Identitätssicherheit mit CyberArk

00:00:00: Expanding Utilities, der IT und OT Podcast für die Energiewirtschaft von Everdon.

00:00:08: Welcome back to Expanding Utilities. Ich muss vielleicht für unsere Zuhörerinnen und Zuhörer

00:00:13: mal erklären. Wir starten immer mit einem Grinsen in die Aufzeichnung während der E-World,

00:00:17: weil ich habe hier so einen grünen Knopf und wenn ich auf den grünen Knopf drücke,

00:00:20: dann spielt unser Intro in unseren Kopfhörern, auf denen wir live unser Gespräch monitorn

00:00:25: oder uns selbst zuhauen können, spielt unser Intro ab und das ist echt immer ein Motivationsfaktor.

00:00:30: Jetzt startet die Aufnahme ab, geht es im Podcast. Genau und draußen geht ja dann das rote Licht an,

00:00:35: wenn drin das Grüne gedrückt wird. Ganz genau. Wir sprechen heute über ein Thema,

00:00:42: das immer wichtiger wird in der Energiewirtschaft. Vielleicht fange ich erst mal mit meiner ordentlichen

00:00:47: Begrüßung an. Herzlich Willkommen zu einer neuen Episode von Expanding Utilities und wir

00:00:51: sprechen gerade angedeutet über ein Thema, das für Energiewirtschaft immer wichtiger wird.

00:00:55: Cybersecurity und spezifisch Identity Security. Energiefersorger sind zunehmend Ziel von Cyberangriffen,

00:01:01: nicht nur, weil sie kritische Infrastrukturen betreiben, sondern auch weil ihre IT und

00:01:05: OT-Umgebungen, wenn wir gleich erklären, immer komplexer werden. Und Identitätsbasierte

00:01:10: Angriffe nehmen zu und der Schutz von privilegierten Zugängen ist essentiell. Jetzt habe ich schon echt

00:01:15: viele, glaube ich, nördige Begriffe aus der Cybersecurity hier mit reingebracht und die

00:01:19: müssen wir alle gleich erklären und aufnehmen. Aber bevor wir das tun, freue ich mich heute

00:01:23: ganz besonders auf meinen Gast. Bei mir ist Michael Kleist, der für CyberArk das Geschäft

00:01:29: in Zentral Europa verantwortet, ein erfahrener Lieder im Bereich Cybersecurity ist und die

00:01:33: besonderen Herausforderungen vieler Unternehmen, aber insbesondere auch der Energieunternehmen kennt

00:01:38: und weiß mit, was sie sich konfrontiert sehen. Wir werden heute darüber sprechen,

00:01:42: wie moderne Security-Ansätze helfen können, IT und OT-Umgebungen in der Energiewirtschaft

00:01:46: sicherer zu machen, welche Herausforderungen dabei existieren und welche Trends in den

00:01:50: kommenden Jahren wichtig werden. Hallo Michael. Hallo Simon. Warum sitzt du heute hier? CyberArk und

00:01:56: Energiewirtschaft, wie sind wir zusammengekommen? Ich denke, wir sind schon länger zusammen,

00:02:00: auch unter altem Namen vielleicht sogar schon, aber spezifisch hier ist der Auftrag ja, dass wir

00:02:05: uns unterhalten, um das, was die Energiebranche spezifisch macht. Cybersecurity, Identity Security,

00:02:12: sind so Oberbegriffe. Wenn ich dann aber tiefer gehe, dann ist ja immer die Frage, warum mache ich

00:02:16: das? Und Risikominimierung ist für alle Kunden inzwischen ein Thema. Spezifisch hier haben wir

00:02:23: immer die Herausforderungen. Wir haben auf der einen Seite kompleinsbasierte Themen, wir haben auf

00:02:26: der anderen Seite Themen rund um das Thema Digitalisierung, Veränderung der Geschäftsprozesse,

00:02:31: dann normale Cybersecurity logischerweise. Und wenn ich all das in einen Topf schmeiße,

00:02:36: soll es nicht teurer werden, das heißt kostenbasierte Treiber. Und wenn ich diese vier Treiber

00:02:41: nehme, dann haben wir eigentlich das, worüber wir uns heute unterhalten. Identity Security,

00:02:46: dahinter stecken Prozesse, dahinter steckt Security, dahinter steckt Beratung und natürlich,

00:02:51: weil es nicht nur CyberArk gibt und wir andere Tools brauchen, um Cybersecurity zu betreiben,

00:02:57: eben auch Integrationspartner und Beratungspartner, wie die erwähnen. Dann lass uns Schritt für

00:03:02: Schritt auspacken, worüber wir sprechen wollen. Für unsere Zuhörerinnen und Zuhörer, wir sprechen

00:03:07: in Expanding Utilities mit führenden Personen aus der Energiewirtschaft, die große Transformationen

00:03:11: antreiben, große Baustellen stemmen, große Projekte ins Leben rufen und wir sprechen mit

00:03:16: Technologieunternehmen, die probieren dabei zu helfen oder wie in eurem Fall das sicherer zu machen.

