Direkt zum Inhalt

WEBINAR: IT-Security CYBER Lounge | THALES IAM im Zero Trust Ansatz & das Digitale ICH

FUTURE TALK 
Diesmal im Talk mit unserem versierten Moderator Alexander Krenn:

Christoph Schacher | Head of Information Security | Wienerberger AG 

>>Unser digitales Ich<<
| Challenges & Chancen in der IT-Security: gestern, heute, morgen 
| Schutz digitaler Identitäten 
| Hat sich die Gesellschaft geändert? 
| AI bei Angriff & Verteidigung 
| Quantenverschlüsselung
| Challenges & Chancen 
___________________________________________________

Peter Wilbrink | Regional Sales Manager Identitiy & Access Management, DACH   

>>Weg von Burg und Wassergraben<<
Unternehmen können Identity und Access Management (IAM) in einem Zero Trust Ansatz nicht ignorieren.  
“Früher war die Burg ein Rittersitz, ein Haus mit dicken Mauern, das verteidigt wurde“

Die alten „Castle & Moat“ (Burg und Wassergraben)-Modelle funktionieren in einer digitalisierten Welt mit immer mehr Home Office- und Remote-Zugriffen nicht mehr.

Unternehmen müssen stattdessen neue Sicherheitskonzepte etablieren. Zero-Trust ein viel diskutiertes Konzept aus der Netzwerk-Technik, dass nun für die IT-Sicherheit neu erdacht und umgesetzt wird und bei dem das besondere Augenmerk auf der Kontrolle der Identitäten liegt.

Wir zeigen Ihnen, wie Sie Identity und Access Management (IAM) in einem Zero Trust-Ansatz umsetzen können. 

Die aktuellen Treiber in Unternehmen für Zero-Trust Security und Modern Access Management:

| Sicherer und komfortabler Zugriff für Mitarbeiter im Home-Office
| Sichere Einführung der Cloud
| Compliance durchsetzen und belegen
| Wie implementieren Sie Single-Sign-On und welche Möglichkeiten gibt es?

Erweiterung der Multi-Faktor-Authentifizierung & Passwordless-Authentification
FIDO2-Standards kombiniert mit PKI
Wo soll man anfangen? Wir zeigen Ihnen die wichtigsten Schritte zur erfolgreichen Umsetzung einer IAM-Strategie auf Basis des Zero Trust-Ansatzes. 

 

Identity & Access Management: Primäre Anliegen und konkrete Ziele

Nicht nur Privatpersonen sondern auch die Unternehmen sollten in einem Zero-Trust-Ansatz des Identity & Access Management (IAM) nicht ignorieren. IT-Verantwortliche können gemäß einem weiterentwickelten Framework Zero Trust eXtended ihre Sicherheitsarchitektur aufbauen.

Für unser digitales Ich ist es enorm wichtig, dass sensible Daten sowohl im privaten als auch im unternehmerischen Ambiente identifiziert werden können und außerdem der Datenfluss abgebildet werden kann. In puncto Datensicherheit gilt es genauestens zu klären, wo, wann, warum und natürlich auch wie jemand extern auf Daten zugreift. Überdies ist es interessant in Erfahrung zu bringen, was derjenige mit den fremden Daten macht.

Die Gesellschaft hat sich mitunter dahingehend verändert, dass die Chancen und Herausforderungen in der IT-Security stets im Fluss sind. Das Gestern, das Heute und das Morgen stehen beim Schutz digitaler Identitäten stets in Korrelation. In der nostalgisch verklärten Ritterzeit schützten dicke Mauern und Wehrtürme die Burggemeinschaft. Gegenwärtig sehen in der digitalen Welt die Angriff- und Verteidigungsstrategien wesentlich komplizierter aus. Die TeilnehmerInnen des Webinars wurden diesbezüglich mit folgendem Slogan konfrontiert: Weg von Burg und Wassergraben!

Mag. Christoph Schacher und die faszinierende Sicherheitswelt der IT-Branche

Als Quereinsteiger machte der Experte Mag. Christoph Schacher eine bemerkenswerte Karriere im IT-Security-Bereich. Zuvor engagierte sich der Webinar-Gast zielgerichtet in Bezug auf das Controlling. Zudem war er für Webseiten und Internetauftritte verantwortlich. Im Zuge dieser Arbeit kam Christoph Schacher eigenen Angaben zufolge mit der faszinierenden Sicherheitswelt der IT-Branche in Berührung.

