Johannes Goldbach, Keyfactor: « PKI ist eine Vertrauenssache »
Juni 2024 von Yelena Jangwa-Nedelec, Global Security Mag
Ein Gespräch mit Johannes Goldbach, Sales Director bei Keyfactor, der uns klarmacht, dass das Bewusstsein für die Bedeutung der Cybersicherheit zwar langsam wächst, es aber dringend notwendig ist, wichtige Komponenten der Cybersicherheit wie PKI und Cyber-Resilienz-Systeme nicht mehr zu unterschätzen.
Global Security Magazine: Was sollte man über Keyfactor wissen?
Johannes Goldbach: Keyfactor besteht nun seit 2021 als gemeinsame Gruppe und ist heute 450 Mitarbeiter stark, ist mit 1,3 Milliarden bewertet worden und steht bei über 100 Millionen ARR (Annual Recurring Revenue). Der Zusammenschluss von PrimeKey aus Stockholm und Keyfactor aus Cleveland, Ohio, erklärt sich aus der Tatsache, dass sich die Produkte ergänzen. Die Kombination von Public-Key-Infrastructure und Zertifikatsmanagement in Unternehmen ist ein ganzheitlicher Ansatz, der jetzt von den Gründern zusammengebracht wurde. Wir haben aktuell das richtige Momentum geschaffen, und mit Insight Partners und Sixth Street starke Investoren an Bord. Die Lösungen sind alle etabliert und schon lange auf dem Markt.
GSM: Und wie sind Sie in der Welt der Cybersicherheit gelandet?
Johannes Goldbach: Der Ursprung meiner IT & Security-Affinität liegt in meiner Kindheit. Mein Vater war einer der ersten IT-Berufschullehrer in Deutschland. Ich habe im IT-Vertrieb bei großen Datenbankherstellern, in der Automobilbranche und bei einem Hersteller für Patentmanagementlösungen gearbeitet, wo ich parallel auch den Posten des Datenschutzbeauftragten innehatte. Das war dann der echte operative Schritt in Richtung Security. Der Merger war schon fertig, als ich von damals noch PrimeKey angesprochen wurde. Als ich mich entschied, dem Unternehmen beizutreten, dachte ich, dass der Einstieg leicht sein würde, aber ich habe im Endeffekt sechs Monate gebraucht, um mich damit vertraut zu machen und meine Expertise in diesem Bereich ausreichend zu vertiefen.
Im Endeffekt ist es jede asymmetrische Ende-zu-Ende-Verschlüsselung durch ein PKI-Zertifikat abgesichert und auch Geräte-Identitäten aus den verschiedensten Bereichen werden durch eine PKI erstellt, was das Spannende daran ist. Das Nutzen solcher Lösungen findet man in allen möglichen Branchen wie Banken, Gerätehersteller aller Art, Automotive, Energie, Verwaltung sowie vielen andern Bereichen.
GSM: Was ist die Strategie von Keyfactor im Bezug auf die Regulierung von Cybersicherheitsmaßnahmen?
Johannes Goldbach: Regulierungen sind je nach Geografie unterschiedlich. Dahinter stehen die regionalen und überregionalen Cybersecurity Behörden, die Standards definieren. Beispiele sind zum Beispiel der IEC 62443 Standard, der Cyber Resilience Act oder NIS2 mit seinen lokal spezifischen Umsetzungsgesetzen. In Deutschland ist hier der Regulator zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik. Keyfactor selbst ist kein Beratungsunternehmen zur Umsetzung dieser Vorgaben, aber wir helfen unseren Kunden mit unserer Technologie, diese Standards gut umzusetzen. Für die richtige Umsetzung gibt es aber spezialisierte Partner, die unsere Lösungen dann als Bausteine für das gesamte Konzept verwenden.
GSM: Und was ist im Moment Ihre größte Herausforderung?
Johannes Goldbach: Zu den größten Herausforderungen auf dem deutschen Markt gehört insbesondere der Mangel an qualifizierten Arbeitskräften und Zeitdruck Projekte umzusetzen, dazu haben Unternehmen oft das Problem, dass veraltete IT-Infrastruktur und Technologien eingesetzt werden, die nicht mehr heutigen Standards und Prozessen entsprechen. Dies führt dann zu Workarounds und Basteleien, die für Hacker ein gefundenes Fressen sind. Self-Signed Zertifikate mit fiktiven Laufzeiten und ähnliches führen dann zu Sicherheitslücken oder massiven Ausfällen. Die Notwendigkeit der Automatisierung der Prozess und Funktionen wird somit für viele Unternehmen immer wichtiger. Die Lösungen in diesem Bereich liegen meisten preislich in einem Bereich, der niedriger liegt als der Personalaufwand für die gleiche Aufgabe, wenn Sie manuell durchgeführt wird. Somit können wichtige Ressourcen für andere Aufgaben genutzt werden. Allerdings lassen die Kosten die Entscheidungsträger oft zögern, da diese im ersten Augenblick hoch erscheinen. Es mangelt da dann auf der kaufmännischen Entscheider-Ebene am Bewusstsein für die Bedeutung solcher grundlegenden Cybersicherheitsmaßnahmen und die Wahrnehmung liegt dort eher bei sichtbareren Technologien wie Firewalls oder MFA. Dies unterstreicht die Notwendigkeit, dass eines stärkeren Bewusstseins und Verständnis für kritische Sicherheitstechnologien und Mechanismen wie PKI und x.509 Zertifikate entstehen muss.