00:03:23: Und euer Begriff ist Identity Security, den du glaube ich gerade im Ansatz schon angefangen

00:03:27: hast zu erklären. Aber vielleicht nehmen wir uns dafür nochmal Zeit. Identity Security,

00:03:31: was ist das? Michael? Identity Security beschreibt die Identität als zentralen Baustein der

00:03:38: Security. Warum zentraler Baustein? Weil im Prinzip fast alle Angriffe, die wir in den letzten Jahren

00:03:43: gesehen haben, in irgendeiner Form eine Identität entweder missbraucht haben oder geklaut haben,

00:03:50: angenommen haben und deshalb, wenn ich die richtig schütze, die Identität, dann mache ich ein ganz

00:03:56: großes Einfallstor für Angriffe zu. Und gleichzeitig, compliance, hatte ich eben schon erwähnt,

00:04:02: gleichzeitig möchte ich erwissen, dass ich eine Identität habe. Ich möchte wissen, was macht

00:04:06: der Simon denn da eigentlich bei mir alles? Und möchte nicht hinterher feststellen, oh,

00:04:09: er hat aus versehen fünf verschiedene Identitäten angenommen und keiner wusste,

00:04:13: dass der eine Vielfalt von Zugriffsrechten hat, dass er sich Klassiker seiner eigenen Reisekosten

00:04:19: freigeben kann. Das Ganze ist die einfache Variante. In der IT hat das wesentlich schwerwiegendere

00:04:24: Folgen, wenn ich solche privilegierten Zugriffe, auch das Wort hat sie eben genannt, wenn ich

00:04:29: diese privilegierten Zugriffe nehme, nämlich wenn ich mehr tun kann als ein normaler Mitarbeiter.

00:04:35: Ich kann Dinge kaputt machen, ich kann Dinge aufbauen, ich kann Prozesse verändern,

00:04:39: ich kann Anlagen steuern. All das sind Privilegien, die dann entsprechend geschützt werden müssen.

00:04:45: Wie stellen wir das unheimlich schwierig vor? Du hast gerade gesagt, unter einem Anlagen zu

00:04:49: steuern, jetzt sprechen wir ja hier in Expanding Utilities über eine Branche, in der wir haben

00:04:55: eine eigene Episode gemacht zur IT/OTI Convergence. Wir haben jetzt gerade eine Episode über

00:04:58: Souveränität darüber wieder gesprochen, wie sehr IT stattfinden wird oder IT und

00:05:04: OT zusammenwachsen. Viele haben den Begriff OT, operative Technologie, schon abgeschrieben und

00:05:08: sagen in Zukunft ist sowieso alles Information Technology und eigentlich ist es das Gleiche

00:05:12: und irgendwann habe ich einen Topf, eine Plattform, eine Infrastruktur, was auch immer, weil ich muss

00:05:17: ja viel mehr in der Lage sein zu steuern, aber das bedeutet ja gleichzeitig auch, dass in einer

00:05:23: Energieinfrastruktur, in der es Techniker gibt, in der es physikalische Infrastruktur, ob es ein

00:05:28: Umspannberg oder dazu mal oder andere Assets gibt, die draußen sind, die physikalisch angreifbar sind,

00:05:35: wo Techniker reingemüssen, dann sagt ihr, wir schaffen es ein privilegiertes Access Management

00:05:41: zu etablieren, das in einem Energieversorger hilft übers gesamte Unternehmen eigentlich,

00:05:45: die Sicherheit in der Identität herzustellen. Das stelle ich mir echt schwierig vor.

00:05:50: Das ist ja nicht trivial, aber deshalb gibt es ja eben erfahrene Unternehmen, die das tun,

00:05:54: weil es nicht trivial ist, weil man den Hintergrund dazu braucht. Aber du hast es gerade im Endeffekt

00:05:59: schon erläutert. Du hast auf der einen Seite wirklich Zutrittsrechte im Sinne von physischen

00:06:04: Zutrittsrechten, sprich ich komme durch die Tür durch, dazu musst du aber auch wissen,

00:06:08: wie diese Identität ist, die denn dadurch die Tür kommt. Smart Cards oder was auch immer

00:06:13: dein Ausweis medium sind, dabei irgendeine Form von Identifizierung musst du ja zu dem Zeitpunkt

00:06:18: vorweisen, damit die Tür aufgeht. Typischerweise wer am Leitstand einmal angekommen ist, hat

00:06:24: auch dann die Berechtigung Dinge zu tun. Das heißt, ich muss also den Zutritt, den physischen

00:06:29: Zutritt so regeln, dass nur noch die richtigen da reinkommen. Ich muss aber auf der anderen Seite

00:06:33: auch aus der IT Sicht bei mehr Vernetzung diese Zutrittsrechte aus der IT oder OT Sicht verändern.

00:06:40: Die Besonderheit IT/OT ist aber kurzfristig. Wir hatten eben langfristig, wird es vielleicht

00:06:46: alles mal in einen Podcast kommen, wird glaube ich noch ein bisschen dauern. Kurzfristig haben

00:06:50: wir nämlich viel, viel längere Laufzeiten bei allem, was OT ist. Das heißt, Anlagen,

00:06:55: wenn ich mein Kraftwerk angucke, die die heute gebaut werden, sind vorweisen nicht zehn Jahren

00:07:01: wahrscheinlich in die Planung gegangen und werden irgendwann in 50 Jahren abgebaut. Wenn

00:07:06: wir solche Zeiträume uns einfach vor Augen führen, dann haben wir nicht die Möglichkeit

00:07:10: ständig an der IT oder an den Prozessen rumzufummeln in Anführungsstrichen und viele

00:07:15: der Geräte werden auch nicht alles unterstützen. Also auch eintechnologisch wird Stichwort

00:07:20: Quantencomputing, Kryptografieprobleme. Einige Geräte werden das einfach nicht mitmachen

00:07:27: und werden trotzdem nicht austauschbar sein, weil Zertifizierung da dran hängen, weil

00:07:32: es nicht so einfach ist, regulatorisch ist, nicht so einfach ist zu ersetzen. Insofern,

00:07:35: da ist IT und OT auf absehbarer Zeit, glaube ich, noch getrennt zu sehen mit den besonderen

00:07:41: Anforderungen, auch was die Betriebssicherheit angeht im Sinne von Verfügbarkeit und 7 x

00:07:48: 24 Betrieb. Ich glaube, wir müssen eigentlich zwei Betrachtungsperspektive nochmal einnehmen,

00:07:53: auch um das Thema sauber erklärt zu haben, dass das einmal, wie ist eigentlich der Angriffsvektor

00:07:58: für Identitätssicherheit? Also was muss ich mir vorstellen, sind die konkreten Risiken?

