Souveräne digitale Identitäten für kritische Infrastrukturen: Cryptovision und die Energiewirtschaft

00:00:01: Ja, herzlich Willkommen zu einer weiteren Episode in unserem Podcast Expanding Utilities.

00:00:15: Hier live auf der Ivoe-Sechsens-Zwanzig mir gegenüber sitzt Julia Zimmermann und Julia du kommst von der Firma CryptoVision und wir sprechen heute über Souveräne und resiliente digitale Identitäten in kritischen Infrastrukturen.

00:00:33: Das ist jetzt ein sehr langer Satz, da sind viele Wörter drin!

00:00:36: Und wir beide versuchen das heute mal ein bisschen aufzudröseln und zu schauen was die einzelnen Begriffe bedeuten und insbesondere wie KryptoVision sich aufstellt.

00:00:46: Zuvor darf ich dich bitten, dich mal vorzustellen und dann auch gleich vielleicht über zu leiten in die CryptoVision, was die Cryptovision ist.

00:00:54: Aber fangen wir mit dir an?

00:00:55: Sehr gerne!

00:00:56: Ja also mein Name ist Julia Zimmermann.

00:00:58: ich bin jetzt seit sieben Jahren in diesem Bereich unterwegs komme ursprünglich eigentlich aus der Forschung war auch viel international unterwegs in der Zeit Neuseeland aus USA Spanien habe dann aber das Lager gewechselt und ja das Interesse an diesen Technologien doch vertiefen wollen in der tatsächlichen Anwendung und bin dabei dann bei der CryptoVision gelandet.

00:01:23: Und ich bin dort tätig einerseits als Produktmanagerin, andererseits als Technical Pre-Sales Consultant im Bereich der sicheren digitalen Identitäten und PKI-Infrastrukturen.

00:01:34: Das ist auch eines oder einer der Kernbereiche der Cryptovision, in denen wir tätig sind.

00:01:40: Daneben gibt es Government ID und IoT aber der Fokus heute natürlich digitale Identität und publikierinfrastruktur.

00:01:49: da betreue ich verschiedene Projekte.

00:01:51: In der Regel geht es in Richtung von Migration, Modernisierung von dementsprechenden

00:01:57: Umgebungen.".

00:01:57: Du

00:01:57: hattest mir in dem Vorgespräch gerade auch gesagt, dass du typischerweise solche Gespräche eigentlich auf Englisch führst.

00:02:02: Deswegen ist es für dich ungewöhnlich einmal das Ganze in Deutsch auch zu berichten...

00:02:07: Das ist korrekt!

00:02:08: Aber ich glaube für unsere Hörer ist das auch in Ordnung wenn du einfach ein paar englische Begriffe reinschmeißt oder wir gucken dann, dass wir die jetzt sprechen wieder einordnen Ja sehr schön Dann steigen wir mal direkt ein.

00:02:18: Wir haben das Thema besprechen heute über souveräne und resiliente Identitäten, kannst du vielleicht mal einen Einblick geben was das eigentlich bedeutet?

00:02:27: Sehr gerne!

00:02:28: Also souveränedigitale Identitäten sind damit im Bereich von nicht nur Identitäten von Personen die hier im digitalen Raum unterwegs sind sondern auch Maschinen, Services, Dienste... etc.

00:02:41: Auch all diese Bereiche sind als Entitäten oder als Identitäten zu verstehen, die natürlich sichergestellt sein müssen dass sie zum Beispiel nicht vorgeben jemanden zu sein oder etwas zu sein das sie nicht sind.

00:02:54: von daher ist es ein recht breites Feld Das häufig auch Nicht in dieser Breite gesehen wird aber tatsächlich ja ganzheitlich betrachtet werden

00:03:02: soll.

00:03:02: Also wir haben jetzt tatsächlich die Situation, dass wir von Identitäten sprechen und wir sprechen wie du es gerade gesagt hast nicht von Personen sondern wir sprechen von Maschinen.

00:03:09: also ihr gebt sozusagen der Maschine eine Identität vor einem bestimmten Hintergrund nämlich das man sicher ist, dass diese Maschine auch diejenige ist die tatsächlich in dem Ablauf und in den Prozessen derjenige isst der da auch hingehört.

00:03:25: Das ist eine Frage von Sicherheit.

00:03:27: Genau, also das muss auch nicht nur der Nachweis sein, ist diese Maschine die sie vorgibt sondern auch wenn wir uns Daten anschauen sind die manipuliert worden

00:03:35: etc.,

00:03:35: Also das sind weitere Aspekte die da eine sehr große Rolle spielen.

