Identitätssicherheit mit CyberArk

Shownotes

Willkommen zu einer neuen Episode von Expanding Utilities. In dieser Folge dreht sich alles um das Thema Identitätssicherheit in der Energiewirtschaft, ein Bereich, der zunehmende Bedeutung gewinnt. Zu Gast haben wir Michael Kleist, einem Experten von CyberArk, der die Besonderheiten und Herausforderungen kennt, mit denen sich Unternehmen in der Energiebranche konfrontiert sehen. Gemeinsam sprechen wir über Identity Security, der Schutz privilegierter Zugriffe und die Rolle von Plattformstrategien bei der Cybersicherheit. Hört rein und erfahrt mehr darüber, wie IT- und OT-Umgebungen sicherer gestaltet werden können und welche Trends die Branche in Zukunft prägen könnten. Viel Spaß beim Zuhören!

Webseite von CyberArk: https://www.cyberark.com/

Kontakt zu Eviden: https://www.linkedin.com/in/spadberg

Transkript anzeigen

00:00:00: Expanding Utilities, der IT und OT Podcast für die Energiewirtschaft von Everdon.

00:00:08: Welcome back to Expanding Utilities. Ich muss vielleicht für unsere Zuhörerinnen und Zuhörer

00:00:13: mal erklären. Wir starten immer mit einem Grinsen in die Aufzeichnung während der E-World,

00:00:17: weil ich habe hier so einen grünen Knopf und wenn ich auf den grünen Knopf drücke,

00:00:20: dann spielt unser Intro in unseren Kopfhörern, auf denen wir live unser Gespräch monitorn

00:00:25: oder uns selbst zuhauen können, spielt unser Intro ab und das ist echt immer ein Motivationsfaktor.

00:00:30: Jetzt startet die Aufnahme ab, geht es im Podcast. Genau und draußen geht ja dann das rote Licht an,

00:00:35: wenn drin das Grüne gedrückt wird. Ganz genau. Wir sprechen heute über ein Thema,

00:00:42: das immer wichtiger wird in der Energiewirtschaft. Vielleicht fange ich erst mal mit meiner ordentlichen

00:00:47: Begrüßung an. Herzlich Willkommen zu einer neuen Episode von Expanding Utilities und wir

00:00:51: sprechen gerade angedeutet über ein Thema, das für Energiewirtschaft immer wichtiger wird.

00:00:55: Cybersecurity und spezifisch Identity Security. Energiefersorger sind zunehmend Ziel von Cyberangriffen,

00:01:01: nicht nur, weil sie kritische Infrastrukturen betreiben, sondern auch weil ihre IT und

00:01:05: OT-Umgebungen, wenn wir gleich erklären, immer komplexer werden. Und Identitätsbasierte

00:01:10: Angriffe nehmen zu und der Schutz von privilegierten Zugängen ist essentiell. Jetzt habe ich schon echt

00:01:15: viele, glaube ich, nördige Begriffe aus der Cybersecurity hier mit reingebracht und die

00:01:19: müssen wir alle gleich erklären und aufnehmen. Aber bevor wir das tun, freue ich mich heute

00:01:23: ganz besonders auf meinen Gast. Bei mir ist Michael Kleist, der für CyberArk das Geschäft

00:01:29: in Zentral Europa verantwortet, ein erfahrener Lieder im Bereich Cybersecurity ist und die

00:01:33: besonderen Herausforderungen vieler Unternehmen, aber insbesondere auch der Energieunternehmen kennt

00:01:38: und weiß mit, was sie sich konfrontiert sehen. Wir werden heute darüber sprechen,

00:01:42: wie moderne Security-Ansätze helfen können, IT und OT-Umgebungen in der Energiewirtschaft

00:01:46: sicherer zu machen, welche Herausforderungen dabei existieren und welche Trends in den

00:01:50: kommenden Jahren wichtig werden. Hallo Michael. Hallo Simon. Warum sitzt du heute hier? CyberArk und

00:01:56: Energiewirtschaft, wie sind wir zusammengekommen? Ich denke, wir sind schon länger zusammen,

00:02:00: auch unter altem Namen vielleicht sogar schon, aber spezifisch hier ist der Auftrag ja, dass wir

00:02:05: uns unterhalten, um das, was die Energiebranche spezifisch macht. Cybersecurity, Identity Security,

00:02:12: sind so Oberbegriffe. Wenn ich dann aber tiefer gehe, dann ist ja immer die Frage, warum mache ich

00:02:16: das? Und Risikominimierung ist für alle Kunden inzwischen ein Thema. Spezifisch hier haben wir

00:02:23: immer die Herausforderungen. Wir haben auf der einen Seite kompleinsbasierte Themen, wir haben auf

00:02:26: der anderen Seite Themen rund um das Thema Digitalisierung, Veränderung der Geschäftsprozesse,

00:02:31: dann normale Cybersecurity logischerweise. Und wenn ich all das in einen Topf schmeiße,

00:02:36: soll es nicht teurer werden, das heißt kostenbasierte Treiber. Und wenn ich diese vier Treiber

00:02:41: nehme, dann haben wir eigentlich das, worüber wir uns heute unterhalten. Identity Security,

00:02:46: dahinter stecken Prozesse, dahinter steckt Security, dahinter steckt Beratung und natürlich,

00:02:51: weil es nicht nur CyberArk gibt und wir andere Tools brauchen, um Cybersecurity zu betreiben,

00:02:57: eben auch Integrationspartner und Beratungspartner, wie die erwähnen. Dann lass uns Schritt für

00:03:02: Schritt auspacken, worüber wir sprechen wollen. Für unsere Zuhörerinnen und Zuhörer, wir sprechen

00:03:07: in Expanding Utilities mit führenden Personen aus der Energiewirtschaft, die große Transformationen

00:03:11: antreiben, große Baustellen stemmen, große Projekte ins Leben rufen und wir sprechen mit

00:03:16: Technologieunternehmen, die probieren dabei zu helfen oder wie in eurem Fall das sicherer zu machen.