Was sind die größten Herausforderungen für einen großen Konzern?

Große Firmen haben nicht selten mehr als 10.000 MitarbeiterInnen. Häufig arbeiten diese an unterschiedlichen Standorten, verteilt auf ganz Europa. Wo lag in den letzten Jahren hierbei der Hauptfokus? Die Wienerberger AG gehört zu den größten Ziegelherstellern. Das Transportthema ist für schwere Produkte, in diesem Falle für Ziegel, insbesondere sicherheitstechnisch von Relevanz. Alles unter Kontrolle zu haben ist gleichermaßen von Bedeutung wie das Einhalten von gesetzlich vorgeschriebenen Standards.

Das zweite Steckenpferd des Experten ist, in einem internationalen Konzern dafür Sorge zu tragen, das Bewusstsein für Sicherheitskulturen zu schaffen. Früher wussten die Ritter ihre Burgen zu verteidigen. Der Angreifer war gut sichtbar und daraus ergaben sich Vorteile für die belagerte Burggemeinschaft. Man wusste ganz genau, woran man war. Heutzutage jedoch sieht die Lage natürlich ganz anders aus. Denn die Angreifer in der digitalen Welt sind unsichtbar. So weiß man auch nicht sofort, von wem die Bedrohung ausgeht und schon gar nicht, warum der Hacker-Angriff aufs Sicherheitssystem eines Konzerns ausgeübt wurde.

Sicherheit und Schutz im digitalen Bereich

In der heutigen Zeit ist es essenziell, das große Thema Sicherheit in den Mittelpunkt zu stellen. Denn die zahlreichen digitalen Ichs müssen umfassend geschützt werden können. Angestellte können zum Beispiel in Zeiten des Lockdowns (Homeoffice) nicht zu ihren MitarbeiterInnen gehen und diese fragen, ob denn die E-Mail tatsächlich von ihnen stammt oder ob sie die Überweisungen nun wirklich selbst getätigt haben. Im Homeoffice ist die digitale Identität ein ganz besonders wichtiges Thema.

Viele MitarbeiterInnen von Wienerberger verfügen über eine digitale Identität. Von den insgesamt 17.000 Beschäftigten arbeiten natürlich auch viele in Fabriken. Die Ziegelsteinproduktion hängt auch viel mit Handarbeit zusammen. In den Werken steigt mittlerweile die Anzahl an digitalen Identitäten. Im Schnitt besitzen zurzeit rund 50 Prozent aller MitarbeiterInnen im Unternehmen Wienerberger über eine digitale Identität.

Angebotene Lösungen sind Geräte-Zertifikate und Authentifizierungen

Es gibt mehrere Ansätze, um der Sicherheit gerecht zu werden. Berücksichtigt werden muss auch, dass es im Unternehmen um unterschiedlich aufgestellte Werke geht. In diesen steigt die Digitalisierung – auch bedingt durch Corona – immer weiter. Daher ist eine Vereinheitlichung nicht von heute auf morgen zu bewerkstelligen. Es ist eine Tatsache, dass nicht alle 12.000 digitalen Identitäten im Unternehmen gleich gut zu schützen sind.

In den Werken gibt es unterschiedlich kritische Identitäten und Benutzer. Mit Zero Trust sollte dort gearbeitet werden, wo man nicht zu 100 Prozent sicherstellen kann, mit wem genau man im Moment kommuniziert. Hierfür gibt es ideale Ansätze wie etwa die Multifaktor Authentifizierung und Geräte-Zertifikate.

Laut dem Experten Christoph Schacher gibt es eine Menge Dinge, die man tun kann. Das hängt aber natürlich auch immer vom Kontext ab. In diesem Zusammenhang hängt vieles davon ab, mit wem man gerade spricht. Ist es ein Staplerfahrer oder ein Außendienstmitarbeiter oder loggt sich gerade ein Lkw-Fahrer ein, um seine Bestellung abzuholen? Dementsprechend erfolgen unterschiedliche Schutzmaßnahmen. MitarbeiterInnen in einem großen Konzern sollten stets nur auf jene Daten Zugriff haben, die von ihnen auch wirklich gebraucht werden.