00:03:39: aber natürlich was auch neben diesen Aspekten im Vordergrund steht ist weiterhin auch der einzelne Mitarbeiter zum Beispiel.

00:03:46: denn auch da haben wir nicht nur ein Zertifikat im Einsatz Verschiedene Mitarbeiter haben mehrere Rollen, haben verschiedene Aufgaben zu erfüllen etc.

00:03:56: Und da treffen wir dann tatsächlich auch auf eine Vielzahl von Zertifikaten und damit Identitäten die im Einsatz sind.

00:04:02: Zu

00:04:02: den Zertifikaten kommen wir gleich nochmal?

00:04:05: Haben denn Daten auch Identitäten?

00:04:08: Wenn man zum Beispiel sich ein Software anschaut... Auch da möchte man ja sicher sein dass die Software vom dem Hersteller kommt der das vorgibt.

00:04:18: Dementsprechend kann zumindest über die Signatur einer Software auch sichergestellt sein, dass sie Sie ist, die sie sein

00:04:25: soll.".

00:04:25: Okay und ihr setzt halt dafür Zertifikate ein?

00:04:28: Das ist eigentlich der Grund oder die Basis dafür, dass man eine Identität überhaupt herstellen kann.

00:04:33: aber gibt doch mal bitte einen Einblick darüber wieso was überhaupt funktioniert auch für die Hörer die vielleicht jetzt nicht gerade in der IT Security unterwegs sind.

00:04:41: wie schafft man denn eine digitale Identität?

00:04:45: Also das Ganze ist kryptografisch basiert.

00:04:47: Das heißt, man hat Schlüsselmaterial, dass entsprechend für verschiedene Aufgaben verwendet werden kann und zu diesem Schlüssel Material gehört dann ein digitales Zfikat, dass diese Verbindung von einer Signatur nach Verschlüsselung etc.

00:05:04: zu der Identität auch sicher herstellt.

00:05:06: Und das ganze ist über Publici-Infrastrukturen realisiert.

00:05:10: D.h.,

00:05:11: man hat hierarchische Vertrauensmodelle wo Es einfach ist, wenn man eine vertrauenswürdige Herausgeberstelle hat.

00:05:19: Dass man dann sich sicher sein kann dass auch alle weiteren Zertifikate die daraus stammen entsprechend vertrauentswürdig sind so das man da sicheren Anker eben hat.

00:05:27: Und ihr seid diejenigen die die Zertifikate herausgeben Managen und die Sicherheit oder die Identität von Personen und von Objekten und gegebenenfalls sogar von Daten im weiteren Sinne von Software Dann erschaffen.

00:05:40: habe ich das richtig verstanden?

00:05:43: Ja, manchmal.

00:05:45: Das kommt ganz auf die jeweilige Situation beim Kunden natürlich an.

00:05:48: Wir haben Kunden bei denen ist bereits eine ZWK als Infrastruktur vorhanden.

00:05:52: da stellen wir dann keine eigene Produkte hin sondern giedern uns in bestehende Bereiche ein.

00:05:57: aber ja also von der Generierung bis zur Verwendung und dem Management stellen wir alle relevanten ZWKS Lebenszyklus Punkte ab.

00:06:08: Du strahlst, wenn du über die Technik sprichst.

00:06:10: Das ist so dein Ding, ne?

00:06:11: Ja!

00:06:12: Du bist da richtig drin.

00:06:13: Aber für einen Außenstehenden klingt das extrem komplex.

00:06:16: also Wenn ich jetzt jemand bin der diesen Bedarf habt und Für mich erstmal auch dass buch digitale Identitäten ein Buch mit sieben Siegeln ist wie Gehe ich vor, also wie komme ich daran die digitalen Identitäten dann auch für mich fürs Unternehmen zu nutzen?

00:06:33: Über den Nutzen hier in der Energiewirtschaft sprechen wir gleich noch weil er ist enorm.

00:06:37: Das ist ein unglaublicher Anwendungsfall und bzw.

00:06:39: so einen Bedarf.

00:06:40: aber Wie löst ihr diese Komplexität auf?

00:06:43: Wie begleitet ihr die Kunden?

00:06:45: Wir beginnen in der Regel erst mal mit einer Aufnahme der Ist-Situation.

00:06:49: natürlich da kann es auch verschiedene Zustände geben.

00:06:51: häufig ist schon die eine oder andere Art von digitaler Identität im Einsatz.