00:03:23: Und euer Begriff ist Identity Security, den du glaube ich gerade im Ansatz schon angefangen

00:03:27: hast zu erklären. Aber vielleicht nehmen wir uns dafür nochmal Zeit. Identity Security,

00:03:31: was ist das? Michael? Identity Security beschreibt die Identität als zentralen Baustein der

00:03:38: Security. Warum zentraler Baustein? Weil im Prinzip fast alle Angriffe, die wir in den letzten Jahren

00:03:43: gesehen haben, in irgendeiner Form eine Identität entweder missbraucht haben oder geklaut haben,

00:03:50: angenommen haben und deshalb, wenn ich die richtig schütze, die Identität, dann mache ich ein ganz

00:03:56: großes Einfallstor für Angriffe zu. Und gleichzeitig, compliance, hatte ich eben schon erwähnt,

00:04:02: gleichzeitig möchte ich erwissen, dass ich eine Identität habe. Ich möchte wissen, was macht

00:04:06: der Simon denn da eigentlich bei mir alles? Und möchte nicht hinterher feststellen, oh,

00:04:09: er hat aus versehen fünf verschiedene Identitäten angenommen und keiner wusste,

00:04:13: dass der eine Vielfalt von Zugriffsrechten hat, dass er sich Klassiker seiner eigenen Reisekosten

00:04:19: freigeben kann. Das Ganze ist die einfache Variante. In der IT hat das wesentlich schwerwiegendere

00:04:24: Folgen, wenn ich solche privilegierten Zugriffe, auch das Wort hat sie eben genannt, wenn ich

00:04:29: diese privilegierten Zugriffe nehme, nämlich wenn ich mehr tun kann als ein normaler Mitarbeiter.

00:04:35: Ich kann Dinge kaputt machen, ich kann Dinge aufbauen, ich kann Prozesse verändern,

00:04:39: ich kann Anlagen steuern. All das sind Privilegien, die dann entsprechend geschützt werden müssen.

00:04:45: Wie stellen wir das unheimlich schwierig vor? Du hast gerade gesagt, unter einem Anlagen zu

00:04:49: steuern, jetzt sprechen wir ja hier in Expanding Utilities über eine Branche, in der wir haben

00:04:55: eine eigene Episode gemacht zur IT/OTI Convergence. Wir haben jetzt gerade eine Episode über

00:04:58: Souveränität darüber wieder gesprochen, wie sehr IT stattfinden wird oder IT und

00:05:04: OT zusammenwachsen. Viele haben den Begriff OT, operative Technologie, schon abgeschrieben und

00:05:08: sagen in Zukunft ist sowieso alles Information Technology und eigentlich ist es das Gleiche

00:05:12: und irgendwann habe ich einen Topf, eine Plattform, eine Infrastruktur, was auch immer, weil ich muss

00:05:17: ja viel mehr in der Lage sein zu steuern, aber das bedeutet ja gleichzeitig auch, dass in einer

00:05:23: Energieinfrastruktur, in der es Techniker gibt, in der es physikalische Infrastruktur, ob es ein

00:05:28: Umspannberg oder dazu mal oder andere Assets gibt, die draußen sind, die physikalisch angreifbar sind,

00:05:35: wo Techniker reingemüssen, dann sagt ihr, wir schaffen es ein privilegiertes Access Management

00:05:41: zu etablieren, das in einem Energieversorger hilft übers gesamte Unternehmen eigentlich,

00:05:45: die Sicherheit in der Identität herzustellen. Das stelle ich mir echt schwierig vor.

00:05:50: Das ist ja nicht trivial, aber deshalb gibt es ja eben erfahrene Unternehmen, die das tun,

00:05:54: weil es nicht trivial ist, weil man den Hintergrund dazu braucht. Aber du hast es gerade im Endeffekt

00:05:59: schon erläutert. Du hast auf der einen Seite wirklich Zutrittsrechte im Sinne von physischen

00:06:04: Zutrittsrechten, sprich ich komme durch die Tür durch, dazu musst du aber auch wissen,

00:06:08: wie diese Identität ist, die denn dadurch die Tür kommt. Smart Cards oder was auch immer

00:06:13: dein Ausweis medium sind, dabei irgendeine Form von Identifizierung musst du ja zu dem Zeitpunkt

00:06:18: vorweisen, damit die Tür aufgeht. Typischerweise wer am Leitstand einmal angekommen ist, hat

00:06:24: auch dann die Berechtigung Dinge zu tun. Das heißt, ich muss also den Zutritt, den physischen

00:06:29: Zutritt so regeln, dass nur noch die richtigen da reinkommen. Ich muss aber auf der anderen Seite

00:06:33: auch aus der IT Sicht bei mehr Vernetzung diese Zutrittsrechte aus der IT oder OT Sicht verändern.

00:06:40: Die Besonderheit IT/OT ist aber kurzfristig. Wir hatten eben langfristig, wird es vielleicht

00:06:46: alles mal in einen Podcast kommen, wird glaube ich noch ein bisschen dauern. Kurzfristig haben

00:06:50: wir nämlich viel, viel längere Laufzeiten bei allem, was OT ist. Das heißt, Anlagen,

00:06:55: wenn ich mein Kraftwerk angucke, die die heute gebaut werden, sind vorweisen nicht zehn Jahren

00:07:01: wahrscheinlich in die Planung gegangen und werden irgendwann in 50 Jahren abgebaut. Wenn

00:07:06: wir solche Zeiträume uns einfach vor Augen führen, dann haben wir nicht die Möglichkeit

00:07:10: ständig an der IT oder an den Prozessen rumzufummeln in Anführungsstrichen und viele

00:07:15: der Geräte werden auch nicht alles unterstützen. Also auch eintechnologisch wird Stichwort