GSM: Worauf Sind sie am meisten stolz in Ihrer Karriere?
Johannes Goldbach: Worauf ich am stolzesten bin, sind Kunden, die anrufen und sagen, dass alles funktioniert. Das hätte ich nicht gedacht, aber das war während meiner gesamten Karriere der Fall. Man begegnet manchmal Ansprechpartnern, die am Anfang sehr skeptisch sind. Das beste Beispiel, das ich im Kopf habe, war die Zusammenarbeit mit einem anspruchsvollen Projektleiter bei einem vorherigen Arbeitgeber. Wir haben damals an einem internationalen Projekt zusammengearbeitet und es kam über Wochen zu allmorgendlichen Eskalationen, die aber durch unterschiedliche Kommunikation der Leute im Projekt entstanden. Es hat Zeit und diplomatisches Kommunikationsgeschick erfordert, um das Vertrauen des Kunden in Technologie und Mitarbeiter zu gewinnen. Es war im würzten Sinne des Wortes Vertrauensarbeit. Auch das Thema PKI ist eine Vertrauenssache. Es ist faszinierend, wie unterschiedlich jede Person spricht und kommuniziert. In Meetings beobachte ich oft, wie Missverständnisse entstehen. Hier sehe ich meine Aufgabe darin, als Vermittler zwischen den Parteien aufzutreten und sicherzustellen, dass sich alle verstanden fühlen. Das ist bei internationalen Projekten besonders wichtig, da es in jedem Land verschiedenen Codes gibt. Im Endeffekt können nur mit Geduld, Vertrauen und einer guten Kommunikation Missverständnisse vermieden und eine effektive Zusammenarbeit gewährleistet werden.
GSM: Haben Sie eine Botschaft für CISOs oder für unsere Leser?
Johannes Goldbach: CISOs müssen sich die Frage stellen, was man dafür tun muss, um den Sicherheitsgrad zu erhöhen, sei es mit einer sicheren und modernen PKI oder in anderen Bereichen. Best und Common Practice ist sicher der richtige Weg. Ein schönes Beispiel ist der Ansatz eines IT-Leiters, der bei der Evaluierung einer amerikanischen Cloud-Plattform in Europa eine simple Logik angewandt hat. Er hat die Frage gestellt: Wie verhindere ich, dass ein Sheriff aus Ohio Zugriff auf Daten meiner Kunden bekommt und welche Prozesse sind hier zu beachten. Bei solchen Entscheidungen ist es entscheidend, an Experten zu wenden und den Herstellern die richtigen Fragen zu stellen, insbesondere im Hinblick auf Cloud-Sicherheit. Es ist wichtig, die Komplexität des Themas zu reduzieren und klare Maßnahmen zu treffen. Das ist das Gleiche wie beim gilt auch für das Marketing - anstatt bloße Schlagworte und ein extensives Storytelling zu nutzen, sollte genau erklärt werden, was eine Lösung kann und welchen Mehrwert sie bietet. Technische Voraussetzungen sollten übersichtlichen festgehalten und systematisch abgeprüft werden, um die Umsetzung des Projekts effizienter zu gestalten und Enttäuschungen in der Umsetzungsphase verhindern.
Es gibt unterschiedliche Herangehensweisen in verschiedenen Ländern, aber ein ausgewogener Ansatz kann entscheidend sein. Europäer sind mehr die Risiko-Analysten und evaluieren alle möglichen Risiken vor dem Umsetzen des Projektes. Man schützt sich vor bösen Überraschungen, kann aber auch in Stagnation enden. Die Amerikaner machen eher das Gegenteil und sind eher progressiv. Man probiert es einfach aus, analysiert dann gegebenenfalls den Erfolg und Bessern dann nach, wenn es schief gegangen ist. Auch das hat seine Vor- und Nachteile. Entscheidungen werden schneller umgesetzt aber im Extremfall müssen dann Schäden behoben werden. In manchen Ländern, wie Frankreich zum Beispiel, folgt man bei Entscheidungen einem gewissen Bauchgefühl und legt auch Wert auf die persönliche Ebene.
Das Wichtigste ist, dass selbst wenn man in einem Bereich oder bei einem Thema nicht hundert Prozent sicher ist, sich an Experten bei externen Firmen oder bei den Herstellern zu wenden, die sich jeden Tag mit der Materie beschäftigen und alle Nuancen kennen.