akamai beim Schutz des Unternehmens spielt, und darüber, wie Regulierungsbehörden und Versicherer auf die fortwährende Bedrohung durch Zero-Day-Angriffe Zero-Day-Angriffe reagieren.
Hier eine Abschrift des vollständigen Gesprächs:
Natalie Billingham: Ich freue mich sehr, heute Phil Yeo zu Gast zu haben, der bei CMC Markets für die Sicherheit verantwortlich ist. Phil, willst du dich kurz vorstellen und uns etwas mehr darüber erzählen, was du tust?
Philip Yeo: Gerne, danke dir. Ich bin der Head of Security bei CMC Markets. Wir sind ein globaler Anbieter von Online-Retail-Trading. Was die Sicherheit angeht, sind wir ein bisschen wie der Einzelhandel, da wir viele Endnutzer haben, die über viele verschiedene Arten von Geräten auf unsere Services zugreifen. Wir sind außerdem ein bisschen Fintech, weil wir wie Finanzdienstleister stark reguliert werden. Und wir sind ein bisschen wie die Gaming-Branche, da ein Großteil der Interaktion unserer Nutzer sehr zeitempfindlich ist. Schlechte Verbindungen oder gar Verbindungsabbrüche würden zu äußerst unzufriedenen Kunden führen.
NB: Wie hat deine Reise mit Akamai begonnen?
PY: CMC Markets gibt es schon seit einer Weile. Wir haben unsere Technologie, Plattform und unsere Produkte im Vereinigten Königreich entwickelt. Heute bedienen wir Kunden aus vielen Ländern in Asien und Europa sowie in Australien und Kanada. Diese Kunden wollen Echtzeit-Preisstreaming und -diagramme sowie die Möglichkeit, Intraday-Trading durchzuführen. Die Qualität der Verbindung und die Gesamtperformance sind uns sehr wichtig.
Wir hatten ursprünglich das CDN eines anderen Anbieters implementiert, das aber nicht wirklich gut lief. Doch wir haben daraus gelernt, dass wir die Edge-Netzwerke nicht selbst verwalten wollen. Akamai trat außerdem zu einem Zeitpunkt auf den Plan, als wir gerade dabei waren, unsere WAF‑Technologien auszubauen. DDoS- und DNS‑Schwachstellen standen ebenfalls auf meiner Agenda. Als wir uns Akamai angesehen haben, haben wir erkannt, dass wir die Content-Delivery-Plattform, das Rechenzentrum, den DDoS-Schutz sowie Site Shield und die WAF als Managed Service erhalten konnten. Das war wirklich eine leichte Entscheidung.
Wir haben uns zunächst auf den Schutz einiger Produkte konzentriert, die auf den Markt im Vereinigten Königreich und in Australien ausgerichtet waren. Aber so wie der Vertrag funktionierte, konnten wir – nachdem wir die kniffligen Aspekte erledigt hatten – alles mit der Sicherheitsschicht von Akamai schützen. Wir haben es zu unserer Standardrichtlinie gemacht, dass alles, was dem Internet und der Öffentlichkeit zugänglich ist, hinter Akamai steht.
Unsere Web-, Marketing- und SEO‑Mitarbeiter hatten kein Problem damit, da die Performance einheitlicher war und die Beschwerden unserer internen Kunden reduziert wurden. Hinsichtlich der internen Sicherheit kann es nichts Besseres geben. Wenn sich die Marketing-Leute und das Produktteam nicht über Sicherheit beschweren, ist das ein Gewinn!
Die Managed Services von Akamai haben uns auch hierbei unterstützt. Während der monatlichen Anpassungen hat das Team ein klares Verständnis unseres Risikoprofils demonstriert. Das gilt vor allem, wenn Sie uns dabei helfen, False Positives zu vermeiden. Denn es kann ein riesiges Problem darstellen, wenn Sie einen legitimen, hochwertigen Kunden blockieren.
NB: Fallen dir noch weitere Herausforderungen im Bereich der Cybersicherheit ein, vor denen die Finanzbranche derzeit steht?
PY: Es gibt so viele Dinge, die schiefgehen können. Die Bedrohung durch Ransomware ist real. Wir versuchen zu verhindern, dass Menschen Phishing zum Opfer fallen und dass Malware in unsere Umgebung gelangt. Dann wäre da noch der ständige regulatorische Druck – Audits kommen gefühlt nonstop.