00:06:57: Aber dann gilt es natürlich auch zu identifizieren, was soll da eigentlich mitgemacht werden?

00:07:01: Was soll abgesichert werden und darauf basierend kann die entsprechend besten Lösungen vorgeschlagen und implementiert werden.

00:07:08: Jetzt bist du ja schon ein paar Jahre dabei, hast du dir gerade berichtet das so auch international tätig war.

00:07:12: Was war denn der spannendste Fall wo du sagst also in diesem Projekt war das die spannendste Situation im Sinne von Identitäten oder auch Verschlüsselung?

00:07:21: Tatsächlich wird dann an Ihnen die Richtung der Verschlüsselung gehen, weil das ist noch mal ein ganz spezieller Bereich.

00:07:28: Da sind wir zugegen in Projekten wo auch Verschlusssachen, also VOS-NFDE, d.h.

00:07:34: verschlusssache nur für den Dienst gebraucht verarbeitet wird, das sind Informationen die von staatlichen oder hoheitlichen Stellen eingestuft werden.

00:07:41: Das heißt wenn sie bekannt würden könnte ein Schaden für die Bundesrepublik Deutschland entstehen und da ist es natürlich ganz besonders reglementiert und muss sichergestellt sein dass keine Fehler passieren und das ist für mich mit einer der spannenden Bereiche auch wie an dieser Stelle Die Verschlüsselung und die Signatur entsprechender Daten sichergestellt werden kann so dass keinen Grund zum Zweifel bleibt, dass die öffentlich werden können.

00:08:06: Aber ist es so selbst wenn jetzt jemand in dem Projekt arbeitet das dieser das wissen hätte die Verschlüsselung aufzulegen?

00:08:12: Nein, das geht nicht!

00:08:14: Das ist also die Kryptografie die verwendet wird.

00:08:18: Die ist zumindest heutzutage noch sicher.

00:08:20: kommen wir sicher auch noch zu Postquanten-Kyptographie oder der postquanten die Situation rund um die Entwicklung in der Postquantengrypografie Da kommen natürlich Sorgen auf, aber zum aktuellen Zeitpunkt sind wir in der Lage zu sagen das ist sicher.

00:08:37: Das ist auch nicht durch irgendwelches Reverse Engineering oder so möglich sondern... ...das Schlüsselmaterial stellt die Konformität sicher.

00:08:46: Ich habe mal in meinem Informatikstudium was schon ein paar Tage her ist damals gelernt als wir auch Verschlüsselung gemacht haben auf einem ganz anderen Niveau.

00:08:54: Ich habe gerade die drei Begriffe, die du gesagt hast nicht verstanden.

00:08:57: deswegen werden wir das nach nochmal fragen.

00:08:59: ich hab verstanden dass verschlüsselungen eigentlich immer so funktioniert wenn du dir vorstellst Du hast einen jetzt muss ich das für die veganer draußen ist tut mir sehr leid aber man hat ein Man hat einen Rind und wenn ich das zu Hackfleisch verarbeite dann wirst du aus dem hackfleisch nie wieder einen rin machen.

00:09:15: So hat unser Professor damals die Verschlüsselung gesagt.

00:09:19: Das schafft ihr nicht mehr und so ist es auch, so sicher ist das auch.

00:09:22: Aber kommen wir genau zu den Bedarf in der Energiewirtschaft.

00:09:28: Wir sind ja hier zusammen mit euch auf dem Stand von ATOS.

00:09:31: Ihr seid ja auch Teil der Familie Evidenz eurer Unternehmen Hier natürlich einen Riesenbedarf im Kontext auf der Sicherheit insgesamt.

00:09:42: Jetzt seid ihr ein weiterer Schlüssel, also wir haben über ganz viel über Autisecurity und sonst was gesprochen.

00:09:47: aber ich sehe natürlich überall dort an den Assets der Netzbetreiber auf der einen Seite Also die Fragestellung wie sicher ich tatsächlich meine Assets oder meine Gegenstände oder meinen Betriebsmittel auch tatsächlich ab Mitarbeiter, das ganze Spektrum auch in dem Vertriebsbereich Softwaren gerade im Abrechnungssystem.

00:10:08: Da kann ich jetzt einen Fall selber mal kurz berichten wo ich sehe dass da auch ein Bedarf ist wo wir mit einer Verstüßung arbeiten können und sollten.

00:10:17: also selbst heutzutage in der Abrechnung ist es so wenn Abrechen Systeme in der Energiewirtschaft nicht mehr funktionieren oder angegriffen werden oder Wenn die korrempiert werden dann hat man Tatsächlich in der Versorgungssicherheit ein Problem.