Lösungen für das Managen von digitalen Identitäten

Gemäß der Meinung von Christoph Schacher handelt es sich um einen erheblichen Aufwand, den eine große Firma zu stemmen hat. Verschiedene Lösungen kommen zum Einsatz, um digitale Identitäten in den verschiedensten Bereichen der Firma adäquat zu schützen. Die Produktionssysteme und das klassische Office sowie die Logistiksysteme müssen geschützt werden. Darum wird genau darauf geachtet, welche User auf welche Daten zugreift und welche Rechte er diesbezüglich schlussendlich hat.

Automatisiertes Lernen und künstliche Intelligenz

Alexander Krenn fragte seinen Gast Mag. Schacher, ob im Unternehmen Wienerberger auch in die Zukunftstechnologien investiert wird. Künstliche Intelligenz ist für den Experten ein riesengroßes, wahnsinnig interessantes Thema von der Verteidigerseite aus gesehen. Aber es ist zugleich auch ein gewichtiges sowie erschreckendes Thema aus der Sicht bzw. Perspektive der Angreifer.

Deshalb ist es essenziell, bei der Verteidigung auf smarte und selbst lernende Lösungen zu setzen. Das Verhalten eines Users gilt es zu erkennen. Kommt es zu einem eher ungewöhnlichen oder verdächtigen bzw. seltsamen Verhalten eines Users, so treten gewisse Maßnahmen in Kraft. Dank der Automatisierung kann der Vorgang schnell untersucht werden. Auf diese Weise können die guten von den schlechten Usern schnell unterschieden werden.

Peter Wilbrink und Thales in Österreich

400 MitarbeiterInnen sind bei Thales beschäftigt. Der Moderator fragte zu Beginn den Sprecher Peter Wilbrink, was das Unternehmen in Österreich mit all seinen Beschäftigten macht? Der Fokus von Thales liegt im Umfeld der Bahn-Software. Thales ist für die österreichische Bundesbahn aktiv unterwegs (Kontrollsoftware). Aber die Firma hat auch mit Lösungen zu tun, die sich mit Verschlüsselungen beschäftigen.

Das Thema Identity & Access Management

Identity & Access Management ist ein Steckenpferd von Peter Wilbrink. Vonseiten der Security wird deutlich ersichtlich, dass zukünftig gewisse Probleme auf uns zukommen werden. Bis vor ein paar Jahren, so der Experte aus den Niederlanden, haben wir uns noch in einer Verteidigungsform einer Burg bewegt. Intern wurde somit stark auf Schutzmechanismus gesetzt. Seit Jahrzehnten ist hierbei ein Umdenken im Gang. Die bis dato gültige Burg- und Wassergraben-Idylle hat sich in drastischer Form verändert. Auf einmal gibt es sehr viele Möglichkeiten, von drinnen nach draußen zu gehen und natürlich auch andersrum.

In der Burg leben wir gemäß Peter Wilbrink nicht mehr alleine. Wir sind eigentlich in der Cloudzeit reingekommen. Von dem Moment an, als die Burg zum Internet offengelegt wurde, gibt es viele Gelegenheiten. Es gibt, symbolisch betrachtet, zwei Söhne, die überwacht und kontrolliert werden müssen. Den einen Sohn, der die digitale Welt (Internet) des Unternehmens (Burg) verlässt und somit nicht mehr im trauten Heim seiner Ahnen wohnt. Und zum anderen jenen Sohn, der innerhalb des Familienunternehmens (Burg) weiterlebt und dort agiert.

Einen digitalen Schutzwall rund um die Burg (Unternehmen) errichten

In erster Linie geht es darum, das Internet einer Firm zu schützten. So gilt es genau darauf zu achten, wer durch das sogenannte digitale Burgtor hereingelassen werden darf und welche Benutzergruppe Zugriff auf welche Daten hat. Das sind primär entscheidende Faktoren, um einen angemessenen digitalen Schutzwall rund um die Burg (Unternehmen) errichten zu können. Es hat sich somit an dieser Stelle, so der Experte, sehr viel verändert. Es gibt aber für die verschiedensten Benutzergruppen durchaus die Möglichkeit, sich adäquat zu schützen.