NB: In der Welt der Finanzdienstleistungen gibt es einige besonders große Herausforderungen. Ohne jetzt vertrauliche Informationen preiszugeben: Wie überwindet ihr diese Herausforderungen?
PY: Ich denke, die Zero-Trust-Ideologie ist unheimlich sinnvoll. Wir haben uns Gedanken darüber gemacht, eine Art von Privileged Access Management zu implementieren. Aber das ist eine Menge Arbeit und man braucht mehrere Lösungen, um so ein Modell zu erreichen. Es gibt keine Patentrezepte für uns. Aber falls es irgendwer weiß, sagen Sie es mir bitte!
Besser läuft es dort, wo es jede Menge interne Entwicklung und lokale Rechenzentren gibt, die gemanagt werden müssen. Doch an den Stellen, wo wir mit Cloudtechnologien eine Transformation erreicht haben, und in einer Situation, in der verschiedene Geschäftsbereiche Produkte so schnell wie möglich ausliefern, stellt das Ganze eine weitere Herausforderung für die Sicherheit dar.
Wie können wir uns verbessern, wenn wir ausgezeichnete Sicherheit wollen? Und wie schaffen wir das, ohne den Entwicklungszyklus zu verlangsamen? Man kann viele Elemente in die automatische Compliance integrieren, um Governance- und Sicherheitsrichtlinien über die gesamte Bereitstellungspipeline hinweg durchzusetzen. Und dann können wir das Ganze mit der WAF-Edge-Plattform von Akamai abdecken.
NB: Es ist immer viel los – vor allem, wenn man viele Märkte und verschiedene Geschäftsbereiche bedient. Obwohl ihr in der Finanzdienstleistungsbranche tätig seid, liegt ihr auch nahe am Gaming, wie du vorhin gesagt hast. Wie geht ihr mit Spitzenevents und plötzlichen Anstiegen der Verbraucheraktivität um?
PY: Wir mussten die Kapazität priorisieren, denn wenn wir nicht online sind, gehen unsere Kunden möglicherweise woanders hin. Wir haben einige großartige Leute, die die Kapazitätsüberwachung übernehmen. Sie untersuchen die geschäftigsten Momente des Tages, die Latenz der Trades und die Kapazität, die wir benötigen. Wir haben jede Menge Kapazitätsmodelle erstellt und uns dann externe Hilfe für den CDN‑Part und den DDoS-Schutz geholt.
NB: Du hast vorhin schon über eure Mitarbeiter gesprochen. Eine der Herausforderungen, die wir alle in der Sicherheitsbranche kennen, besteht darin, gute Sicherheitsmitarbeiter zu finden. Wie hat Akamai euch dabei geholfen, interne Ressourcen freizusetzen, damit ihr euch stärker auf Projekte mit hoher Priorität konzentrieren könnt?
PY: Bei unserem früheren Anbieter stellte sich die Frage, wer die Richtlinie für all die Anwendungen verwalten sollte. Ich dachte, wir könnten das übernehmen. Aber irgendwann sprachen wir darüber, dass die Entwicklerteams einige dieser Richtlinien verwalten sollten. Da haben wir erkannt, dass das Ganze nicht machbar war. Das war der Wendepunkt, der uns zu Kona Site Defender als Managed Service brachte. Damit müssen wir uns nicht mehr auf die Feinabstimmung konzentrieren.
Mein Chef und ich haben uns über die Jahre viel mit Outsourcing und Managed Service Providern beschäftigt. Man muss eine Lösung finden, die genau richtig ist – schließlich vertraut man hier anderen Menschen die eigene Sicherheit an.
Wir wollten Bereiche finden, die wir an einen Serviceanbieter outsourcen – oder in denen wir mit ihm zusammenarbeiten – konnten, um einen Mehrwert zu schaffen. Doch hierdurch durften wir nicht die Kontrolle verlieren, die wir brauchen, um schnell reagieren zu können. Wenn es ein Problem gibt, wollen wir die Leute sofort telefonisch erreichen können.
NB: Ja, darüber sprechen wir mit vielen Kunden. Sie wünschen sich Kontrolle, Services und Kundennähe. Aber sie wollen auch ihre eigene Agilität und Handlungsfähigkeit behalten. Mit der Komplexität und Spezialisierung des Sicherheitsstacks wird eine solche vertrauensvolle Partnerschaft immer wichtiger.