00:08:01: Und dann auch gleichzeitig, wie ist die Relevanz dessen heute in der Cybersicherheit eines

00:08:08: Unternehmens? Also was mich einfach interessieren würde, ist da. Würdest du sagen, Identity

00:08:14: Security ist da und kann besser werden? Oder würdest du sagen, das ist ein Thema, das

00:08:19: viel zu wenig Berücksichtigung findet und da müssen wir viel mehr RANIS drauf haben?

00:08:23: Aber kommen wir vielleicht zur ersten Frage erstmal zurück. Mit welchen Angriffsrisiken

00:08:27: sieht sich denn ein Energiefersorger spezifisch auf Identity Security bezogen, konfrontiert?

00:08:32: An der Stelle möchte ich tatsächlich gar nicht die Energiefersorger besonders betrachten,

00:08:38: weil technologisch ist es das Gleiche. Sie stehen mehr unter Attacke. Also insofern,

00:08:43: das Risiko ist höher, weil mehr versucht wird. Gerade im Dezember, glaube ich, war es, hat

00:08:48: Bistorius noch gesagt, wir befinden uns in einem hybriden Krieg und gerade Netze und

00:08:54: Energiefersorger sind unter Attacke. Aber von der technologischen Seite gibt es einen

00:08:59: eigentlich uralten Weg, der heißt kurzgefasst, irgendwo einen ersten Fußabdruck zu lassen,

00:09:07: irgendwo reinzukommen. Das sind manchmal sehr einfache historisch bekannte Schwachstellen.

00:09:13: Das sind manchmal bis hin zu sogenannten Zero Day Exploits, also Dinge, die noch nicht

00:09:17: offenbar sind, diesen ersten Eintritt dann zu nutzen, um das Netzwerk auszukundschaften,

00:09:25: Lateral Movement, wie wir das nennen, das heißt, die Breite zu verstehen und in dieser

00:09:29: Breite finden sich wieder neue Schwachstellen, bis man irgendwo von der Breite dann auch

00:09:35: in die Höhe gehen kann, sozusagen, sprich, wertigere Zutrittsrechte bekommt. Was heißt

00:09:41: das konkret? Es gibt etwas in technologischer Form, was mir erlaubt, historische Zugriffsrechte

00:09:47: zu recyceln, sozusagen. Und du kennst es wahrscheinlich ein relativ neueres Thema, du kennst wahrscheinlich

00:09:54: von deinem Browser. Wenn du dich eingelockt hast auf deinem Browser, mit UserID, Passport,

00:09:59: vielleicht sogar eine Multifaktor-Authentifizierung, ab dann bist du in dem Browser bekannt. Wenn

00:10:04: ich es schaffe, dieses Cookie zu klauen, in dem deine Session authentifiziert wurde, dann

00:10:10: kann ich einfach sozusagen tun, als sei ich du. Weil ich dem Browser vorgaukel, dass du

00:10:17: dich authentifiziert hast mit diesem Cookie, was ich im Unterschiede kann. Also es gibt

00:10:21: sehr, sehr viele verschiedene Techniken. Wir haben einen golden Ticket-Attackel, reden

00:10:26: aus dem Windows-Bereich, wenn wir eben von solchen Browser-Session-Cookie-Highjackingsprächen

00:10:31: gibt es sehr viele verschiedene Möglichkeiten. Sie kommen aber immer am Ende darauf zurück,

00:10:35: dass es eine Identität ist, mit der ich agiere, die ich fremd benutze und dass es Gemeine

00:10:40: daran ist, dass das dann nicht sichtbar ist für die Überwachungssysteme, weil es ja

00:10:45: legitim aussieht. Danke für die Beispiele, Michael, weil das macht das sehr greifbar

00:10:49: für mich. Ist genau der richtige Zeitpunkt zu fragen, welche Antworten gibt ihr als Cyber-Ark

00:10:53: spezifisch darauf? Die Antwort ist relativ einfach. All diese Systeme funktionieren ja

00:10:59: irgendwie nach einem Schlüssel-Schloss-Prinzip. Wenn ich also den Schlüssel austausche, dann

00:11:05: passt er nicht mehr ins Schloss. Wenn ich Schloss austausche, passt der Schlüssel nicht mehr.

00:11:09: Sprich, auf einer Seite muss ich etwas verändern, damit die andere Seite nicht mehr gültig

00:11:14: ist. Das ist ein ganz wichtiges Prinzip dahinter. Das heißt, immer zu sagen, wenn du etwas verwendet

00:11:20: hast, anschließend es ungültig machen. Denn dann ist es weg. Das ist so die Basis, wo

00:11:25: wir herkommen, historisch. Bei neuen Systemen gehen wir in einen anderen Weg, das nennen

00:11:30: wir Zero Standing Privileges. Das heißt, zum Zeitpunkt, wenn du startest, hast du überhaupt

00:11:36: keine Zugriffrechte. Ich garantiere dir nur, dass der Simon der Simon ist. Ich garantiere

00:11:41: dir aber nicht, was du darfst. Und erst zur Laufzeit wird dann gesagt, Simon, was möchtest

00:11:45: du eigentlich machen? Und du möchtest vielleicht in deiner Cloud-Umgebung eine neue Test-Umgebung

00:11:51: starten. Und dann wird geguckt, sollte der Simon das dürfen? Anhand von einer Rolle,

00:11:56: anhand von einer Risikobewertung. Und dann wird gesagt, okay, hier sind die Zugriffrechte

00:12:00: du brauchst, um eine Test-Umgebung zu starten. Und dann bekommst du die und kannst On the

00:12:04: Fly das tun. Danach werden die Rechte aber auch wieder entzogen. Das heißt, mit diesem

00:12:08: Identitätsklau habe ich überhaupt keine Chance, irgendwas zu machen, weil der Simon

00:12:13: einfach keine Rechte hat.