00:07:20: Quantencomputing, Kryptografieprobleme. Einige Geräte werden das einfach nicht mitmachen

00:07:27: und werden trotzdem nicht austauschbar sein, weil Zertifizierung da dran hängen, weil

00:07:32: es nicht so einfach ist, regulatorisch ist, nicht so einfach ist zu ersetzen. Insofern,

00:07:35: da ist IT und OT auf absehbarer Zeit, glaube ich, noch getrennt zu sehen mit den besonderen

00:07:41: Anforderungen, auch was die Betriebssicherheit angeht im Sinne von Verfügbarkeit und 7 x

00:07:48: 24 Betrieb. Ich glaube, wir müssen eigentlich zwei Betrachtungsperspektive nochmal einnehmen,

00:07:53: auch um das Thema sauber erklärt zu haben, dass das einmal, wie ist eigentlich der Angriffsvektor

00:07:58: für Identitätssicherheit? Also was muss ich mir vorstellen, sind die konkreten Risiken?

00:08:01: Und dann auch gleichzeitig, wie ist die Relevanz dessen heute in der Cybersicherheit eines

00:08:08: Unternehmens? Also was mich einfach interessieren würde, ist da. Würdest du sagen, Identity

00:08:14: Security ist da und kann besser werden? Oder würdest du sagen, das ist ein Thema, das

00:08:19: viel zu wenig Berücksichtigung findet und da müssen wir viel mehr RANIS drauf haben?

00:08:23: Aber kommen wir vielleicht zur ersten Frage erstmal zurück. Mit welchen Angriffsrisiken

00:08:27: sieht sich denn ein Energiefersorger spezifisch auf Identity Security bezogen, konfrontiert?

00:08:32: An der Stelle möchte ich tatsächlich gar nicht die Energiefersorger besonders betrachten,

00:08:38: weil technologisch ist es das Gleiche. Sie stehen mehr unter Attacke. Also insofern,

00:08:43: das Risiko ist höher, weil mehr versucht wird. Gerade im Dezember, glaube ich, war es, hat

00:08:48: Bistorius noch gesagt, wir befinden uns in einem hybriden Krieg und gerade Netze und

00:08:54: Energiefersorger sind unter Attacke. Aber von der technologischen Seite gibt es einen

00:08:59: eigentlich uralten Weg, der heißt kurzgefasst, irgendwo einen ersten Fußabdruck zu lassen,

00:09:07: irgendwo reinzukommen. Das sind manchmal sehr einfache historisch bekannte Schwachstellen.

00:09:13: Das sind manchmal bis hin zu sogenannten Zero Day Exploits, also Dinge, die noch nicht

00:09:17: offenbar sind, diesen ersten Eintritt dann zu nutzen, um das Netzwerk auszukundschaften,

00:09:25: Lateral Movement, wie wir das nennen, das heißt, die Breite zu verstehen und in dieser

00:09:29: Breite finden sich wieder neue Schwachstellen, bis man irgendwo von der Breite dann auch

00:09:35: in die Höhe gehen kann, sozusagen, sprich, wertigere Zutrittsrechte bekommt. Was heißt

00:09:41: das konkret? Es gibt etwas in technologischer Form, was mir erlaubt, historische Zugriffsrechte

00:09:47: zu recyceln, sozusagen. Und du kennst es wahrscheinlich ein relativ neueres Thema, du kennst wahrscheinlich

00:09:54: von deinem Browser. Wenn du dich eingelockt hast auf deinem Browser, mit UserID, Passport,

00:09:59: vielleicht sogar eine Multifaktor-Authentifizierung, ab dann bist du in dem Browser bekannt. Wenn

00:10:04: ich es schaffe, dieses Cookie zu klauen, in dem deine Session authentifiziert wurde, dann

00:10:10: kann ich einfach sozusagen tun, als sei ich du. Weil ich dem Browser vorgaukel, dass du

00:10:17: dich authentifiziert hast mit diesem Cookie, was ich im Unterschiede kann. Also es gibt

00:10:21: sehr, sehr viele verschiedene Techniken. Wir haben einen golden Ticket-Attackel, reden

00:10:26: aus dem Windows-Bereich, wenn wir eben von solchen Browser-Session-Cookie-Highjackingsprächen

00:10:31: gibt es sehr viele verschiedene Möglichkeiten. Sie kommen aber immer am Ende darauf zurück,

00:10:35: dass es eine Identität ist, mit der ich agiere, die ich fremd benutze und dass es Gemeine

00:10:40: daran ist, dass das dann nicht sichtbar ist für die Überwachungssysteme, weil es ja

00:10:45: legitim aussieht. Danke für die Beispiele, Michael, weil das macht das sehr greifbar

00:10:49: für mich. Ist genau der richtige Zeitpunkt zu fragen, welche Antworten gibt ihr als Cyber-Ark

00:10:53: spezifisch darauf? Die Antwort ist relativ einfach. All diese Systeme funktionieren ja

00:10:59: irgendwie nach einem Schlüssel-Schloss-Prinzip. Wenn ich also den Schlüssel austausche, dann

00:11:05: passt er nicht mehr ins Schloss. Wenn ich Schloss austausche, passt der Schlüssel nicht mehr.