Weg von Burg und Wassergraben – was ändert sich denn dann genau?

Laut Peter Wilbrink hat man bisher versucht, alles innerhalb eines Unternehmens (Burg) via Firefox und anderen Methoden so gut wie nur möglich von der Außenwelt abzuschirmen. Doch was ändert sich nun konkret für ein Unternehmen, wenn es die Absicht verfolgt, von der althergebrachten Burg- und Wassergraben-Verteidigungsstrategie abzuweichen und neue Wege zu gehen?

Tatsache ist, dass wir nicht mehr alleine in unserer Burg wohnen. Es geht hierbei vorrangig auch darum, für alle Benutzer etwas besser zu machen. Im gleichen Zuge ist es erstrebenswert, neue Benutzer hinzufügen. Wo aber genau sind die gefährlichen Schnittpunkte bei der IT-Security von der eigenen Umgebung?

Denn für eine Firma ist es durchaus wichtig zu wissen, wer die Person ist. Egal, ob es sich um einen Lkw-Fahrer handelt, der im Betrieb eine Ladung abholt. Beim Modern Access Management sind die Schlüsselfaktoren von Belang. Die Zeiten für Unternehmen haben sich im IT-Bereich auch durch die Covid-19-Pandemie stark verändert. Die Mobilität der Kunden, insbesondere von denen, die an die Firma angebunden werden sollen, ist von einem noch nie dagewesenen Interesse. Die Realität erzwingt geradezu eine Veränderung.

Grundlagen der Zero Trust Security: Mobilität und Identität

Es ist sehr wichtig für das Unternehmen, ob diverse Benutzer auch das Recht haben auf gewisse Daten zuzugreifen. Es handelt sich primär um die Identität als Eckpfeiler von der Zero Trust Security. Hierbei stellen sich die Fragen, was eine digitale Identität in den Konzern einbringen kann und wie man als Unternehmen diese genau einsetzen kann. Zero Trust gibt ein Modell, um zu sehen, ob man als Benutzer auch die richtigen Zugriffe hat, wenn man sich nicht mehr innerhalb der Firma befindet und außerhalb unterwegs ist.

Zero Trust sagt, dass das Vertrauen nie da ist, wenn es um einen externen oder internen Zugriff auf Daten geht. Jedes Mal, wenn es zum Zugriff auf eine Datei kommt, soll erörtert werden: Wer ist denn das? Auf welche Ressourcen soll der Benutzer Zugriff haben? Und ist der Benutzer auch berechtigt, um das zu machen?

Das ist eigentlich die Idee hinter Zero Trust. Diese Angelegenheit kann auf zwei Ebenen vollzogen werden. Das ständige Anfragen schafft nämlich nicht wirklich Vertrauen. Zu Beginn war man auf Netzwerke konzentriert. Doch nun ist man in diesem Bereich auf dem Wege anzuerkennen, dass beim Sicherheitsmodell Zero Trust die digitale Identität eine zentrale Rolle einnimmt.

Das Ziel ist es, die Identität, so gut es geht, zu integrieren. Und zwar in dieser aufgebauten Sicherheit. Trotz allem ist es unbedingt wichtig zu sehen, aus welchem Land der User kommt und von welchem Laptop aus der Kontakt zum Unternehmen aufgenommen wurde. Bis dies nicht geklärt ist, vertraut das Sicherheitssystem dem Benutzer von Daten nicht. Die Identität des Users wird also vorab stets „entrüstet“ bzw. überprüft.

Fazit aus dem interessanten Gespräch mit Christoph Schacher und Peter Wilbrink

Die alten Burg- und Wassergraben-Modelle (Castle & Moat) funktionieren in einer digitalisierten Welt nicht mehr. Immer mehr Home Office- und Remote-Zugriffe haben dafür gesorgt, dass neue Sicherheitskonzepte etabliert werden müssen. Ein viel diskutiertes Konzept aus der Netzwerk-Technik heißt: Zero Trust. Es wurde für die IT-Sicherheit neu erdacht. Das besondere Augenmerk liegt auf der Kontrolle der Identitäten. Die geladenen Experten waren sehr bemüht, den Webinar-Teilnehmerinnen nahezubringen, wie das Identity und Access Management (IAM) in einem Zero-Trust-Ansatz umgesetzt werden kann.