00:10:35: Kann man haben, also in dem Moment wo Zahlungsflüsse nicht mehr funktionieren hat man ein Problem.

00:10:42: das heißt ihr seid jetzt eigentlich ein weiterer Schlüssel.

00:10:45: die Komplexität ist natürlich sehr groß aber ihr seid eigentlich einen weiteren Schlüssel.

00:10:49: um die Versorgungssicherheit in der Energiewirtschaft weiter zu unterstützen müssen wir gucken also die Anwendungsfälle sind auch sehr sehr sehr groß.

00:10:56: ich denke

00:10:59: Die Verschlüsselung ist ein kleines Beispiel.

00:11:01: Es geht über alle Bereiche.

00:11:02: tatsächlich,

00:11:02: ja?

00:11:02: Ja aber dann gibt uns mal einen Beispiel oder einen Einblick so in das zweite Spektrum wo alles sozusagen die CryptoVision auch aktiv ist.

00:11:10: Also wir sind sehr häufig in Migrationsprojekten aktiv.

00:11:14: Das heißt dass wir bei Kunden auf diese Situation treffen.

00:11:17: Sie haben sich mal für eine Smartcard entschieden sie haben sich einmal für ein Zertifikatsmanagement System entschieden oder ähnliches Und dann stehen Sie vor der Situation, dass das von dem jeweiligen Hersteller nicht mehr angeboten wird oder dass es nicht interoperabel ist mit neuen Komponenten die eingesetzt werden sollen.

00:11:31: Und häufig kommen die Kunden zu uns weil sie eben sicherstellen möchten, dass sie diesen Fehler in der Zukunft noch mal machen sondern eher eine modulare Lösung in den Einsatz bringen wollen, die mit ihren Anforderungen wachsen kann und wo sie auch basierend darauf wie diese Lösung entwickelt wurde sicher sein können, breit gegeben ist, eben weil nicht irgendwelche proprietären Aspekte verwendet werden sondern auch auf eine Standards gesetzt wird.

00:11:56: und das ist eigentlich der große Schlüssel an dieser Stelle.

00:12:00: Du hast ja von Migration gesprochen.

00:12:01: glaubst du nicht dass auch neue Bedarfe jetzt entstehen wo noch gar keine Karten eingesetzt werden?

00:12:07: Gibt

00:12:07: es bestimmt auch.

00:12:09: häufig treffen wir aber auf Unzufriedenheiten mit bestehenden System die sich einfach nicht mehr managen lassen mit den Anforderungen die sich über die Zeit entwickeln haben.

00:12:18: Okay, aber ich habe die Prognose, dass sich das ausweiten wird.

00:12:21: Dann sollten wir auch noch mal die Gelegenheit nutzen hier mit unseren Kunden zu sprechen.

00:12:25: also der klassische Anwendungsfall PKI Struktur oder bzw eine Zertifikatsstruktur In den klassischen Anwendungsfällen, ich glaube dass die sich erweitern.

00:12:33: Gerade in dem Thema was du gesagt hast das jetzt auch Maschinen eine Identität bekommen und Daten eine Identité bekommen.

00:12:40: Das ist ein weiterer Tür die hier noch in der Energiewirtschaft aus meiner Perspektive noch nicht richtig aufgemacht wurde aber aufgebracht werden muss weil die Bedrohungspotenziale oder die Bedrogenssituation ganz, ganz anders sind als früher.

00:12:53: Absolut, absolut!

00:12:55: In zweifel Fall sind es alles potenzielle Einfallstore, weil nicht nur eine Person kann vorgeben jemand anderes zu sein?

00:13:01: Ja dann haben wir ja.

00:13:01: also wir haben hier in den Gesprächen mit den Kunden häufig auch die Fragestellung zwischen der Digitalisierung und der Sicherheit, weil jeder Sensor ist ein Einfallstore.

00:13:13: Und man muss immer abwägen.

00:13:15: Mehr Sensoren lässt du unsicherer bin ich.

00:13:17: Ich brauche aber diese Sensorik.

00:13:18: gab' ich eine Art um eine Digitalisierung hinzubekommen, um die Automatisierung und die Vorteile davon zu bekommen.

00:13:27: Das wäre aber dann in Kombination.

00:13:29: kann man eigentlich sagen wenn man die Sensorik absichert mit einer Identität, kann man das wieder in die richtige Waage bringen?

00:13:36: Absolut!