00:12:15: Da wir sind, wir sind auf der Iule, dass wir jetzt gerade raus gucken und ein Transformer

00:12:19: gleich an unserem Stand vorbeiläuft. Sehr spannend, was man hier alles erleben kann. Aber

00:12:24: das packen wir dann in die Outtakes. Ich danke dir, ich habe gerade einen neuen Begriff oder

00:12:28: wir haben jetzt gerade einen Begriff erschlossen, Zero Standing Privileges. Vielleicht, wenn ich

00:12:32: uns zuhöre und ich kenne ein bisschen Cyber Security und größere Strategien, die gerade

00:12:38: irgendwie ein Stück weit diskutiert werden oder vielleicht zum Standard werden im Markt,

00:12:41: dann kenne ich Zero Trust. Wie ist der Zusammenhang zwischen den Themen vielleicht einfach mal

00:12:45: ganz schlicht gefragt?

00:12:46: Zero Trust ist so ein konzeptioneller Ansatz, ja, um zu sagen, niemals Vertrauen, sondern

00:12:53: immer überprüfen. Da gibt es ja Modelle hinter, wie sich Zero Trust dann in der Praxis auslebt,

00:12:58: wo ich Policies mache, wo ich die Entscheidung treffe, ob eigentlich einen Zugriff zulasse

00:13:02: und so weiter. Das heißt, dieses Modell muss ich aber dann ja irgendwie übertragen in

00:13:07: Technik im Sinne von die Zielplattform, was die zulassen und auch natürlich den Menschen,

00:13:13: der da mitspielen muss und es sollte auch die technologischen Zugriffsrechte beinhalten.

00:13:18: Wenn ich das alles zusammennehme, dann komme ich auf konzeptionelle Umsetzung in Technik.

00:13:22: Zero Standing Privileges ist in der Beziehung die höchste Form davon, weil was nicht da

00:13:27: ist, kann nicht geklaut werden und entspricht dem Zero Trust Modell. Historisch ist aber

00:13:33: das nicht bei allen Systemen möglich. Ich kann nicht bei allem, was es da draußen gibt

00:13:38: an Zugriffsrechten so dynamisch agieren, wie ich das gerne hätte. Das heißt, Zero Trust

00:13:43: ist ein Gedankenmodell. Zero Standing Privileges ist eine konkrete Umsetzung dieses Gedankenmodells

00:13:50: in, sag ich mal, Reinstform. Ich hatte eingangs, ich glaube, in der vorletzten Frage gefragt,

00:13:58: auf welchen Markt triffst du da? Wie ist die Situation bei deinen Kunden aktuell?

00:14:01: Sollen wir sich Zero Trust verstanden? Ich glaube, das ist wirklich eine strategische

00:14:04: Leitlinie und ein Konzept, an dem sich viele orientieren. Aber so was gibt es sehr viel.

00:14:09: Es gibt auch Cloud First oder so. Das heißt dann nicht, dass ich dann irgendwie gleich

00:14:12: mit allem in der Cloud bin. Auf welche Situation triffst du bei deinen Kunden in der Branche?

00:14:17: Im Augenblick sehen wir einen starken Umbruch. Auf der einen Seite, ich hatte eben so ein

00:14:21: bisschen kätzlerisch gesagt, die Kraftwerke in 50 Jahren, also Planungssicherheit hört

00:14:25: sich ja eigentlich total super an. Die Realität ist aber eine andere im kurzfristigen Bereich,

00:14:31: nämlich willkommen aus diesem stark vorherrsagbaren und häufig in der Energiewirtschaft ein großer,

00:14:39: an ganz viele kleine, von der Logik her, des Businessprozesses. Ich habe meinen Kraftwerk,

00:14:44: ich bin Stromanbieter und ich verkaufe an ganz viele Abnehmer. Mit der Stromwende oder

00:14:50: mit der Energiewende haben wir natürlich aber plötzlich ganz viele Anbieter im Markt.

00:14:54: Erst haben wir regulatorisch Netze getrennt, dann haben wir eben viele kleine Anbieter

00:14:59: bis hin zu den persönlichen Photovoltaikanlagen auf den Dächern. Das heißt, plötzlich habe

00:15:04: ich nicht mehr eine 1 zu N-Beziehung, sondern eine N zu M-Beziehung, also ein viel komplexeres

00:15:10: Netzwerk. Plötzlich ist der Anbieter gleichzeitig auch Empfänger von Leistung. Die Verrechnung

00:15:16: wird komplizierter. Die Flut von Anträgen ist nicht beherrschbar mit den alten Prozessen.

00:15:21: Das heißt, wir haben eine Veränderung im Businessmodell, die dann zwangsläufig auch

00:15:26: zu einer Veränderung in der IT und in den Prozessen der IT führt und die muss technologisch

00:15:31: aufbearbeitet werden. Und dann kommt, du hast eben Cloud First gesagt, eben bei einigen

00:15:36: Kunden auch die Überlegung zu sagen, sollte ich das alles selber machen von der IT her.

00:15:40: Gibt es nicht coolere Konzepte, skalierbare Konzepte als das selber zu machen. Und das

00:15:46: geht meistens einher nicht nur mit einer Entscheidung für ich mache was in der Cloud, sondern wirklich

00:15:50: das Anwendungs-Entwicklungsprozesse verändert werden, also Agilität reinkommt, dass Cloud

00:15:56: Native Produkte genutzt werden. Das heißt, vieles, was vorgedacht ist von Anbietern

00:16:01: wie AWS wird dort aktiv genutzt, um einfach schneller zu werden, sich schneller an den

00:16:06: Markt wieder anpassen zu können.