00:11:09: Sprich, auf einer Seite muss ich etwas verändern, damit die andere Seite nicht mehr gültig

00:11:14: ist. Das ist ein ganz wichtiges Prinzip dahinter. Das heißt, immer zu sagen, wenn du etwas verwendet

00:11:20: hast, anschließend es ungültig machen. Denn dann ist es weg. Das ist so die Basis, wo

00:11:25: wir herkommen, historisch. Bei neuen Systemen gehen wir in einen anderen Weg, das nennen

00:11:30: wir Zero Standing Privileges. Das heißt, zum Zeitpunkt, wenn du startest, hast du überhaupt

00:11:36: keine Zugriffrechte. Ich garantiere dir nur, dass der Simon der Simon ist. Ich garantiere

00:11:41: dir aber nicht, was du darfst. Und erst zur Laufzeit wird dann gesagt, Simon, was möchtest

00:11:45: du eigentlich machen? Und du möchtest vielleicht in deiner Cloud-Umgebung eine neue Test-Umgebung

00:11:51: starten. Und dann wird geguckt, sollte der Simon das dürfen? Anhand von einer Rolle,

00:11:56: anhand von einer Risikobewertung. Und dann wird gesagt, okay, hier sind die Zugriffrechte

00:12:00: du brauchst, um eine Test-Umgebung zu starten. Und dann bekommst du die und kannst On the

00:12:04: Fly das tun. Danach werden die Rechte aber auch wieder entzogen. Das heißt, mit diesem

00:12:08: Identitätsklau habe ich überhaupt keine Chance, irgendwas zu machen, weil der Simon

00:12:13: einfach keine Rechte hat.

00:12:15: Da wir sind, wir sind auf der Iule, dass wir jetzt gerade raus gucken und ein Transformer

00:12:19: gleich an unserem Stand vorbeiläuft. Sehr spannend, was man hier alles erleben kann. Aber

00:12:24: das packen wir dann in die Outtakes. Ich danke dir, ich habe gerade einen neuen Begriff oder

00:12:28: wir haben jetzt gerade einen Begriff erschlossen, Zero Standing Privileges. Vielleicht, wenn ich

00:12:32: uns zuhöre und ich kenne ein bisschen Cyber Security und größere Strategien, die gerade

00:12:38: irgendwie ein Stück weit diskutiert werden oder vielleicht zum Standard werden im Markt,

00:12:41: dann kenne ich Zero Trust. Wie ist der Zusammenhang zwischen den Themen vielleicht einfach mal

00:12:45: ganz schlicht gefragt?

00:12:46: Zero Trust ist so ein konzeptioneller Ansatz, ja, um zu sagen, niemals Vertrauen, sondern

00:12:53: immer überprüfen. Da gibt es ja Modelle hinter, wie sich Zero Trust dann in der Praxis auslebt,

00:12:58: wo ich Policies mache, wo ich die Entscheidung treffe, ob eigentlich einen Zugriff zulasse

00:13:02: und so weiter. Das heißt, dieses Modell muss ich aber dann ja irgendwie übertragen in

00:13:07: Technik im Sinne von die Zielplattform, was die zulassen und auch natürlich den Menschen,

00:13:13: der da mitspielen muss und es sollte auch die technologischen Zugriffsrechte beinhalten.

00:13:18: Wenn ich das alles zusammennehme, dann komme ich auf konzeptionelle Umsetzung in Technik.

00:13:22: Zero Standing Privileges ist in der Beziehung die höchste Form davon, weil was nicht da

00:13:27: ist, kann nicht geklaut werden und entspricht dem Zero Trust Modell. Historisch ist aber

00:13:33: das nicht bei allen Systemen möglich. Ich kann nicht bei allem, was es da draußen gibt

00:13:38: an Zugriffsrechten so dynamisch agieren, wie ich das gerne hätte. Das heißt, Zero Trust

00:13:43: ist ein Gedankenmodell. Zero Standing Privileges ist eine konkrete Umsetzung dieses Gedankenmodells

00:13:50: in, sag ich mal, Reinstform. Ich hatte eingangs, ich glaube, in der vorletzten Frage gefragt,

00:13:58: auf welchen Markt triffst du da? Wie ist die Situation bei deinen Kunden aktuell?

00:14:01: Sollen wir sich Zero Trust verstanden? Ich glaube, das ist wirklich eine strategische

00:14:04: Leitlinie und ein Konzept, an dem sich viele orientieren. Aber so was gibt es sehr viel.

00:14:09: Es gibt auch Cloud First oder so. Das heißt dann nicht, dass ich dann irgendwie gleich

00:14:12: mit allem in der Cloud bin. Auf welche Situation triffst du bei deinen Kunden in der Branche?

00:14:17: Im Augenblick sehen wir einen starken Umbruch. Auf der einen Seite, ich hatte eben so ein

00:14:21: bisschen kätzlerisch gesagt, die Kraftwerke in 50 Jahren, also Planungssicherheit hört

00:14:25: sich ja eigentlich total super an. Die Realität ist aber eine andere im kurzfristigen Bereich,

00:14:31: nämlich willkommen aus diesem stark vorherrsagbaren und häufig in der Energiewirtschaft ein großer,

00:14:39: an ganz viele kleine, von der Logik her, des Businessprozesses. Ich habe meinen Kraftwerk,

00:14:44: ich bin Stromanbieter und ich verkaufe an ganz viele Abnehmer. Mit der Stromwende oder

00:14:50: mit der Energiewende haben wir natürlich aber plötzlich ganz viele Anbieter im Markt.

00:14:54: Erst haben wir regulatorisch Netze getrennt, dann haben wir eben viele kleine Anbieter

00:14:59: bis hin zu den persönlichen Photovoltaikanlagen auf den Dächern. Das heißt, plötzlich habe

00:15:04: ich nicht mehr eine 1 zu N-Beziehung, sondern eine N zu M-Beziehung, also ein viel komplexeres

00:15:10: Netzwerk. Plötzlich ist der Anbieter gleichzeitig auch Empfänger von Leistung. Die Verrechnung

00:15:16: wird komplizierter. Die Flut von Anträgen ist nicht beherrschbar mit den alten Prozessen.

00:15:21: Das heißt, wir haben eine Veränderung im Businessmodell, die dann zwangsläufig auch

00:15:26: zu einer Veränderung in der IT und in den Prozessen der IT führt und die muss technologisch

00:15:31: aufbearbeitet werden. Und dann kommt, du hast eben Cloud First gesagt, eben bei einigen

00:15:36: Kunden auch die Überlegung zu sagen, sollte ich das alles selber machen von der IT her.

