Abonnieren Sie unseren NEWSLETTER

Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor

Wir sind als Cybersecurityorganisation Teil einer kompletten Architektur und kümmern uns um alle Arten von Zugriffen. Der klassische Begriff wäre PAM, also Privileged Access Management, mittlerweile geht es aber mehr um Accessmanagement über alle Instanzen, End-to-End, und nicht nur um privilegierte Konten. Ursprünglich mussten die Zugriffe von privilegierten Konten geschützt werden, das war der Business Driver in den 00er-Jahren. Speziell die großen Banken haben eine Technologie benötigt, um die Zugriffe auf Finanztransaktionsdaten zu schützen. So ist eine Technologie entstanden. Die meisten unserer Mitbewerber haben mit dem Schutz von Credentials angefangen und im Anschluss ein Sessionmanagement aufgebaut. Wir haben es genau umgekehrt gemacht, uns zunächst auf Sitzungskontrolle konzentriert und dann die anderen Module angebaut. Mittlerweile ist unser Portfolio soweit gewachsen, dass wir auf allen Ebenen Zugriffe überwachen, schützen, protokollieren und vor allem auch mit Regelwerken versehen, die der jeweiligen Sicherheitsanforderung entspricht.

Wir versuchen in der DACH-Region möglichst lokalen Content zu machen, und die wichtigen Dinge wirklich ganz speziell für das deutschsprachige Klientel abbilden können. Unsere Kunden schätzen es, dass wir als europäischer Hersteller nicht einfach nur internationale Standardarchitekturen und -policies mitbringen, sondern dass sich jemand auch um die lokalen Belange kümmert. Wir haben Consultants in unserem Team, die keine reinen Techniker sind, sondern die auch Beratung und Consulting beim Kunden machen können.

GSM: Was stellen Sie auf der it-sa vor?

Die it-sa ist für uns ein großer Erfolg, wir hatten sehr viel Publikum am Stand, konnten viele Demos machen und unsere Kunden treffen. So eine Vor-Ort-Veranstaltung hat uns allen gut getan, vor allem nach 2 Jahren Pandemie. In dieser Zeit hat es natürlich viele Innovationen gegeben. Ich denke, dass wir in Zukunft sicherlich immer mehr mit DevOps wir z.B. Kubernetes zusammenarbeiten werden, dass ganze Systeme nur noch über Kubernetes-Infrastrukturen zur Verfügung gestellt werden. Wir haben zum Beispiel mit einem Kunden gesprochen, der sich von den ganzen Virtualisierungslayern verabschieden und seine komplette Infrastruktur auf Kubernetes aufsetzen möchte. Das Prinzip von Kubernetes ist ja Folgendes: Ich kann im Endeffekt eine komplette Maschine zur Verfügung stellen und nach dem Gebrauch ist sie weg. Ich muss also nichts mehr installieren, kein Patchmanagement, keine Softwarewartung machen. Und das ist natürlich etwas, woran wir uns als Hersteller orientieren müssen. Wir müssen sicherstellen, dass wir auch in solchen Infrastrukturen die Möglichkeit haben, unsere Dienstleistungen mit zu integrieren. Das ist für mich die Zukunft.

Ein weiterer Trend, auch wenn die Technologie schon etwas älter ist, ist alles was mit Identity Federation zu tun hat, also das Domänen sich untereinander vertrauen. Die Authentifizierung gegenüber einer Domäne sorgt also dafür, dass die andere Domäne dem Nutzer auch vertraut. Wir stellen unsere ganzen Applikationen und Systeme über einen Identity Federation Service zur Verfügung. Das heißt, ich muss mich einmal gegenüber meinem System authentifizieren, typischerweise über meine Domäne mit meinem ganz normalen Passwort. Dann sehe ich, worauf ich aufgrund meiner Rolle Zugriff habe und wenn ich dann auf ein höher kritisches System zugreifen möchte, dann würde das System von mir eine zusätzliche Authentifizierung über einen Softtoken verlangen. Dann habe ich aber das Identity Federation Prinzip, das mir ermöglicht auf alle anderen Applikation gleicher oder niedriger Sicherheitsstufe mit Single Sign-on zuzugreifen. Ich muss mich danach also nicht mehr authentifizieren und bin trotzdem gegenüber dem System eindeutig identifiziert.

Mit Access-Management kontrollieren wir, dass man einen personalisierten Zugriff bekommt aufgrund der eigenen Rolle. Man bekommt von uns immer nur den Zugriff, den man aufgrund seiner Rolle braucht und zwar auch nur mit den Eigenschaften und Parametern, die für diese Interaktion tatsächlich notwendig sind. Beispiel Datenbankadministrator: Dieser soll natürlich Datenbanken administrieren, also neues Patches aufspielen usw. aber mitnichten in diese Datenbank reingucken oder sogar eine Datenbankabfrage machen und irgendwo Daten mitnehmen. Wir bieten an, dass man ausschließlich Zugriff auf die Datenbanken hat, und zwar nur zu Zwecken der Systemwartung, aber nicht um die Daten selbst einsehen zu können. Wir schränken auch sehr hochprivilegierte oder sehr niedrig privilegierte Rollen genau so ein, dass sie genau die Privilegien bekommen, die sie brauchen. Das nennt man Privilege Elevation and Delegation Management (PEDM).