00:16:08: Michael, uns hören führende Menschen zu in der Energiewirtschaft, welche die sich für

00:16:14: den Wandel interessieren, einige, die die Energiewirtschaft verstehen wollen. Wenn

00:16:18: ich aus einer Perspektive einer Organisation in dieser Branche blicke, hast du dann ein

00:16:24: Rat, wie ich konzeptionell dieses Thema angehe? Was ist das beste Setup? Mit wem spricht ihr

00:16:31: Was ist eine organisatorische...

00:16:33: Entscheidungen, die ein Unternehmen der Energiewirtschaft treffen kann, um dann zu sagen, wenn ich mich

00:16:37: so aufstelle, bin ich gut aufgestellt für die Sicherheit. Weil ich natürlich mit all den Faktoren,

00:16:42: die du gerade beschrieben hast, es gibt Geschäftsproteste, die sich verändern, es gibt neue

00:16:45: Technologie, die introduced wird, es gibt OT, die zur IT wird und dadurch wiederum mehr Zugänge,

00:16:51: da ist das ganze Unternehmen involviert. Wie kann sich denn ein Unternehmen aufstellen, um genau

00:16:57: diese Sicherheitsfragen an den richtigen Stellen nicht nachträglich, aber auch nicht als Hemmfaktor,

00:17:04: sondern an den richtigen Stellen zu betrachten? Aus unserer Sicht ist dahinter eine Plattform-Strategie

00:17:11: die richtige Wahl, sprich ich suche mir als Unternehmen meinen Bebauungsplan sozusagen zusammen. Ich

00:17:19: muss wissen, was ich alles anbieten muss, damit meine Applikationsentwickler, damit die Prozesse

00:17:25: da drauf entsprechend arbeiten können. Wir wollen nicht der Hemmschuh sein, ganz im Gegenteil,

00:17:31: wir wollen den Security-Teil so anbieten, dass er konsumiert werden kann und einfach im Projekt

00:17:37: mitläuft. Es gibt Security by Design als konzeptionellen Ansatz, am leichtesten lässt sich das umsetzen,

00:17:44: wenn ich dem Entwickler, dem Projektleiter die Tools an die Hand gebe, die er leicht konsumieren kann.

00:17:51: Alles, was ich ihm schwer mache, verzögert und führt wahrscheinlich auch dazu, dass er vielleicht

00:17:57: hier und da ein Auge zudrückt. Das heißt, je leichter ich sie mache, desto besser. Gleichzeitig

00:18:02: muss ich langfristig denken und sicherstellen, dass diese vielen Projekte am Ende alle so

00:18:09: zusammengeführt werden können, dass ich sie managen kann, dass sich die Security im Auge

00:18:14: behalte, im Sinne von auch Überwachung und dass ich auch im Compliance-Reporting nicht plötzlich

00:18:20: wahnsinnigen Wildwuchs erzeugen. Und das alles bietet eine Plattform an, ein Bebauungsplan,

00:18:26: wie ich es nenne, die in der Lage ist, diese ganzen Dinge zu konsolidieren und an zentraler

00:18:31: Stelle wieder zur Verfügung zu stellen. Genau das tun wir bei CyberArk, diesen Bebauungsplan mit

00:18:38: dem Kunden gerne zu erstellen, mit der Evidenten gemeinsam und von unserer Seite für die Identity

00:18:43: Security als Plattform auch technologisch zur Verfügung zu stellen, die diese Integration,

00:18:48: von denen ich gerade Sprach auch mitbringt, obwohl die Zielplattformen total unterschiedlich sind und

00:18:55: total unterschiedliche Ansprüche haben und total unterschiedliche Technologien brauchen. Wir sprechen

00:19:00: schon einige Minuten miteinander über ein Cyber Security Thema in einer kritischen Infrastruktur

00:19:04: und wir haben noch nicht über Regulatorie gesprochen. Das müssen wir aber glaube ich unbedingt noch

00:19:08: machen. Meine Frage ist in dem Zusammenhang Einführung verschiedener Richtlinien,

00:19:15: Resilienzkritischer Infrastruktur, also die CEER-Richtlinie, NIST-Zweirichtlinie. Das bringt

00:19:20: alles neue Anforderungen an die Sicherheit und Widerstandsfähigkeit digitaler, vor allem

00:19:25: kritischer Infrastruktur, regulatorisch. Welche Bedeutung hat diese Regulatorik für Identity

00:19:31: Security für die Kunden? Ich bin mal so frei und frage, ist es wirklich eine neue Anforderung oder ist

00:19:38: sie nur zum ersten Mal niedergeschrieben? Aus meiner Sicht sind es keine neuen Anforderungen,

00:19:43: weil solange ich einer Bedrohung begegnen muss, muss ich mir als Unternehmen darüber Gedanken

00:19:47: machen und das sehen wir in jedem Jahresbericht. Gibt es eine eigene Abteilung zum Thema Risiken

00:19:52: und darin stehen in den vergangenen Jahren eigentlich regelmäßig auch Cyber Risks drin. Die

00:19:58: Allianz bringt ja einmal im Jahr den globalen Risikoreport raus, in dem seit Jahren Cyber Risk,

00:20:06: das größte Risiko ist, was Unternehmen sehen, in Summe, nicht nur innerhalb der Energiewirtschaft

00:20:10: und das zweitgrößte Risiko ist Betriebsausfall. Oft aus dem ersten Risiko herausgeboren, wie wir

00:20:17: auch oft genug gesehen haben, dass wenn irgendwo ernsthafte Angriffe erfolgt sind, danach erst

00:20:22: mal ein Produktionsstillstand erfolgt. Insofern die Regulatorik und das Markt jetzt etwas blasphemisch