00:13:37: Da steht man vor der Herausforderung wie viele solcher Sensoren hat man denn abzusichern?

00:13:42: da stellt man auch schnell fest dass ist nichts was man mal eben oder manuell macht.

00:13:46: Aber genau das ist der Weg.

00:13:48: ja

00:13:48: Das ist ein Riesenmarkt.

00:13:49: Also ich freue mich sehr, dass wir das zusammen machen dürfen und dass wir es heute unseren Kunden auch vorstellen dürfen.

00:13:55: also diese Storyline ist für Netzbetreiber und für Energieversorger insgesamt gerade elementabel.

00:14:01: damit kann man es schaffen die Digitalisierung abzusichern.

00:14:05: Also ein Instrument in unglaublich schlaghaftes Instrument.

00:14:08: Jetzt muss man sagen, dass wir die Kunden von uns profitieren natürlich auch von eurer Erfahrung.

00:14:12: also ihr seid schon.

00:14:13: Kryptovision ist schon einzigartig im Markt.

00:14:15: Vielleicht darfst du ein bisschen Werbung machen was euch sozusagen auszeichnet?

00:14:19: Sehr gerne.

00:14:20: Die Chance hat sich nicht ungenutzt!

00:14:23: Wir bringen sehr fundierte Erfahrungen diesen Bereich mit.

00:14:26: Die Kryptovision ist seit mehr als der Kryptografie unterwegs und war zu den Zeiten auch Vorreiter dabei, was die Implementierung dann aufkommender neue Algorithmen.

00:14:37: Also es nennt sich dann elliptische Kurven-Kryptographie angeht, das in unsere Produkte zu integrieren.

00:14:42: und genau diese Einstellung dieser Vision von damals, die leben halt heute noch weiter.

00:14:49: Das heißt wir sind mit sehr etablierten Produkten bei vielen Kunden im Einsatz und man kann sich sicher sein dass auch was jetzt zum Beispiel die jetzt anstehende Postpanten Migration angeht die Produkte absolut zeitgemäß und austauschbar einsetzbar sind.

00:15:04: Das heißt...

00:15:05: Und vor allen Dingen, ihr seid ja bei Kunden aus verschiedenen Märkten unterwegs also in kritischen Infrastrukturen.

00:15:09: das bedeutet dieses Wissen und die Techniken, die dort etabliert worden sind kann man jetzt natürlich auf die Energiewirtschaft leicht projizieren.

00:15:16: Absolut!

00:15:17: So jetzt hast du dreimal diesen Begriff genannt.

00:15:20: sag den bitte noch mal und hilf mir was das ist dieser Quanten?

00:15:24: Die

00:15:24: Postkwanten-Kryptografie.

00:15:26: Postkwandenkryptographie.

00:15:29: Kryptografie.

00:15:30: Ich sitze vor einem Begriff, den ich noch nie in meinem Leben gehört habe.

00:15:34: Ich bin sehr gespannt!

00:15:35: Das

00:15:35: ist ein wenig beunburgend aber das sollen wir ändern.

00:15:39: also es gibt ja Entwicklungen einen Quantencomputer zu herzustellen und zu entwickeln Und in diesem Bereich sind natürlich auch weitere Fortschritte gemacht worden in der letzten Zeit so dass man sich In absehbarer zeit nicht mehr sicher sein kann dass aktuell eingesetzte kryptographische Algorithmen nicht vielleicht doch von einem solchen Quantencomputer gebrochen werden könnten.

00:16:02: Und da werden verschiedene Zeitschienen gerhandelt, weil keiner kann es genau wissen.

00:16:06: Aber so eine Jahreszahl die häufig auch genannt wird ist zwanzig dreißig.

00:16:10: ich möchte mich dann nicht darauf festlegen Ich habe keine Glaskugel aber Es ist definitiv an der Zeit sich Gedanken darum zu machen.

00:16:18: was muss man heute tun um in der Zukunft noch sicher zu bleiben.

00:16:24: Und was ist die Antwort?

00:16:26: Die Antwort is... Natürlich beginnt man mit erst mal einer Bestandsaufnahme, aber ganz generell kann man davon ausgehen dass man eben bestehende Smartcards wenn sie im Unternehmen vorhanden sind wahrscheinlich nicht weiter nutzen kann.

00:16:38: sprich da müssen Lösungen gefunden werden.

00:16:40: Man wird in die Situation kommen das irgendwo Daten verschlüsselt abgelegt sind.