GSM: Was sind die Stärken Ihrer Software?

Prinzipiell gibt es bei den großen Anbietern, die im Gartner-Quadranten oben rechts stehen, überall gute Produkte. Es kommt drauf an, was der jeweilige Kunde braucht. Wir haben den ganz großen Vorteil, dass wir der einzige europäische Anbieter sind. Das spielt mittlerweile für sehr viele Behörden eine Rolle aber auch immer mehr Privatunternehmen denken in diese Richtung. Wir sehen es als absolut notwendig an, deutsche oder europäische Konzepte umzusetzen. Wir haben das komplette BSI-Risikoklassenmodell abgebildet und orientieren uns am BSI-IT-Grundschutz. Wir befassen uns also mit dem, was lokale Instanzen wollen und können das einem Kunden quasi vollautomatisiert zur Verfügung stellen, ohne das der sich immer wieder Gedanken darüber machen muss, was für Regelwerke beachtet werden müssen.

Wir haben zum Beispiel auch das Konzept eines Betriebsrats eingebunden. Das wäre sicherlich bei einem amerikanischen Anbieter nicht ohne Weiteres möglich. Wir machen ja unter anderem auch Sitzungsüberwachung, das heißt kritische Verbindungen werden permanent gemonitort, wie so ein Werkschutz, damit Aktionen während einer Session digital in der Infrastruktur begleitet werden. Da könnte sich ein Betriebsrat natürlich die Frage stellen, ob das zu Performance-Monitoring-Zwecken missbraucht wird. Das könnte man natürlich machen aber man bräuchte zuerst einmal eine ganz spezielle Auditorenrolle und kann dann immer noch einen Genehmigungsprozess zwischenschalten und zum Beispiel festlegen, dass man Auditinformationen nur dann einsehen kann, wenn vorher ein Repräsentant des Betriebsrats seine Genehmigung gegeben hat. Wir sagen immer wieder wenn wir mit Kunden sprechen: Bindet die verschiedenen Abteilungen ein, lasst uns nochmal mit dem Betriebsrat reden. Wir haben für Deutschland, Österreich und die Schweiz über IT-Anwaltskanzleien eine rechtliche Analyse gemacht. Es geht natürlich um Security, aber ein Betriebsrat kann sich natürlich insoweit integrieren, als dass sichergestellt wird, dass die Security zu Securityzwecken verwendet wird und nicht zu illegalen Mitarbeiter-Performanceanalysen.

GSM: Was ist Ihre Message an unsere Leser?

Klassische Cybersecurity-Architekturen reichen definitiv nicht mehr aus. Wir haben Ende September das Musterbeispiel gesehen, als Uber gehackt wurde. Da sind die Hacker lehrbuchhaft vorgegangen. Über Social-Engineering-Mechanismen, ist man an einen relativ harmlosen Systemzugang rangekommen, bekam damit Zugriff auf einen mehr oder weniger immer noch öffentlichen Bereich bei Uber. Aber man hatte dann schon mal einen Zugang. Dann konnte Spyware nachinstalliert werden, so dass geschaut werden konnte, auf welche weiteren Systeme man springen kann. Per lateral movements wurde dann versucht, von einem auf ein anderes System zu springen, bis irgendwann tatsächlich ein Netzlaufwerk gefunden wurde, wo ein PowerShell-Script war, also im Endeffekt ein Script zur Maschinensteuerung, bei dem tatsächlich ein ungeschützter Administratorzugang mit Benutzernamen und Kennwort im Klartext vorlag.

Das sind die Dinge, die heutzutage passieren. Irgendwie schaffen die Angreifer, es durch die Perimeter durchzukommen. Der erste Schritt ist nicht schlimm, aber danach kann es gefährlich werden. Die Firewalls sind nach wie vor wichtig aber ich muss diese Perimetersicherheit ausdehnen und die Security auf mehreren Ebenen anbieten, und dann sind wir wieder beim Access. Jedem Sicherheitsvorfall geht immer ein unautorisierter Zugriff voraus. Wir reden von der Security auf dem letzten Meter zwischen dem Benutzer und dem kritischen System. Das versuchen wir immer wieder den Leuten zu verstehen zu geben: Wenn du wirklich Kontrolle über deine Cybersecurity haben willst, brauchst du Kontrolle über deine Systemtransaktionen, über deine Datentransaktionen. Wenn du die nicht hast, wirst du nie cybersecurity compliant sein. In der heutigen Zeit kann wird das nicht mehr funktionieren.