PY: Absolut. Wir erleben es bereits bei einigen der anderen Bereiche, die wir für Outsourcing in Betracht gezogen haben. Wir wollen in der Lage sein, Überschreibungen, Bereitstellungen oder Rollbacks durchzuführen, wann immer wir wollen. Wenn wir das nicht können, ist das Ganze nicht wirklich praktikabel. Auf der anderen Seite haben wir nicht die Fähigkeiten, die für den gesamten Stack und alle Produkte erforderlich sind.
NB: Das ist ein guter Rat. Was können andere Akamai-Kunden im Publikum von uns oder einem anderen Anbieter verlangen, um dieses Vertrauen aufzubauen?
PY: Akamai genießt weltweites Vertrauen. Bei euch gab es im letzten Jahr einen Vorfall, der uns etwas betroffen hat. Aber die Art und Weise, wie ihr damit umgegangen seid, der Bericht nach dem Vorfall und die allgemeine Transparenz … ihr habt eine ganze Reihe von Maßnahmen implementiert, die uns zeigen, dass ihr die Sache wirklich ernst nehmt. Man hat gemerkt, dass ihr unseren Schmerz teilt.
NB: Und wenn du an die allgemeine Landschaft der Sicherheitsanbieter denkst, gibt es bestimmte Bereiche, auf die du dich konzentrierst?
PY: Ich bin seit 15 Jahren im InfoSec-Bereich tätig und die Verkaufsrhetorik ist manchmal erschreckend unwahr. Niemand kann 100‑prozentigen Schutz mit null False Positives bieten – das ist einfach unrealistisch und nicht hilfreich. Wir brauchen Anbieter, die ihre Behauptungen belegen oder uns die Informationen geben, die wir brauchen, um sie zu bewerten.
NB: Ich denke, man muss die richtige Lösung für das eigene Unternehmen finden, nicht wahr? Da wir gerade bei der Beratung sind: Die letzten Jahre waren in vielerlei Hinsicht etwas ungewöhnlich. Was habt ihr gelernt? Welchen Rat würdest du deinen Kollegen geben?
PY: Ich bin sicher, dass ich euch nichts erzählen kann, was ihr nichts schon selbst wisst. Das Tempo der Reaktion nimmt zu. Wir haben mit einem unserer Versicherungsmakler über den aktuellen Stand der Dinge gesprochen – es war interessant, weil es sich manchmal so anfühlt, dass sich Regulierungsbehörden und Standards widersprechen. Versicherer zahlen für Ransomware-Angriffe – und das merkt man auch. Sie stellen recht gezielte Fragen zu unseren Sicherheitsmaßnahmen.
Unter anderem haben sie festgestellt, dass sich die Zeitspanne zwischen dem Eindringen in ein Netzwerk und dem Eintreten schlimmer Ereignisse massiv verkürzt hat. Man muss schneller reagieren.
Man muss ein Eindringen so früh wie möglich erkennen, wenn es geschieht. Und wenn man nicht in der Lage ist, innerhalb einer angemessenen Zeitspanne zu reagieren, ist das nicht gut. Die Zeit, die zur Schadensbegrenzung zur Verfügung steht, wird immer kürzer.
Es ist hilfreich, wenn man auf das Wissen einer größeren Community cleverer Sicherheitsfachleute zurückgreifen kann. Twitter ist hier manchmal hilfreich. Wen hat es zuerst erwischt? Wissen wir, worum es geht? Haben wir eine Regel dafür? Können wir sie bereitstellen? Log4J ist ein gutes Beispiel für einen Fall, in dem das alles schwierig war. Aber wir hatten unsere Akamai WAF im Einsatz und haben mit euch telefoniert. Das hat uns etwas Luft verschafft.
NB: Da gibt es eine ganze Menge zu bewältigen, nicht wahr? Um schnell zu reagieren, vor allem bei Ransomware? Vor allem, weil die Reaktionszeit immer kürzer wird und die Versicherer einem im Nacken sitzen.
PY: Und während der Pandemie haben alle Stunden über Stunden über Stunden investiert. Man steht früher auf, man arbeitet den ganzen Tag – und dann wurde den Leuten klar: „Moment mal, es gibt doch auch ein menschliches Element.“ Wir strukturieren unsere Teams so, dass sie schnell reagieren können und immer am Ball bleiben. Aber wie können wir auch Maßnahmen ergreifen, damit die Leute nicht ausbrennen?
NB: Und wie stellt ihr das an?
PY: Ich führe immer wieder solche Gespräche mit dem Management. Ich sage ihnen: „Wie oft kann man mit einem Beinahe-Unfall davonkommen, wenn sich nur ein paar Leute wie Superhelden verhalten?“ Wir wollen mehr Menschen befähigen, entwickeln, anleiten und von anderen lernen.