00:20:29: schon fast klingeln, ist in erster Linie aus meiner Sicht die administrative Bürde, die daraus

00:20:34: erfolgt, alles entsprechend zu reporten. Die Anforderungen existieren in anderen, sag ich mal,

00:20:40: best practices frameworks eigentlich schon vorher. Sie sind hier nur neu zusammengefasst und sie werden

00:20:45: jetzt verpflichtend, sollten eigentlich schon vorher verpflichtend gewesen sein im Sinne einer

00:20:50: guten Cyberhygiene, im Sinne eines guten Vorgehens. Sind wir in Deutschland mitten ist zwei Jahre ein

00:20:55: bisschen später dran durch die vorgezogenen Bundestagswahlen, aber im Großen und Ganzen

00:21:00: und deshalb zurück zu der Frage, was heißt es dann für Kunden, für Unternehmen? Sie müssen halt

00:21:06: diesen regulatorischen Ansatz auch erfüllen im Sinne des Nachweises. Da helfen wir, weil wenn

00:21:12: wir an einer zentralen Stelle die Informationen zusammenführen und sozusagen auf Knopfdruck den

00:21:17: Report generieren können für den Auditor, dann hilft das natürlich in der Umsetzung und in der

00:21:22: schnellen Bereitschaft für entsprechende Regulatorik weiter. Ich bin der festen Überzeugung,

00:21:28: gute Cybersecurity bringt Compliance. Gute Compliance bringt noch keine gute Cybersecurity.

00:21:34: Spannende Antwort zur Regulatorik. Insbesondere dein letzter Satz war sehr, sehr, sehr zitierfähig.

00:21:40: Michael, kleinest Zwischenfazil, worüber wir gesprochen haben, wir waren schon bei

00:21:43: Hubriden Krieg und der Herausforderung, dass insbesondere die Energiewirtschaft die kritischen

00:21:48: Infrastrukturen unter einer enormen Belastung stehen, sicher zu sein. Wir haben das Prinzip

00:21:54: Zero Sending Privileges von dir erklärt bekommen und werden in dem Zusammenhang auch darüber gesprochen,

00:21:59: dass der beste Ansatz Sicherheit mitzudenken in der Aufstellung eines Unternehmens in der

00:22:06: Energiewirtschaft nach vorne der plattformbasierter Ansatz ist, eine Bebauungsplan zu machen für

00:22:11: Michaels Unternehmen nach vorne und da eben das Thema Identity Security jetzt in dem Fall konkret

00:22:17: mitzudenken. Ich stelle mir immer noch die Frage, wo stehen wir da in der Branche Identity Security?

00:22:25: Wie groß sagst du, eigentlich haben wir schon alle CyberArk und Identity Security Haken dran oder

00:22:31: wie nimmst du das wahr? Also meine Wahrnehmung ist Zero Trust ist als Konzept für vielen Prinzip,

00:22:37: dem man folgen will, aber erfolgreiche Implementierung von Identity Security sind

00:22:42: noch nicht überall da erfolgt, wo sie erfolgen sollten. Gibt es dir mir recht?

00:22:47: Das unterschreibe ich hundertprozentig. Es ist Flickschusterei. Historisch gesehen haben wir

00:22:54: halt Systeme, die Zutritt gewähren zurück zu diesem Zutrittsgedanken am Anfang, die existieren

00:23:00: ja, die existieren in der IT. Wenn ich jetzt was Neues dazu baue und das Parallel in ein eigenes

00:23:06: Silo stecke, dann habe ich hinterher genauso Insellösungen und das ist genau das Gegenteil von

00:23:12: dem, was ich als Plattformansatz eben wachte. Und da haben wir aus meiner Sicht den größten

00:23:16: Nachholbedarf, die Dinge zusammenzudenken und nicht isoliert zu denken. Das ist eigentlich das,

00:23:22: wo wir am meisten mit unseren Kunden auch drüber reden, zu sagen, guckt nicht einfach auf das neue

00:23:28: Projekt, was ihr macht, sondern guckt, dass ihr die Plattform schafft, um dann ganz viele Projekte

00:23:32: in gleicher Art und Weise vorangehen zu können. Wir haben historisch sicherlich eine gewisse Schuld

00:23:38: im Sinne von oder Schulden im Sinne von noch nicht umgesetzt Dinge und was nicht funktioniert ist,

00:23:45: mit alten Gedankengängen neue Probleme zu lösen. Ich habe so ein Zettel vor mir, auf den stehen so

00:23:52: paar Buzzwords, die ich unbedingt mit dir abhaken will in unserem Gespräch über Identity Security

00:23:56: und zwei, die mir noch fehlen, sind KI und Faktor Mensch. Jetzt habe ich Zero Standing Privileges so

00:24:02: verstanden, dass dadurch, dass es Zero Standing Privileges gibt, auch die Privilegien fehlen,

00:24:10: die ich klauen kann über eine Fishing-Attacke, die ne Faktor Mensch, der erste Begriff "großer

00:24:15: Risikofaktor" sind heute und das in Kombination mit ganz neuen Angriffsmöglichkeiten, die durch

00:24:20: künstliche Intelligenz entstehen. Ist soweit mein Verständnis über Zero Standing Privileges richtig?

00:24:26: Absolut. Und das Thema KI konkret als Angriffspotenzial für, ich beriefe es jetzt nicht nur Fishing-Attacken

00:24:34: und wiederum Thema Mensch, ist das was, was euch sehr beschäftigt in der Weite Entwicklung von CyberArk?