00:15:40: Gibt es nicht coolere Konzepte, skalierbare Konzepte als das selber zu machen. Und das

00:15:46: geht meistens einher nicht nur mit einer Entscheidung für ich mache was in der Cloud, sondern wirklich

00:15:50: das Anwendungs-Entwicklungsprozesse verändert werden, also Agilität reinkommt, dass Cloud

00:15:56: Native Produkte genutzt werden. Das heißt, vieles, was vorgedacht ist von Anbietern

00:16:01: wie AWS wird dort aktiv genutzt, um einfach schneller zu werden, sich schneller an den

00:16:06: Markt wieder anpassen zu können.

00:16:08: Michael, uns hören führende Menschen zu in der Energiewirtschaft, welche die sich für

00:16:14: den Wandel interessieren, einige, die die Energiewirtschaft verstehen wollen. Wenn

00:16:18: ich aus einer Perspektive einer Organisation in dieser Branche blicke, hast du dann ein

00:16:24: Rat, wie ich konzeptionell dieses Thema angehe? Was ist das beste Setup? Mit wem spricht ihr

00:16:31: Was ist eine organisatorische...

00:16:33: Entscheidungen, die ein Unternehmen der Energiewirtschaft treffen kann, um dann zu sagen, wenn ich mich

00:16:37: so aufstelle, bin ich gut aufgestellt für die Sicherheit. Weil ich natürlich mit all den Faktoren,

00:16:42: die du gerade beschrieben hast, es gibt Geschäftsproteste, die sich verändern, es gibt neue

00:16:45: Technologie, die introduced wird, es gibt OT, die zur IT wird und dadurch wiederum mehr Zugänge,

00:16:51: da ist das ganze Unternehmen involviert. Wie kann sich denn ein Unternehmen aufstellen, um genau

00:16:57: diese Sicherheitsfragen an den richtigen Stellen nicht nachträglich, aber auch nicht als Hemmfaktor,

00:17:04: sondern an den richtigen Stellen zu betrachten? Aus unserer Sicht ist dahinter eine Plattform-Strategie

00:17:11: die richtige Wahl, sprich ich suche mir als Unternehmen meinen Bebauungsplan sozusagen zusammen. Ich

00:17:19: muss wissen, was ich alles anbieten muss, damit meine Applikationsentwickler, damit die Prozesse

00:17:25: da drauf entsprechend arbeiten können. Wir wollen nicht der Hemmschuh sein, ganz im Gegenteil,

00:17:31: wir wollen den Security-Teil so anbieten, dass er konsumiert werden kann und einfach im Projekt

00:17:37: mitläuft. Es gibt Security by Design als konzeptionellen Ansatz, am leichtesten lässt sich das umsetzen,

00:17:44: wenn ich dem Entwickler, dem Projektleiter die Tools an die Hand gebe, die er leicht konsumieren kann.

00:17:51: Alles, was ich ihm schwer mache, verzögert und führt wahrscheinlich auch dazu, dass er vielleicht

00:17:57: hier und da ein Auge zudrückt. Das heißt, je leichter ich sie mache, desto besser. Gleichzeitig

00:18:02: muss ich langfristig denken und sicherstellen, dass diese vielen Projekte am Ende alle so

00:18:09: zusammengeführt werden können, dass ich sie managen kann, dass sich die Security im Auge

00:18:14: behalte, im Sinne von auch Überwachung und dass ich auch im Compliance-Reporting nicht plötzlich

00:18:20: wahnsinnigen Wildwuchs erzeugen. Und das alles bietet eine Plattform an, ein Bebauungsplan,

00:18:26: wie ich es nenne, die in der Lage ist, diese ganzen Dinge zu konsolidieren und an zentraler

00:18:31: Stelle wieder zur Verfügung zu stellen. Genau das tun wir bei CyberArk, diesen Bebauungsplan mit

00:18:38: dem Kunden gerne zu erstellen, mit der Evidenten gemeinsam und von unserer Seite für die Identity

00:18:43: Security als Plattform auch technologisch zur Verfügung zu stellen, die diese Integration,

00:18:48: von denen ich gerade Sprach auch mitbringt, obwohl die Zielplattformen total unterschiedlich sind und

00:18:55: total unterschiedliche Ansprüche haben und total unterschiedliche Technologien brauchen. Wir sprechen

00:19:00: schon einige Minuten miteinander über ein Cyber Security Thema in einer kritischen Infrastruktur

00:19:04: und wir haben noch nicht über Regulatorie gesprochen. Das müssen wir aber glaube ich unbedingt noch

00:19:08: machen. Meine Frage ist in dem Zusammenhang Einführung verschiedener Richtlinien,

00:19:15: Resilienzkritischer Infrastruktur, also die CEER-Richtlinie, NIST-Zweirichtlinie. Das bringt

00:19:20: alles neue Anforderungen an die Sicherheit und Widerstandsfähigkeit digitaler, vor allem

00:19:25: kritischer Infrastruktur, regulatorisch. Welche Bedeutung hat diese Regulatorik für Identity

00:19:31: Security für die Kunden? Ich bin mal so frei und frage, ist es wirklich eine neue Anforderung oder ist

00:19:38: sie nur zum ersten Mal niedergeschrieben? Aus meiner Sicht sind es keine neuen Anforderungen,

00:19:43: weil solange ich einer Bedrohung begegnen muss, muss ich mir als Unternehmen darüber Gedanken

00:19:47: machen und das sehen wir in jedem Jahresbericht. Gibt es eine eigene Abteilung zum Thema Risiken

00:19:52: und darin stehen in den vergangenen Jahren eigentlich regelmäßig auch Cyber Risks drin. Die

00:19:58: Allianz bringt ja einmal im Jahr den globalen Risikoreport raus, in dem seit Jahren Cyber Risk,

00:20:06: das größte Risiko ist, was Unternehmen sehen, in Summe, nicht nur innerhalb der Energiewirtschaft

