Zu den neueren Begriffen, die die IT hervorgebracht hat, gehört IoT. Das Internet of Things (IoT) besteht laut den Analysten von Forrester aus einer zunächst unbestimmten Menge an IT-Geräten im weiteren oder näheren Umfeld eines Unternehmens, „die zu 100 Prozent sichtbar gemacht werden müssen, um ihr Verhalten zu beobachten, Bedrohungen aufzuspüren und Handlungen aufzunehmen, um das Geschäft zu schützen“. Eine Zeitlang sah es so aus, als ob IoT der absolute Renner in der Welt der IT werden würde – ständig tauchten neue auf IoT spezialisierte Start-ups auf, und auch die Großen der Branche wie Dell oder IBM entdeckten bald dieses neue Betätigungsfeld. Doch bald verschwand IoT auch wieder aus den Schlagzeilen.
Dies ist nicht damit gleichzusetzen, dass die Problematik und die Gefahren von IoT eine reine Übertreibung gewesen wären. Denn in vielen Unternehmen ist es im Laufe der Jahre zu einer Flut an IoT- und anderen Geräten gekommen, über die die IT-Abteilung die Kontrolle verloren hat. Neben IoT spielen auch OT (Operational Technology) und ICS (Industrial Control Systems) eine Rolle in dieser schwer zu überwachenden Gerätewelt.
Armis gehört zu den wenigen IT-Herstellern, die sich dieser Problematik angenommen haben. Mehr Geräte in den Unternehmen und ihrer IT-Umgebung verlangen laut dem Unternehmen danach, die damit zusammenhängenden Prozesse zu digitalisieren und gemeinsam zu verwalten – gerade wenn viele dieser Geräte zunächst ein Eigenleben führen.
Zu den OT-Geräten gehören Produktionssysteme, Gebäude, Zugangskontrollen, Klima- und Licht-Apparaturen oder medizinische Systeme, die heute alle über Informationstechnik gesteuert werden, aber nicht automatisch in ein Unternehmensnetzwerk integriert sind. Zur OT-Kategorie gehören auch klassische Bürosysteme wie zum Beispiel smarte Drucker oder TV-Geräte. Allen ist gemeinsam, dass neben ihrer Grundausstattung mit einem Stück begrenztem Betriebssystem auf ihnen keine weitere Software installiert werden kann, wie es bei einem Server oder PC grundsätzlich der Fall ist. Teilweise sind sie wie zum Beispiel medizinische Apparate explizit abgetrennt von Netzwerken.
Armis hat sich zur Aufgabe gemacht, Wege zur eindeutigen Identifizierung dieser Gerätschaften zu finden: Zu welchen Netzwerksegmenten gehören sie? Wie kann man ihr besonderes Verhalten nachvollziehen? Verhalten sie sich regelkonform, und wie kommunizieren sie mit anderen Geräten oder IT-Systemen in Sachen Compliance?
Im Grunde geht es dabei um diese bisherige Trennung von zwei Welten – die der klassischen IT mit ihren eigenen Gesetzen und Verhaltensweisen und die der neuen Gerätewelt innerhalb oder am Rande der IT. Sie sollen einem dauerhaften, nach Regeln organisiertem Asset- oder Bestands-Management unterzogen werden – oberflächliche Ansätze werden dem nicht gerecht, und viele sind auch wieder vom Markt verschwunden. Hardware, Software und Services und die für sie verwendeten Strukturen und Gerätschaften müssen analytisch so verknüpft werden, dass „one source of truth“ für alle Bestandteile geschaffen wird, um die mit ihnen verbundenen Risiken in den Griff zu bekommen. Wie kann man diese Geräte kontrollieren und schützen, auch ohne die Installation von Software auf ihnen und ohne sie direkt per Scans ansprechen zu können? Inwiefern tragen sie zur Business Continuity bei? Und welche Schwachstellen und Risiken weisen sie auf?
Der Ansatz des Unternehmens ist dabei in gewisser Weise „passiv“: Es geht um jene Geräte, die zum großen Anteil nicht aktiv in ein Unternehmensnetzwerk eingeschlossen sind. Es schließt diese Lücke und kümmert sich um jene Geräte, auf denen zum Beispiel keine Antivirus- oder Endpoint-Detection-Software installiert ist; zudem darum, wie man diese Geräte trotzdem absichern kann und wie man mit ihnen verbundene Risiken ausschalten oder begrenzen kann.
