Sadrick Widmann im Interview mit cybernews: „Es gibt eine ganze Reihe von Maßnahmen zur Cybersicherheit, die ein Unternehmen heutzutage umsetzen sollte“
15.09.2022 / 16:00
Als Identity and Access Management (IAM) wird eine Reihe von Tools zur Verwaltung von Rollen und Zugriffsrechten einzelner Netzwerkeinheiten auf verschiedene Cloud- und On-Premise-Anwendungen bezeichnet.
Der Hauptzweck von IAM ist eine einzige digitale Identität für alle und alles. Sobald diese festgelegt ist, muss sie während des gesamten Zugriffszyklus eines jeden Benutzers oder Geräts beobachtet und geändert werden.
Cybernews hat sich mit Sadrick Widmann, dem CEO des auf Cloud IAM spezialisierten Unternehmens cidaas, zusammengesetzt, um die wichtigsten Probleme in diesem Bereich zu besprechen.
Wie kam es zur Gründung von cidaas? Was würden Sie als die größten Meilensteine im Laufe der Jahre bezeichnen?
Die Idee zu cidaas entstand aus einem Kundenprojekt von WidasConcepts. Damals suchte ein bekanntes deutsches Medizintechnikunternehmen eine Lösung für das Identitäts- und Zugriffsmanagement seiner Kunden, die nicht nur die Verwaltung von Identitäten, sondern auch deren Authentifizierung und Autorisierung auf einer zentralen Plattform ermöglichen sollte.
Nach der Evaluierung mehrerer Softwarelösungen kamen wir zu dem Schluss, dass kein Anbieter alle Anforderungen „out-of-the-box“ abbildet und dass ein erheblicher Entwicklungsaufwand erforderlich wäre, um die Lösung wie gewünscht zu konfigurieren. Das Ergebnis ist cidaas – Europas #1 Cloud Identity & Access Management.
Können Sie uns Ihre Identitätsplattform vorstellen? Was sind ihre wichtigsten Merkmale?
cidaas ist das führende europäische Cloud Identity & Access Management und liefert eine Out-of-the-Box-Lösung, mit der Unternehmen eine einheitliche Identität über alle Kanäle und höchste Sicherheit aufbauen können.
cidaas zeichnet sich insbesondere durch Feature-Vollständigkeit (feature complete) aus. Von den umfangreichen Authentifizierungsmöglichkeiten für Login oder Multi-Faktor-Authentifizierung bis hin zu unserem Gruppenmanagement, mit dem B2B-Anwendungsfälle oder Familien- und Freundes-Szenarien einfach umgesetzt werden können, sowie unserem erweiterten Einwilligungsmanagement. Aber auch innovative Funktionen wie die Real World Identification, mit der die digitale und die reale Identität der Nutzer miteinander verknüpft werden können spielen eine große Rolle.
So kann damit beispielsweise der Zutritt zu Stadien oder Veranstaltungen verwaltet werden. Der cidaas ID validator, mit dem eine digitale Identitätsprüfung über ein AutoIdent-Verfahren durchgeführt wird, kann zum Beispiel für die Eröffnung eines Bankkontos oder für die digitale Führerscheinprüfung verwendet werden und runden die Plattform ab.
Ein wichtiges Merkmal der cidaas-Plattform, welches unsere Kunden oft hervorheben, ist der „Everything is an API“ -Ansatz und die ereignisbasierte Architektur von cidaas. „Everything is an API“ ermöglicht den Zugriff auf alle Funktionen von cidaas über eine API und die ereignisbasierte Architektur erlaubt es, in Echtzeit auf alle Ereignisse zu reagieren, die auf der cidaas-Plattform stattfinden. Beide Funktionen ermöglichen eine perfekte Integration von cidaas in jede Softwarelandschaft oder Anwendung.
Welches sind die gängigsten Methoden, die Angreifer verwenden, um verschiedene Maßnahmen zur Identitätsprüfung zu umgehen?