00:20:10: und das zweitgrößte Risiko ist Betriebsausfall. Oft aus dem ersten Risiko herausgeboren, wie wir

00:20:17: auch oft genug gesehen haben, dass wenn irgendwo ernsthafte Angriffe erfolgt sind, danach erst

00:20:22: mal ein Produktionsstillstand erfolgt. Insofern die Regulatorik und das Markt jetzt etwas blasphemisch

00:20:29: schon fast klingeln, ist in erster Linie aus meiner Sicht die administrative Bürde, die daraus

00:20:34: erfolgt, alles entsprechend zu reporten. Die Anforderungen existieren in anderen, sag ich mal,

00:20:40: best practices frameworks eigentlich schon vorher. Sie sind hier nur neu zusammengefasst und sie werden

00:20:45: jetzt verpflichtend, sollten eigentlich schon vorher verpflichtend gewesen sein im Sinne einer

00:20:50: guten Cyberhygiene, im Sinne eines guten Vorgehens. Sind wir in Deutschland mitten ist zwei Jahre ein

00:20:55: bisschen später dran durch die vorgezogenen Bundestagswahlen, aber im Großen und Ganzen

00:21:00: und deshalb zurück zu der Frage, was heißt es dann für Kunden, für Unternehmen? Sie müssen halt

00:21:06: diesen regulatorischen Ansatz auch erfüllen im Sinne des Nachweises. Da helfen wir, weil wenn

00:21:12: wir an einer zentralen Stelle die Informationen zusammenführen und sozusagen auf Knopfdruck den

00:21:17: Report generieren können für den Auditor, dann hilft das natürlich in der Umsetzung und in der

00:21:22: schnellen Bereitschaft für entsprechende Regulatorik weiter. Ich bin der festen Überzeugung,

00:21:28: gute Cybersecurity bringt Compliance. Gute Compliance bringt noch keine gute Cybersecurity.

00:21:34: Spannende Antwort zur Regulatorik. Insbesondere dein letzter Satz war sehr, sehr, sehr zitierfähig.

00:21:40: Michael, kleinest Zwischenfazil, worüber wir gesprochen haben, wir waren schon bei

00:21:43: Hubriden Krieg und der Herausforderung, dass insbesondere die Energiewirtschaft die kritischen

00:21:48: Infrastrukturen unter einer enormen Belastung stehen, sicher zu sein. Wir haben das Prinzip

00:21:54: Zero Sending Privileges von dir erklärt bekommen und werden in dem Zusammenhang auch darüber gesprochen,

00:21:59: dass der beste Ansatz Sicherheit mitzudenken in der Aufstellung eines Unternehmens in der

00:22:06: Energiewirtschaft nach vorne der plattformbasierter Ansatz ist, eine Bebauungsplan zu machen für

00:22:11: Michaels Unternehmen nach vorne und da eben das Thema Identity Security jetzt in dem Fall konkret

00:22:17: mitzudenken. Ich stelle mir immer noch die Frage, wo stehen wir da in der Branche Identity Security?

00:22:25: Wie groß sagst du, eigentlich haben wir schon alle CyberArk und Identity Security Haken dran oder

00:22:31: wie nimmst du das wahr? Also meine Wahrnehmung ist Zero Trust ist als Konzept für vielen Prinzip,

00:22:37: dem man folgen will, aber erfolgreiche Implementierung von Identity Security sind

00:22:42: noch nicht überall da erfolgt, wo sie erfolgen sollten. Gibt es dir mir recht?

00:22:47: Das unterschreibe ich hundertprozentig. Es ist Flickschusterei. Historisch gesehen haben wir

00:22:54: halt Systeme, die Zutritt gewähren zurück zu diesem Zutrittsgedanken am Anfang, die existieren

00:23:00: ja, die existieren in der IT. Wenn ich jetzt was Neues dazu baue und das Parallel in ein eigenes

00:23:06: Silo stecke, dann habe ich hinterher genauso Insellösungen und das ist genau das Gegenteil von

00:23:12: dem, was ich als Plattformansatz eben wachte. Und da haben wir aus meiner Sicht den größten

00:23:16: Nachholbedarf, die Dinge zusammenzudenken und nicht isoliert zu denken. Das ist eigentlich das,

00:23:22: wo wir am meisten mit unseren Kunden auch drüber reden, zu sagen, guckt nicht einfach auf das neue

00:23:28: Projekt, was ihr macht, sondern guckt, dass ihr die Plattform schafft, um dann ganz viele Projekte

00:23:32: in gleicher Art und Weise vorangehen zu können. Wir haben historisch sicherlich eine gewisse Schuld

00:23:38: im Sinne von oder Schulden im Sinne von noch nicht umgesetzt Dinge und was nicht funktioniert ist,

00:23:45: mit alten Gedankengängen neue Probleme zu lösen. Ich habe so ein Zettel vor mir, auf den stehen so

00:23:52: paar Buzzwords, die ich unbedingt mit dir abhaken will in unserem Gespräch über Identity Security

00:23:56: und zwei, die mir noch fehlen, sind KI und Faktor Mensch. Jetzt habe ich Zero Standing Privileges so

00:24:02: verstanden, dass dadurch, dass es Zero Standing Privileges gibt, auch die Privilegien fehlen,

00:24:10: die ich klauen kann über eine Fishing-Attacke, die ne Faktor Mensch, der erste Begriff "großer

00:24:15: Risikofaktor" sind heute und das in Kombination mit ganz neuen Angriffsmöglichkeiten, die durch

00:24:20: künstliche Intelligenz entstehen. Ist soweit mein Verständnis über Zero Standing Privileges richtig?

00:24:26: Absolut. Und das Thema KI konkret als Angriffspotenzial für, ich beriefe es jetzt nicht nur Fishing-Attacken

00:24:34: und wiederum Thema Mensch, ist das was, was euch sehr beschäftigt in der Weite Entwicklung von CyberArk?