Armis und der Aufbau von Gegenstrategien
Das Unternehmen wurde 2015 in Israel gegründet, wo sich noch immer Teile von Research & Development sowie Support befinden. Der offizielle Hauptsitz des Unternehmens befindet sich heute in Palo Alto/Kalifornien, von wo aus auch die Kunden in den USA betreut werden. Weitere regionale Niederlassungen befinden sich in Europa und Asien. Im Januar 2020 wurde Armis von Insight Venture Partners für eine Milliarde Dollar übernommen, nachdem zuvor 2019 in einer dritten Finanzierungsrunde 65 Millionen Dollar aufgebracht worden waren. Im gleichen Jahr 2020 kaufte Insight auch den Backup-Spezialisten Veeam für fünf Milliarden Dollar – in beiden Fällen eine eher seltene Strategie von Venture Capitalists. Nach der letzten Finanzierungsrunde beläuft sich der Unternehmenswert auf 3,4 Milliarden Dollar. Erfolg versprechende Anbieter werden für eine Zeitlang vom Markt genommen, um sie unter neuer Führung technologisch und personell zu rekonstruieren und so ihren Marktwert zu steigern. Ein zukünftiger Gang an die Börse mit dem Ziel, die Investitionen wieder hereinzuholen, wird explizit nicht ausgeschlossen.
Bei Kontakten mit Kunden des Unternehmens geht es zunächst oft um das Thema Security. Sie erhalten dann eine vollständige Übersicht über die Geräte und eventuelle Risiken. Diese Übersicht geht über MAC- und IP-Adressen hinaus: Die Technologie kann den Kunden konkrete Angaben darüber liefern, welche Geräte zum ersten oder letzten Mal in der IT-Infrastruktur sichtbar waren oder welche Applikationen mit ihnen im Netzwerk kommunizierten. Viele von diesen Informationen über die eingesetzten Geräte sind in den Unternehmen verloren gegangen oder existierten nie. Zuverlässigkeit und Sicherheit sind das Ziel, doch zunächst muss die Übersicht über alle Bereiche hinweg gewonnen werden. Im ersten Schritt muss man verstehen, welche Nicht-IT-Geräte sich über die bekannten IT-Geräte hinaus im Unternehmen befinden, wobei selbst die Masse der nicht so bekannten IT-Geräte eine Herausforderung für die IT-Abteilung sein kann. Im zweiten Schritt müssen dann die Bereiche von IoT, OT, Gebäudemanagement usw. gescannt und untersucht werden, ohne dass man auf ihnen ein Stück Software installieren kann.
Armis hat über die letzten Jahre hinweg eine große Datenbank aufgebaut, die erstens viele Geräteprofile erfasst und gespeichert hat, und die zweitens durch Datenabgleiche weitere Datenprofile erkennen und einordnen kann. Dieses gesammelte Wissen liegt auf der Seite von Armis und stellt die Basis zur Verfügung, Assets und Inventar von Kunden zu beurteilen. Mit diesem „passiven“ Ansatz kann der gesamte Netzwerk-Traffic des Kunden, kabelgebunden oder über WLAN-Controller, zu durchforsten. So wird der Traffic, den die Geräte im Unternehmensnetzwerk verursachen, sichtbar und es können daraus die Metadaten über die Geräte in die eigene Datenbank abgeleitet werden. Auf dieser Basis erfährt der Kunde, welche Geräte er wirklich in seinem Netzwerk hat und wie sie sich normalerweise verhalten oder welche Abweichungen und Probleme es gibt. Das Verhalten von Geräten, die sich im Netzwerk befinden und noch nie aktiv geworden sind, kann man auf diese Weise allerdings nicht erkennen. Aber alle Geräte, die im Netzwerk kommunizieren und Traffic verursachen, sind anhand ihrer Telemetrie-Daten zu erkennen und durch den Abgleich mit der Armis-Datenbank einzuordnen.