Es gibt verschiedene Angriffsvektoren im Zusammenhang mit der Authentifizierung, aber da das Passwort immer noch die überwiegende Authentifizierungsmethode ist, sind die meisten Angriffe weiterhin passwortzentriert und folgen klassischen Angriffsmustern.
Daher sind Brute-Force-Angriffe immer noch eine der gängigsten Methoden, insbesondere Brute-Force-Angriffe mit Credential Stuffing oder Credential Cracking weisen hohe Erfolgsquoten auf. Bei diesen Angriffsmustern nutzen die Angreifer vorhandene kompromittierte Anmeldedaten und Variationen davon, um sich bei verschiedenen Diensten und Plattformen zu authentifizieren. Die größte Sammlung durchgesickerter Anmeldedaten – „haveibeenpwnd“ – enthält fast 12 Milliarden Anmeldedaten.
Zudem sind auch klassische Phishing-Angriffe immer noch weit verbreitet und weisen noch immer eine viel zu hohe Erfolgsquote auf.
Der Vorteil dieser Angriffsmuster liegt in der großen Reichweite der erreichbaren Opfer sowie in der einfachen Implementierung, die die Angriffsbarrieren reduziert. Kombiniert mit einer guten Erfolgsquote sind sie perfekt für jeden Angreifer.
Der beste Weg, diese Angriffsmuster zu überwinden, ist der Übergang zu passwortloser und mehrstufiger Authentifizierung, um das Passwort als Angriffsvektor auszuschalten.
Wie haben sich Ihrer Meinung nach die jüngsten globalen Ereignisse auf die Cybersicherheitslandschaft ausgewirkt?
Die jüngsten Ereignisse haben enorme Auswirkungen auf die Cybersicherheitslandschaft. Der Ausbruch der Covid-19-Pandemie hat unsere Arbeitsweise stark verändert. Homeoffice und Mobile Work gehören zum Alltag, was auch bedeutet, dass sich die klassischen Konzepte der Cybersicherheit ändern müssen. Die Nutzer befinden sich nicht mehr im sicheren, durch Firewalls geschützten Unternehmensnetz, sondern überall auf der Welt. Aber nicht nur die Arbeitswelt hat sich verändert, auch im Privatleben hat sich die Pandemie ausgewirkt und der Digitalisierung zumindest teilweise einen weiteren Schub gegeben.
Auch die jüngste Entwicklung in der Ukraine wirkt sich massiv auf die Cybersicherheitslandschaft aus, zumal staatliche Akteure und auch Hackerkollektive mitmischen. Neben der tatsächlichen Bedrohungslage, die zugenommen hat, ist auch die wahrgenommene Bedrohungslage entscheidend und prägt die Cybersicherheitslandschaft.
Ich hoffe, dass sich die jüngsten globalen Ereignisse positiv auf die Cybersicherheit auswirken und zu verstärkten Investitionen in die Cybersicherheit durch Unternehmen und Staaten führen werden.
Welche sind die größten Probleme im Zusammenhang mit der passwortbasierten Authentifizierung?
Wir haben bereits über passwortbezogene Angriffsmuster gesprochen, aber das Hauptproblem bei der passwortbasierten Authentifizierung ist der Mensch. Der Faktor Mensch vereint verschiedene menschliche Verhaltensmuster, die das Passwort untergraben. Das fängt schon bei der Wiederverwendung von Passwörtern an: Benutzer neigen dazu, dasselbe oder eine Variation desselben Passworts zu verwenden – „test123“ und „test1234“, was es dem Angreifer leicht macht, das Passwort in einem Brute-Force-Angriff zu erraten.
Außerdem wählen die Benutzer keine zufälligen Passwörter, sondern verwenden unbewusst bestimmte Muster für die Vergabe von Passwörtern. Diese Muster können von Angreifern modelliert werden, um die Anzahl der möglichen Passwörter (Lösungsraum) zu reduzieren. Grundsätzlich müssen Angreifer während eines Angriffs keine zufälligen Passwörter testen. Auf der Grundlage von durchgesickerten Anmeldedaten und Modellen, die die Muster der Passwortauswahl abbilden, schrumpft der Lösungsraum, den ein Angreifer während eines Angriffs testen muss massiv.