00:24:39: Definitiv. KI muss man ja immer ein bisschen aufpassen, dass nicht alles plötzlich ein Label bekommt,

00:24:46: falls gerade Marketing Hype ist. Was wir uns davon versprechen, ist, dass wir halt den

00:24:51: Administratoren das Leben leichter machen, die eine solche Lösung halt am Leben erhalten müssen,

00:24:56: also sprich, es ändert sich ständig was in der IT. Wie schaffe ich, dass meine Security-Lösung

00:25:01: immer up to date ist und diese Veränderung immer mitnimmt? Das heißt weniger Klicks,

00:25:07: mehr Automation. Auf der anderen Seite habe ich eben die Überlastung von SOX, in dem ich zu viele

00:25:13: Volts Positives habe. Auch NIST 2 schreibt ja vor, dass ich entsprechende Erkennungen haben muss.

00:25:18: Wenn ich die Anzahl Volts Positives runterdrücken kann, dann kriege ich tendenziell eine bessere

00:25:24: Reaktion auf die echten Alarme. Dementsprechend ist ein anderer Faktor, wo wir KI sehr stark sehen.

00:25:29: Insofern sage ich mal, es ist eine Mischung. Wir sehen in mehreren Produkten, wie die KI kommt,

00:25:35: hilft Policies zu erstellen. Das heißt aus dem Verhalten, aus den immer wieder gewährten Zugriffstrechten

00:25:42: oder Standards zu lernen und vorzuschlagen, du hast einen neuen Mitarbeiter, der sieht extrem

00:25:48: so aus wie der andere Mitarbeiter. Die sind die Policies, die du da vergeben hast. Möchtest du den

00:25:52: ähnlich behandeln? Da ist jetzt ein bisschen anders als beim Copy-Paste, wo ich dann 1 zu 1 eine Rolle

00:26:00: definiere, nämlich zu sagen, was hat der tatsächlich genutzt, wird überprüft. Was kann ich jetzt

00:26:04: auf die Schnelle sozusagen an allen möglichen Ecken und Enden der Zugriffsrechte übernehmen? Und

00:26:11: wo ist er eben unterschiedlich oder wo muss ich Profile miteinander in Verbindung setzen? Das

00:26:16: klassische Copy-Paste ist halt Mitarbeiter A, wird wie Mitarbeiter B behandelt. Wir gehen halt weiter

00:26:22: und sagen, was hat A gemacht, was hat B gemacht, was hat C gemacht und wenn da jetzt ein Neuer kommt,

00:26:27: hat er eine andere Rolle. Guck mal, der scheint von diesem Profil noch etwas lernen zu können.

00:26:32: Und so versuchen wir dem Administrator Entscheidungsvorschläge zu machen,

00:26:37: aber nicht selber durchzuführen, bevor er sie nicht freigegeben hat. Das heißt,

00:26:40: an der Stelle gibt es noch den menschlichen Faktor dann, also jetzt nicht negativ, sondern positiv,

00:26:46: nämlich zu sagen, wir können einen Vorschlag machen. Der sieht sinnvoll aus aufgrund dessen,

00:26:51: was die KI gelernt hat über Verhalten. Und dann sollte aber ein Mensch es absegnet, zu sagen,

00:26:56: das ist ein guter Vorschlag oder ist kein guter Vorschlag. Und Ähnliches machen wir auch zum

00:27:00: Beispiel bei Holicies in the Endpoint Protection, zu sagen, sollten dort gewisse Standards vielleicht

00:27:05: angesetzt werden. Das haben wir gelernt aus vielen Freikaben, aus vielen Ablehnungen. Dies

00:27:11: könnte eine Policy sein, die demnächst den manuellen Aufwand massiv reduziert. Insofern,

00:27:16: da nutzen wir KI für. Michael, du hast mir eine Vorbereitung zu unserem Gespräch mitgegeben,

00:27:21: das war eine Sache insbesondere noch beleuchten müssen, die sehr wichtig ist im Kontext von

00:27:25: Identitätssicherheit. Und das ist die Tatsache, dass wir nicht nur menschliche Identitäten haben,

00:27:30: über die wir gerade viel gesprochen haben, einen positiven Sinne und im Sinne eines Risikos,

00:27:34: sondern auch nicht menschliche Identitäten. Das musst du uns unbedingt erklären und vor allen

00:27:39: Dingen auch im Zusammenhang der dadurch entstehenden Bedrohungen und wie ihr damit umgeht.

00:27:42: Sehr gern. Die nicht menschlichen Identitäten haben wir ja heute überall. Also historisch haben

00:27:47: wir es dann irgendwo technische Accounts oder so genannt, wo einfach ein Lock-in möglich war

00:27:52: für eine Maschine oder für einen Prozess, eine Applikation. Banales Beispiel, eine Applikation

00:27:59: muss auf die Datenbank zugreifen. Dafür muss sie in irgendeiner Form technisch da dran kommen. Das

00:28:03: passiert so klassisch über UserID-Passwort oder über irgendwelche Keys oder Zertifikate,

00:28:09: was auch immer die Lösung ist. Die können natürlich auch missbraucht werden. Und je mehr

00:28:15: nicht menschliche Identitäten habe, desto größer ist das Potential für Missbrauch. Warum kriege

00:28:20: ich immer mehr davon? Weil wir mehr automatisieren. Jede Automation heißt auch irgendwo Zugriffsrechte

00:28:26: mit in eine Automationslösung zu stecken. Wenn ich heute gucke, ich mache gerne mal einen praktischen

00:28:32: Vergleich wieder. Früher der Durchlauf von einem Mitarbeiter in der Anwendungsentwicklung, der

00:28:38: sagt, ich brauche eine neue Testumgebung. Dann ist er irgendwo zum Betrieb gegangen, hat gesagt,

00:28:43: ich brauche eine Maschine, die wurde gesized, die wurde bestellt, dann wurde sie geliefert,