00:16:46: viel heute ist das noch sicher aber wenn jemand abgreift und zu einem späteren Zeitpunkt entschüsse möchte also Store now decrypt later nennt sich das Dann ist das natürlich auch ein Risikofaktor.

00:16:56: Nicht alle Daten sind in fünf Jahren noch relevant, aber sehr viele werden es noch sein und wer weiß ob's fünf Jahre dauert oder drei oder zehn?

00:17:05: Würdest du empfehlen die Projekte jetzt schon anzusetzen?

00:17:07: Auf jeden Fall!

00:17:09: Also man sollte nicht warten bis dass... Ja

00:17:12: also wer sich da heutzutage noch keine Gedanken drum gemacht hat, sollte da schnellstmöglich mit anfangen.

00:17:19: ansonsten steht man nachher vor einer Mammutaufgabe.

00:17:25: Und vor allen Dingen haben wir natürlich auch ein exponentielles Wachstum, einen Hardware an Quanten rechnen.

00:17:30: Weil die KI genau diese Rechnungskapazitäten braucht.

00:17:34: Das heißt der holt uns die Technik jetzt ein und schafft es vielleicht doch aus dem Hackfleisch wieder ein Tier zu machen?

00:17:42: Ja

00:17:42: so abwege ich.

00:17:43: das klingt kann in der Zukunft Vorstellbar sein.

00:17:46: ja

00:17:47: Okay aber wir haben also die Kunden haben hier euch.

00:17:49: das heißt da kann man jetzt Vorkehrungen treffen.

00:17:52: das

00:17:52: kann man tun.

00:17:55: bietet ihr denn auch an Bedarfsanalysen vorab zu machen, also die Bestandssituation erstmal beim Kunden vorabzuklären und zu schauen was der richtige Weg ist.

00:18:03: Weil man kann natürlich mit Kanonen auf Spatzen schießen.

00:18:06: Also wir in der Kryptowision selber eher am Rande aber natürlich im Rahmen der Evidenathos gibt es da entsprechende Angebote.

00:18:14: kommen dann eher ins Spiel, wenn es auch darum geht an die Implementierung.

00:18:18: Ja das stimmt.

00:18:18: also bei ATOS ist in das große Thema bei ATOs in der Security ist insbesondere die Schutzbedarfsanalyse wo man als mal zunächst einmal sich anschaut wie die Situation ist und dann die richtigen Komponenten sucht, also die Frage welche Komponente hat der Kunde diese Kompontenten ins Wettwelt austauscht oder ergänzt?

00:18:34: Und dann kann natürlich die Zertifikate, die Sicherheitszertifikate oder auch die Dienstleistung von CryptoVision da eingebracht werden.

00:18:42: Aber trotzdem sollte das jetzt schnell passieren und das ist natürlich auch ein echter Impuls.

00:18:46: ich finde es ist ein Compelling-Event wie wir das so in der Branche sagen.

00:18:49: Eigentlich müssten alle hier reinrennen und sagen Ich brauche einen Termin bei euch.

00:18:53: Julia, das Spektrum der Dienstleistungen von Cryptovision ist sehr groß und wir schaffen das wahrscheinlich nicht in einer Episode das gesamte Detail und in die Tiefe in die Tiefe zu gehen.

00:19:04: Aber wir haben uns eine Sache noch raus, beziehungsweise zwei Sachen ausgelucht, nämlich das eine Thema ist das Thema dynamisches Zugriffmanagement gegenüber statischen Modellen und da wollen wir gerne mal einsteigen.

00:19:16: kannst du uns diese beiden Begriffe erläutern?

00:19:18: Und was hat das mit Sicherheit zu tun?

00:19:22: Ich würde mit den statischen modellen mal anfangen weil sie sind tatsächlich recht etabliert in dem was wir so antreffen und zwar wenn man sich vorstellt man verwendet jetzt um seine digitalen Identitäten abzusichern, eine Smartcard.

00:19:36: Dann ist das ganz Stück Hardware.

00:19:38: Das bekommt der Nutzer in die Hand und danach ist es je nachdem was den Nutzer damit macht erst mal außerhalb der zentralen Kontrolle.

00:19:45: D.h.,

00:19:47: das war lange Zeit Gold Standard und war auch sinnvoll.

00:19:50: aber der Anwendungsbereich hat sich eben verändert.

00:19:52: Es ist nicht mehr so dass man seine eine Aufgabe hat und dann damit zurechtkommt sondern Rollenzuständigkeiten etc.. ändern sich ständig.

00:20:01: Projektgruppenzusammensetzungen ändern sich und das ist eben der Punkt, wo dann das dynamische Zugriffsmanagement auf den Tisch kommt.