NB: Das leuchtet ein. Wenn wir einen Blick in die Zukunft werfen, was siehst du am Horizont?
PY: Die grundlegenden Fehler passieren immer noch. Es gibt nichts, das einen daran hindert, Webentwickler zu werden. Die Fehler, die vor 30 Jahren gemacht wurden, treten heute immer noch auf. Und die Anforderungen werden immer schwieriger und komplexer.
Es geht um Cyberversicherung und -sicherheit – was seltsam ist, denn in der physischen Welt würde man denken: „Sollte es mir nicht zu denken geben, dass ich ausgeraubt werde und nichts dagegen tun kann?“ Aber welche Regierungen arbeiten zusammen, um diese Landschaft zu verändern? Es gibt viele Technologieunternehmen, die eine Vorreiterrolle spielen, was interessant ist. Aber wollen wir wirklich, dass unsere Vorschriften von Technologieunternehmen festgelegt werden? Ich weiß es nicht.
NB: Ja, derzeit wird hart daran gearbeitet, die öffentliche Politik zu gestalten. Und die Vorschriften in der EU, im Vereinigten Königreich und in den USA sind unterschiedlich. Angesichts des Krieges in der Ukraine ist das im Moment ein wichtiges Gebiet. Gibt es bestimmte Technologien, die Sie mit Blick auf die Zukunft einsetzen wollen?
PY: Das hängt davon ab, was wir uns ansehen. Bei einem völlig neuen Projekt würde ich heute ganz anders anfangen. Ich denke viel über Zero Trust nach, insbesondere über Mikrosegmentierung. Und ich will herausfinden, was man mit serverlosen Workloads erreichen kann.
NB: Hat jemand aus dem Publikum Fragen an Phil?
Publikum: Was die Automatisierung und die künstliche Intelligenz betrifft, wie wohl fühlen Sie sich mit Ihrer Automatisierungsreise? Wie tief kann sie in Ihre Sicherheitslandschaft eindringen?
PY: Wir haben überhaupt keine Angst davor. Wir sprechen von heuristischen Machine-Learning-Modellen, die lediglich mathematische Annäherungen darstellen. Wenn man weiß, was man verwendet und wo man es einsetzt, kann Automatisierung sinnvoll sein – oder auch nicht. Das hängt von der jeweiligen Situation ab. Sie können eine starre Regel oder eine kompliziertere Regel verwenden. Musterabgleiche sind in manchen Situationen eine gute Idee, in anderen wiederum nicht.
Unsere internen Verfahren wollen wir hierbei eigens entwickeln. Doch wir suchen nach Anbietern, wo unsere Algorithmen in die Tiefe gehen und trainieren können. Wir verbringen Stunden damit, Anomalien zu erkennen – das ist eine echte Hilfe bei der Fehlervermeidung und der Kapazität.
Ein Kollege von mir hat eine Reihe von Überwachungstools entwickelt, die nach Anomalien suchen. Damit haben wir auch ohne klassische Machine-Learning-Modelle viel erreicht. Ich glaube, dass es immer noch einen gewissen Hype um diese Technologie gibt. Aber insgesamt hätte ich keine Angst vor einem Service, der maschinelles Lernen einsetzt.
Publikum: Sie haben erwähnt, wie Sie in Krisensituationen über Twitter mit anderen kommunizieren. Wie wichtig wird diese Community Ihrer Meinung nach in Zukunft sein, und welche Rolle sehen Sie für einen Anbieter wie Akamai?
PY: Twitter ist großartig. Ich bin kein besonders prominenter Nutzer, aber ich spreche über diese Kanäle mit Leuten, die ich kenne. Ich finde es toll, wenn jemand eine schädliche Zeichenfolge findet, die er mit dem Rest der Community teilen kann. Es gibt Anbieter, die Informationen zusammenstellen und tun, was sie können. Viele der Sicherheitsanalysten sind hervorragend. Sie haben den Finger am Puls der Zeit. Ich möchte von jedem lernen, der ein Problem bereits gelöst hat. Wir wollen unsere Erfahrungen weitergeben, wenn es etwas gibt, das für die Nutzercommunity ist.
NB: Phil, vielen Dank, dass du dir die Zeit genommen hast, mit uns zu sprechen. Wir wissen es wirklich zu schätzen.
PY: Vielen Dank.