00:28:47: dann wurde sie aufgebaut, dann wurde ein Betriebssystem draufgespielt, dann wurde die Datenbank drauf

00:28:52: gespielt, dann der Applikation Server und so weiter und so fort. Und hinterher haben 20 Leute diese

00:28:56: Maschine angefasst, bevor sie dann final beim Anwendungsentwickler zur Verfügung stand. Heute

00:29:01: geht er in seiner Cloud-Umgebung her, startet ein Playbook und hatten fünf Minuten später eine

00:29:09: genau gleiche Entwicklungsumgebung gebaut, die ihn früher Wochen und viele Arbeitsstritte

00:29:14: gekostet hat. Solche Automationslösungen haben natürlich all diese Zugriffsrechte, die früher

00:29:18: bei ganz vielen Menschen waren im Bauch und die müssen mitgeschützt werden. Wir haben ungefähr

00:29:24: in Unternehmen vor einer menschlichen Identität Faktor 45 an technischen Identitäten, an nicht

00:29:30: menschlichen Identitäten. 45 mal so viel zeigt in etwa, wie groß das Thema ist, was hier zu

00:29:36: schützen gilt und die werden halt aktiv missbraucht. Auch da gibt es Fälle in der Vergangenheit,

00:29:42: wo über technische Zugriffsrechte dann die Automation verändert wurde. Das heißt,

00:29:48: ich mache gar nicht mehr als Hacker mir die Mühe, das selber durchzuführen, sondern ich

00:29:52: gehe in die Automationslösung, manipuliere die und lasse die dann meine Arbeit machen. Und

00:29:58: deshalb müssen wir auch über diese nicht menschlichen Identitäten sprechen, über Zertifikate,

00:30:03: Zertifikatsmanagement, über Automationslösungen und deren Integration und dann am Ende natürlich

00:30:10: auch da wieder über Betriebssicherheit. Zertifikate laufen ab, die müssen rechtzeitig also ausgetauscht

00:30:17: werden. Dementsprechend ist dann auch aus einer anderen Sicht heraus wichtig, dass es dafür

00:30:21: eine entsprechende Lösung ist, wie wir sie beispielsweise auch anbieten. Eine Lösung,

00:30:26: wie ihr sie möglicherweise bei CyberArk anbietet. Michael, unser Titel des Podcasts heute ist

00:30:32: Identitätssicherheit mit CyberArk. Ich bin froh, dass wir uns das Thema isoliert für heute mal

00:30:37: vorgenommen haben. Ich glaube, die Aufmerksamkeit darauf ist noch nicht genug. Thread Detection

00:30:42: und Response kennen wir gut. Es gibt viele etablierte Situationen bei unseren Kunden

00:30:46: rund um Security Operations Center Sorg. Es gibt unterschiedliche Siebenlösungen,

00:30:50: die implementiert sind, aber spezifisch in der Identitätssicherheit sind wir da noch nicht.

00:30:55: Ist die Aufmerksamkeit darauf noch nicht groß genug? Deswegen bin ich froh, dass du uns Zero

00:31:00: Standing Privileges im Kontext von Zero Trust erklärt hast. Erste Frage,

00:31:04: stimmst du mir zu? Und zweite Frage zum Abschluss. Hast du noch ein Appell für unsere Zuhörerinnen

00:31:09: und Zürer, bevor wir den Podcast schießen? Also ja, ich stimme dir zu. Das war gut,

00:31:13: dass wir darüber gesprochen haben. Ich hoffe, dass zahlreich dazugehört wird und habe ich einen

00:31:19: Appell. Starten, nicht warten. Der Hintergrund ist, oft wird gesehen, wie viel das ist. Wenn ich

00:31:25: solche Zahlen genannt habe, 45 mal so viel. Das ist alles riesig. Aber es wird mit einem ersten

00:31:31: Schritt eine Reise begonnen. Das war schon immer so. Und das gilt auch hier. Mein Appell insofern

00:31:36: setzen sie sich Ziele, Zwischenziele, KPIs drauf. Dann kann man auch diesen Fortschritt sehen und

00:31:42: reporten und zeigen, dass man sich hier vorwärts bewegt. Also insofern starten, nicht warten. Und

00:31:49: es ist ein Teamgame. Es ist nicht cyber, macht alles alleine und ist jetzt eine Lösung, so nach

00:31:54: den Motorsteckereien und dann läuft es, sondern das Ganze muss inkludiert werden mit den anderen

00:32:00: Lösungen, was "sock" genannt, was "threat detection" und "response" genannt. Sprich, diese

00:32:04: Aufstellung, wo wir auch sehr stark unterwegs sind, dass wir Partnerschaften haben. Nicht nur mit euch,

00:32:10: sondern auch mit Technologie-Lieferanten, damit das ganze Runde das Bild wird im Bewahrungsplan.

00:32:14: Lieber Michael, vielen Dank für deinen Besuch bei Expanding Utilities. Liebe Zuhörerinnen und

00:32:18: Zuhörer, vielen Dank fürs Zuhören. Auch für diejenigen, die hier draußen gesessen haben und

00:32:22: uns zugehört haben. Mal gucken, wie viel Material dabei entsteht. Ein wichtiges Thema, ein großes

00:32:27: Thema Identitätssicherheit. Wer sich dafür interessiert und informieren möchte, wir werden

00:32:31: deinen Link in Verlinken in unserer Podcast-Episode. Wir sind sowieso erreichbar über Expanding

00:32:37: Utilities. Identitätssicherheit ist ein Thema, das sich auch gut recherchieren lässt, aber ich

00:32:42: glaube, ihr steht da jederzeit als Ansprechpartner zur Verfügung, um ins Gespräch zu gehen. Wir

00:32:46: als Team sowieso. Ich danke dir sehr für deine Zeit und ich danke noch mal unseren Zuhörerinnen

00:32:51: fürs Zuhören. Bis zum nächsten Mal bei Expanding Utilities.

00:32:53: [Musik]