00:20:08: Das heißt man möchte ja nicht jemanden, der für eine Woche in einem Projekt ist ein Schlüssel auf die Karatisch breiben und dann hat er den für immer!

00:20:16: Das ist ja ein Sicherheitsrisiko an dieser Stelle.

00:20:20: Damit könnten Daten dann wenn wir bei der Entschlüsselung bleiben auch später noch entschlüsselt werden weil der Schlüssel wurde ja ausgegeben.

00:20:26: beim dynamischen Zugriffsmanagement hingegen geht man so vor, dass Schlüssel an einem zentralen Ort verwahrt werden.

00:20:32: An einem sicheren Ort.

00:20:32: Da werden Hardware-Security-Modules auch für verwendet, nennt sich das HSMs und der Nutzer lediglich berechtigt wird den Schlüssel zu nutzen.

00:20:41: also man kann sich das vorstellen wie so ein Tresor da darf der Nutze eintreten darf seine Anfrage mitbringen darf sie auch innerhalb dieses Tresors entschlüsseln Den Schlüssel aus dem Tresour selber aber nicht mit rausnehmen.

00:20:53: Das heißt sobald der jeweilige Arbeitsauftrag abgeschlossen ist Projekt ist fertig Was auch immer, wird der Zugriff wieder entzogen.

00:21:00: Dadurch kann man sich sicher sein, dass derjenige nur die Zugriffe hat, die er für diese spezifische Situation in dieser Zeit tatsächlich braucht und eben das auch gemanagt werden kann?

00:21:11: Ja, die Dynamik ist natürlich... Das gilt für Menschen, ne?

00:21:17: Das ist jetzt ein Beispiel, was für Menschen oder für die Mitarbeiter gilt.

00:21:23: Kann man auch noch etwas weiterspinnen.

00:21:27: Man hat natürlich einerseits die erhöhte Sicherheit durch eine geringere Anriffsfläche, man hat wesentlich bessere Kontrolle aber man hat auch sehr starke Entlastungen im Betrieb dadurch.

00:21:39: Weil das ganze manuelle Handling von Schlüsselkarten etc.

00:21:42: wegfällt.

00:21:43: es ist eine zentrale Komponente Und wir haben da ein Beispiel von einem Kunden, die von jahrelanger Smartcard und USB-Torbennutzung den Wandel gemacht haben zu einer solchen, das nennt sich dann Remote Schlüsselserverlösung.

00:21:58: Und zu einer ähnlichen Lösung wo zumindest einen Teil des Schlüsselmaterials auf die Nutzergeräte ausgegeben wird.

00:22:04: Die haben eben dabei eine Reduktion von neunzig Prozent was das Supportticketaufkommen angeht erreichen können einfach weil Der Nutzer vergisst seine Karte nicht.

00:22:13: Das Token bricht nicht ab, man weiß was man... Man kann seinem eigentlichen Job nachgehen weil man nicht mit diesen zusätzlichen Aufgaben rund um Schlüssel und Identität belastet wird.

00:22:25: Und das geht dann auch soweit dass es quasi einen Zero-Touch-Unboarding für die Nutzer geben kann einfach vor dem Hintergrund, dass mittels der Automatisierung alle Prozesse entsprechend der jeweiligen Kundenworkflows automatisch ablaufen und man sich auch sicher sein kann Ein Z-Figart nicht mehr gültig ist und dass keiner mitbekommt.

00:22:43: Und dann auf einmal der Mitarbeiter nicht mehr seinem Job nachgehen kann, das ist schon eine sehr große Verbesserung.

00:22:50: Machen die dann statischen Modelle überhaupt noch Sinn?

00:22:52: Es gibt gewisse Bereiche wo sie Sinn machen oder wo sie sogar vorgeschrieben sind... in der Regel Hochsicherheitsbereiche, wo vorgeschrieben ist dass das Schlüsselmaterie auf einer Smartcard also auf einem zweiten Hardware Faktor vorliegen muss.

00:23:05: Also wir sind da im Bereich der Multifaktautentifizierung und da gibt es eben verschiedene Levels.

00:23:09: Und da trifft man das durchaus noch an.

00:23:12: aber wenn man jetzt jemanden hat der Techniker im Feld der heute auf die eine Anlage morgen ab die nächste zugreifen muss dann möchte man nicht die Leute ins Büro einbestellen um... Eine neue Karte dafür auszustellen.