00:24:39: Definitiv. KI muss man ja immer ein bisschen aufpassen, dass nicht alles plötzlich ein Label bekommt,

00:24:46: falls gerade Marketing Hype ist. Was wir uns davon versprechen, ist, dass wir halt den

00:24:51: Administratoren das Leben leichter machen, die eine solche Lösung halt am Leben erhalten müssen,

00:24:56: also sprich, es ändert sich ständig was in der IT. Wie schaffe ich, dass meine Security-Lösung

00:25:01: immer up to date ist und diese Veränderung immer mitnimmt? Das heißt weniger Klicks,

00:25:07: mehr Automation. Auf der anderen Seite habe ich eben die Überlastung von SOX, in dem ich zu viele

00:25:13: Volts Positives habe. Auch NIST 2 schreibt ja vor, dass ich entsprechende Erkennungen haben muss.

00:25:18: Wenn ich die Anzahl Volts Positives runterdrücken kann, dann kriege ich tendenziell eine bessere

00:25:24: Reaktion auf die echten Alarme. Dementsprechend ist ein anderer Faktor, wo wir KI sehr stark sehen.

00:25:29: Insofern sage ich mal, es ist eine Mischung. Wir sehen in mehreren Produkten, wie die KI kommt,

00:25:35: hilft Policies zu erstellen. Das heißt aus dem Verhalten, aus den immer wieder gewährten Zugriffstrechten

00:25:42: oder Standards zu lernen und vorzuschlagen, du hast einen neuen Mitarbeiter, der sieht extrem

00:25:48: so aus wie der andere Mitarbeiter. Die sind die Policies, die du da vergeben hast. Möchtest du den

00:25:52: ähnlich behandeln? Da ist jetzt ein bisschen anders als beim Copy-Paste, wo ich dann 1 zu 1 eine Rolle

00:26:00: definiere, nämlich zu sagen, was hat der tatsächlich genutzt, wird überprüft. Was kann ich jetzt

00:26:04: auf die Schnelle sozusagen an allen möglichen Ecken und Enden der Zugriffsrechte übernehmen? Und

00:26:11: wo ist er eben unterschiedlich oder wo muss ich Profile miteinander in Verbindung setzen? Das

00:26:16: klassische Copy-Paste ist halt Mitarbeiter A, wird wie Mitarbeiter B behandelt. Wir gehen halt weiter

00:26:22: und sagen, was hat A gemacht, was hat B gemacht, was hat C gemacht und wenn da jetzt ein Neuer kommt,

00:26:27: hat er eine andere Rolle. Guck mal, der scheint von diesem Profil noch etwas lernen zu können.

00:26:32: Und so versuchen wir dem Administrator Entscheidungsvorschläge zu machen,

00:26:37: aber nicht selber durchzuführen, bevor er sie nicht freigegeben hat. Das heißt,

00:26:40: an der Stelle gibt es noch den menschlichen Faktor dann, also jetzt nicht negativ, sondern positiv,

00:26:46: nämlich zu sagen, wir können einen Vorschlag machen. Der sieht sinnvoll aus aufgrund dessen,

00:26:51: was die KI gelernt hat über Verhalten. Und dann sollte aber ein Mensch es absegnet, zu sagen,

00:26:56: das ist ein guter Vorschlag oder ist kein guter Vorschlag. Und Ähnliches machen wir auch zum

00:27:00: Beispiel bei Holicies in the Endpoint Protection, zu sagen, sollten dort gewisse Standards vielleicht

00:27:05: angesetzt werden. Das haben wir gelernt aus vielen Freikaben, aus vielen Ablehnungen. Dies

00:27:11: könnte eine Policy sein, die demnächst den manuellen Aufwand massiv reduziert. Insofern,

00:27:16: da nutzen wir KI für. Michael, du hast mir eine Vorbereitung zu unserem Gespräch mitgegeben,

00:27:21: das war eine Sache insbesondere noch beleuchten müssen, die sehr wichtig ist im Kontext von

00:27:25: Identitätssicherheit. Und das ist die Tatsache, dass wir nicht nur menschliche Identitäten haben,

00:27:30: über die wir gerade viel gesprochen haben, einen positiven Sinne und im Sinne eines Risikos,

00:27:34: sondern auch nicht menschliche Identitäten. Das musst du uns unbedingt erklären und vor allen

00:27:39: Dingen auch im Zusammenhang der dadurch entstehenden Bedrohungen und wie ihr damit umgeht.

00:27:42: Sehr gern. Die nicht menschlichen Identitäten haben wir ja heute überall. Also historisch haben

00:27:47: wir es dann irgendwo technische Accounts oder so genannt, wo einfach ein Lock-in möglich war

00:27:52: für eine Maschine oder für einen Prozess, eine Applikation. Banales Beispiel, eine Applikation

00:27:59: muss auf die Datenbank zugreifen. Dafür muss sie in irgendeiner Form technisch da dran kommen. Das

00:28:03: passiert so klassisch über UserID-Passwort oder über irgendwelche Keys oder Zertifikate,

00:28:09: was auch immer die Lösung ist. Die können natürlich auch missbraucht werden. Und je mehr

00:28:15: nicht menschliche Identitäten habe, desto größer ist das Potential für Missbrauch. Warum kriege

00:28:20: ich immer mehr davon? Weil wir mehr automatisieren. Jede Automation heißt auch irgendwo Zugriffsrechte

00:28:26: mit in eine Automationslösung zu stecken. Wenn ich heute gucke, ich mache gerne mal einen praktischen

00:28:32: Vergleich wieder. Früher der Durchlauf von einem Mitarbeiter in der Anwendungsentwicklung, der

00:28:38: sagt, ich brauche eine neue Testumgebung. Dann ist er irgendwo zum Betrieb gegangen, hat gesagt,

00:28:43: ich brauche eine Maschine, die wurde gesized, die wurde bestellt, dann wurde sie geliefert,

00:28:47: dann wurde sie aufgebaut, dann wurde ein Betriebssystem draufgespielt, dann wurde die Datenbank drauf