Welche anderen Cybersicherheitsmaßnahmen sollten Ihrer Meinung nach neben hochwertigen Identitätsmanagementlösungen heutzutage von jedem Unternehmen umgesetzt werden?
Es gibt eine Vielzahl von Cybersicherheitsmaßnahmen, die ein Unternehmen heutzutage umsetzen sollte. Wichtig sind alle bekannten Maßnahmen zur Sicherung der Netze und der internen Infrastruktur: Firewalls, Schutz vor Malware, Überwachung von Soft- und Hardwaresystemen, Antivirensoftware…
Wichtig ist auch, Software und Hardware auf dem neuesten Stand zu halten, was leider in vielen Unternehmen nicht immer der Fall ist, und vor allem oft veraltete Software im Einsatz ist. Schließlich ist das Sicherheitsbewusstsein innerhalb des Unternehmens ein wesentlicher Baustein der Cybersicherheit.
Welche Sicherheitsmaßnahmen kann der Durchschnittsbürger für den persönlichen Gebrauch ergreifen, um zu verhindern, dass seine Identität gestohlen wird?
Als Einzelperson können Sie verschiedene Maßnahmen ergreifen, um das Risiko eines Identitätsdiebstahls zu verringern. Natürlich sind Vorsicht und umsichtiges Verhalten wichtig. Darüber hinaus sollten Einzelpersonen auf passwortlose Authentifizierungsoptionen umsteigen, wenn diese verfügbar sind; immer mehr digitale Dienste bieten solche Optionen an, wie auch viele unserer Kunden.
Die Nutzer sollten außerdem damit beginnen, eine Multi-Faktor-Authentifizierung zu verwenden, insbesondere für wichtige Dienste und sensible Daten. Aber nicht nur der Einzelne sollte Maßnahmen ergreifen, auch Unternehmen und Provider müssen ihre Arbeit tun und Identitäts- und Zugriffsmanagement sowie andere Sicherheitslösungen zum Schutz ihrer Nutzerdaten integrieren.
Wie sieht Ihrer Meinung nach die Zukunft des Identitäts- und Zugangsmanagements aus? Glauben Sie, dass sich die Nutzung biometrischer Daten durchsetzen wird?
Ich bin gespannt, wie sich der Markt für Identity & Access Management in Zukunft entwickeln wird. Es gibt einige interessante Trends, sei es Zero Trust, digitale Identitätsüberprüfung oder die Verbindung zwischen digitaler und realer Identität.
Ich bin mir auch ziemlich sicher, dass sich die Biometrie durchsetzen wird, denn sie ist eine der bequemsten Optionen für die Nutzer, und die meisten Nutzer sind bereits daran gewöhnt, da es Gerätebiometrien wie FaceID oder TouchID auf Smartphones gibt. Insbesondere im Zusammenhang mit der passwortlosen Authentifizierung ist der Benutzerkomfort und damit die Biometrie wichtig.
Möchten Sie uns mitteilen, was als nächstes bei cidaas ansteht?
Als ein führendes europäisches Cloud Identity & Access Management haben wir große Pläne für die Zukunft. Wir wollen unsere Position in Europa weiter stärken und auch in andere Märkte expandieren. Wir haben auch einige coole neue Funktionen geplant, die unseren Kunden helfen werden, Identity & Access Management perfekt zu implementieren.
Wir haben oben bereits einige Themen kurz angeschnitten, von Zero Trust bis Real-World-Identification (Identifizierung von Nutzern in der realen Welt, z.B. am Point of Sale oder beim Zutritt zum Stadion), die wir mit cidaas weiter vorantreiben werden.
Lesen Sie das ganze Interview auf cybernews.