00:23:24: Das ist natürlich auch eine Komponente für Perimeter-Schutz, also für den Schutzzutrittskontrollen zu Umspannungserwerken, zu Kraftwerken und irgendwelchen kritischen Anlagen usw.

00:23:34: Also sehr spannende Frage!

00:23:35: Jetzt haben wir in dem Thema Souveränität bedeutet ja auch das Thema Abhängigkeit von Lieferanten.

00:23:43: abhängig von Produzenten Auf der Messe und auch in der Energiewirtschaft ist das Thema Wendolock relativ groß.

00:23:51: Wie abhängig bin ich denn, wenn ich eine Zertifizierung oder eine Zutrittskontrolle einer Europrodukte nutze?

00:24:01: Also wenn es auch eines unserer Produkte ist, ist die Abhängigkeit sehr gering.

00:24:05: Wir sind weit interoperabel mit einer Vielzahl an Herstellern.

00:24:09: also nur das Beispiel aus dem Smartcard-Bereich.

00:24:11: Wir funktionieren mit über hundert verschiedenen Smartcardmodellen.

00:24:15: Das ist so ziemlich das Gegenteil von denen was einige andere Hersteller fahren, die ihre Karte haben und ihre Software dazu.

00:24:22: Fast egal, was wir antreffen.

00:24:24: Und dasselbe gilt auch für andere Komponenten in dem Zusammenhang wie die Zertifikats ausgebenden Stellen also die Certificate Authorities können verschiedenste wenn welche vorhanden sind verwendet werden Hardware Security Modules verschiedenster Hersteller.

00:24:39: Also da ist sichergestellt das auch immer eine Dual-Wender Strategie möglich bleibt.

00:24:46: also Wir haben es gesehen In der Chip Krise auf einmal kamen die Kunden nicht mehr an ihre Alteingesessen ins Smartcard-Modelle und hatten aber auch keine Möglichkeit auf eine andere Karte zu wechseln, weil sie eben Komponenten im Einsatz hatten die proprietär entwickelt wurden.

00:25:02: Julia ich glaube wir könnten also noch Stunden hier sprechen.

00:25:05: Ich finde es unglaublich spannend Und die Details, die wir hier erfahren das ist wirklich sehr sehr sehr spannend.

00:25:10: Vielen Dank dafür!

00:25:11: Ich würde dich trotzdem gerne eine Frage stellen wenn du jetzt CISO, also dem Chief Information Security Officer sozusagen für einem von einem Energieversorger eine Empfehlung geben könnte oder mehrere Empfehlungen.

00:25:29: Welche wären das?

00:25:31: Das wäre einerseits digitale Identitäten als strategische Infrastruktur zu behandeln und nicht als reines IT-Werkzeug sondern es wirklich zu sehen als dass was ist, ist das Sicherheitsfundament für heutzutage alle digitalen Prozesse eigentlich?

00:25:47: Das zweite wäre Automatisierung konsequent einzusetzen.

00:25:52: Vom Onboarding über die Nutzung, Erneuerungen – all diese Bereiche sind fehleranfändlich wenn sie manuell durchgeführt werden.

00:25:59: mit der Automatisierung kann man auch in kritischen Infrastrukturen sicher sein dass das kein Einfallstor für Angratver ist und zu guter Letzt standardbasiert zukunftsfähige Architekturen einzusetzten d.h.

00:26:13: auf Interoperabilität und offene Standards zu achten sich dadurch eben die Handlungsfähigkeit auch in der Zukunft zu sichern.

00:26:20: Also digitale Identitäten als strategisches Instrument und nicht als technische Realisierung, das haben wir heute glaube ich gelernt.

00:26:27: Ich möchte mich herzlich bedanken.

00:26:29: Julia.

00:26:29: Wie gesagt war sehr erfrischend.

00:26:32: Das letzte Wort hast du

00:26:33: Ja, also ich kann die Zuhörenden an dieser Stelle nur recht herzlich einladen sich mit dem Thema weitergehend zu befassen und auch in Analysen zu gehen wo vielleicht Verbesserungspotenziale bestehen.

00:26:44: Und sich dazu natürlich herzlich gerne auch an die Arthos und zuguteils an uns als Cryptovision als Produkthaus innerhalb der Arthosevident zu wenden damit wir sie bestmöglich in diesem Bereich unterstützen können.

00:26:56: Wir haben gelernt... Die Zeit ist jetzt!

00:26:59: Es muss jetzt initiiert werden.

00:27:01: Julia Zimmermann von CryptoVision, herzlichen Dank.

00:27:11: Danke!