00:28:52: gespielt, dann der Applikation Server und so weiter und so fort. Und hinterher haben 20 Leute diese

00:28:56: Maschine angefasst, bevor sie dann final beim Anwendungsentwickler zur Verfügung stand. Heute

00:29:01: geht er in seiner Cloud-Umgebung her, startet ein Playbook und hatten fünf Minuten später eine

00:29:09: genau gleiche Entwicklungsumgebung gebaut, die ihn früher Wochen und viele Arbeitsstritte

00:29:14: gekostet hat. Solche Automationslösungen haben natürlich all diese Zugriffsrechte, die früher

00:29:18: bei ganz vielen Menschen waren im Bauch und die müssen mitgeschützt werden. Wir haben ungefähr

00:29:24: in Unternehmen vor einer menschlichen Identität Faktor 45 an technischen Identitäten, an nicht

00:29:30: menschlichen Identitäten. 45 mal so viel zeigt in etwa, wie groß das Thema ist, was hier zu

00:29:36: schützen gilt und die werden halt aktiv missbraucht. Auch da gibt es Fälle in der Vergangenheit,

00:29:42: wo über technische Zugriffsrechte dann die Automation verändert wurde. Das heißt,

00:29:48: ich mache gar nicht mehr als Hacker mir die Mühe, das selber durchzuführen, sondern ich

00:29:52: gehe in die Automationslösung, manipuliere die und lasse die dann meine Arbeit machen. Und

00:29:58: deshalb müssen wir auch über diese nicht menschlichen Identitäten sprechen, über Zertifikate,

00:30:03: Zertifikatsmanagement, über Automationslösungen und deren Integration und dann am Ende natürlich

00:30:10: auch da wieder über Betriebssicherheit. Zertifikate laufen ab, die müssen rechtzeitig also ausgetauscht

00:30:17: werden. Dementsprechend ist dann auch aus einer anderen Sicht heraus wichtig, dass es dafür

00:30:21: eine entsprechende Lösung ist, wie wir sie beispielsweise auch anbieten. Eine Lösung,

00:30:26: wie ihr sie möglicherweise bei CyberArk anbietet. Michael, unser Titel des Podcasts heute ist

00:30:32: Identitätssicherheit mit CyberArk. Ich bin froh, dass wir uns das Thema isoliert für heute mal

00:30:37: vorgenommen haben. Ich glaube, die Aufmerksamkeit darauf ist noch nicht genug. Thread Detection

00:30:42: und Response kennen wir gut. Es gibt viele etablierte Situationen bei unseren Kunden

00:30:46: rund um Security Operations Center Sorg. Es gibt unterschiedliche Siebenlösungen,

00:30:50: die implementiert sind, aber spezifisch in der Identitätssicherheit sind wir da noch nicht.

00:30:55: Ist die Aufmerksamkeit darauf noch nicht groß genug? Deswegen bin ich froh, dass du uns Zero

00:31:00: Standing Privileges im Kontext von Zero Trust erklärt hast. Erste Frage,

00:31:04: stimmst du mir zu? Und zweite Frage zum Abschluss. Hast du noch ein Appell für unsere Zuhörerinnen

00:31:09: und Zürer, bevor wir den Podcast schießen? Also ja, ich stimme dir zu. Das war gut,

00:31:13: dass wir darüber gesprochen haben. Ich hoffe, dass zahlreich dazugehört wird und habe ich einen

00:31:19: Appell. Starten, nicht warten. Der Hintergrund ist, oft wird gesehen, wie viel das ist. Wenn ich

00:31:25: solche Zahlen genannt habe, 45 mal so viel. Das ist alles riesig. Aber es wird mit einem ersten

00:31:31: Schritt eine Reise begonnen. Das war schon immer so. Und das gilt auch hier. Mein Appell insofern

00:31:36: setzen sie sich Ziele, Zwischenziele, KPIs drauf. Dann kann man auch diesen Fortschritt sehen und

00:31:42: reporten und zeigen, dass man sich hier vorwärts bewegt. Also insofern starten, nicht warten. Und

00:31:49: es ist ein Teamgame. Es ist nicht cyber, macht alles alleine und ist jetzt eine Lösung, so nach

00:31:54: den Motorsteckereien und dann läuft es, sondern das Ganze muss inkludiert werden mit den anderen

00:32:00: Lösungen, was "sock" genannt, was "threat detection" und "response" genannt. Sprich, diese

00:32:04: Aufstellung, wo wir auch sehr stark unterwegs sind, dass wir Partnerschaften haben. Nicht nur mit euch,

00:32:10: sondern auch mit Technologie-Lieferanten, damit das ganze Runde das Bild wird im Bewahrungsplan.

00:32:14: Lieber Michael, vielen Dank für deinen Besuch bei Expanding Utilities. Liebe Zuhörerinnen und

00:32:18: Zuhörer, vielen Dank fürs Zuhören. Auch für diejenigen, die hier draußen gesessen haben und

00:32:22: uns zugehört haben. Mal gucken, wie viel Material dabei entsteht. Ein wichtiges Thema, ein großes

00:32:27: Thema Identitätssicherheit. Wer sich dafür interessiert und informieren möchte, wir werden

00:32:31: deinen Link in Verlinken in unserer Podcast-Episode. Wir sind sowieso erreichbar über Expanding

00:32:37: Utilities. Identitätssicherheit ist ein Thema, das sich auch gut recherchieren lässt, aber ich

00:32:42: glaube, ihr steht da jederzeit als Ansprechpartner zur Verfügung, um ins Gespräch zu gehen. Wir

00:32:46: als Team sowieso. Ich danke dir sehr für deine Zeit und ich danke noch mal unseren Zuhörerinnen

00:32:51: fürs Zuhören. Bis zum nächsten Mal bei Expanding Utilities.

00:32:53: [Musik]