5 Fragen, 5 Antworten: Candace Worley über Zero Trust und Resilienz

von Katja Schmalen

Insbesondere Ransomware hat in letzter Zeit für viel Furore gesorgt und kritische Prozesse in vielen Organisationen lahmgelegt. Welchen Beitrag können IT-Security und Zero Trust zur Business Continuity und damit zu mehr Resilienz leisten? Das wollten wir von Candace Worley, Chief Product Officer bei Ping Identity anlässlich der Vorstellung der neuen IDC Studie “Cybersecurity in Deutschland” wissen.

IDC: IT-Landschaften werden immer komplexer und verändern sich permanent. Welche Risiken betrachten Sie aktuell als kritisch und wie können Organisationen die IT-Security anpassungs- und zukunftsfähig gestalten?

Candace Worley Ping über Zero TrustCandace Worley: Das größte Risiko für die meisten Unternehmen ist die Kompromittierung von Konten. Die beliebteste Methode für böswillige Akteure, sich Zugang zu einem Unternehmen zu verschaffen, sind gestohlene Anmeldedaten. Oder einfacher gesagt: Sie knacken Passwörter, was mit den ihnen zur Verfügung stehenden Tools recht einfach ist. Es ist von entscheidender Bedeutung, dass Unternehmen eine starke Authentifizierung implementieren, um ihre Abhängigkeit von Passwörtern zu verringern.

Eine starke Authentifizierung besteht aus einigen wichtigen Säulen, nämlich: zum einen Single Sign-on, um die Anzahl der Passwörter auf eines zu reduzieren. Dann die Multi-Faktor-Authentifizierung, die neben dem Passwort eine zusätzliche Authentifizierungsmethode erfordert, wie beispielsweise einen Fingerabdruck. Und schließlich Risikosignale, die im Hintergrund verwendet werden, um anomales Verhalten zu erkennen und anhand bestimmter Richtlinien den Zugang zu verweigern oder eine verstärkte Authentifizierung zu verlangen.

Durch die Umsetzung dieser Schritte hin zu einer starken Authentifizierung kann das Cybersicherheitsrisiko erheblich verringert und die einfachste und beliebteste Methode von Cyberangriffen vereitelt werden. Eine starke Authentifizierung ist auch Voraussetzung für die Einführung der passwortlosen Authentifizierung, die den Nutzern eine bessere Erfahrung bietet und gleichzeitig Passwörter vollständig überflüssig macht.

Das Thema Resilienz und IT-Security ist aktuell in aller Munde – insbesondere Ransomware hat in letzter Zeit für viel Furore gesorgt und kritische Prozesse in vielen Organisationen lahmgelegt. Welchen Beitrag können die IT-Security allgemein und Ihre Lösungen speziell zur Business Continuity leisten?

Worley: In der aktuellen Situation, in der Ransomware weit verbreitet ist, muss jedes Unternehmen sein gesamtes Sicherheitskonzept überprüfen, von der Identitäts- und Zugriffsverwaltung bis hin zu Datensicherungs- und Wiederherstellungsprozessen.

Im Hinblick auf die Identität spielt eine starke Authentifizierung eine Schlüsselrolle bei der Ransomware-Prävention, wobei MFA – also Multi-Faktor-Authentifizierung – den Weg vorgibt. Bei dem bekanntesten Ransomware-Vorfall des vergangenen Jahres, dem Angriff auf Colonial Pipeline, verschafften sich die Angreifer beispielsweise über ein VPN Zugang, das durch ein Single-Faktor-Passwort und nicht durch MFA geschützt war. Obwohl die Hacker das Konto eines ehemaligen Mitarbeiters verwendeten, konnten sie sich dennoch Zugang verschaffen. Das ist der Inbegriff eines identitätsbezogenen Angriffs. Wir helfen den größten Unternehmen der Welt, MFA überall einzuführen, auch bei ihren Legacy-Anwendungen und VPNs.

Damit zwischen IT-Security-Lösungen keine gefährlichen Lücken entstehen, sollten diese eng miteinander kommunizieren – beispielsweise durch die Integration der Lösung in proprietäre Security-Plattformen oder die Ermöglichung von herstellerunabhängigen Security Ecosystems. Sind Sie ähnlich aktiv?

Worley: Dies ist ein wichtiger Punkt und offen gesagt der Grund, warum sich viele Unternehmen für uns entscheiden. Wir bieten unseren Kunden eine Auswahl – keine Alles-oder-nichts-Entscheidung. Wir haben einige Kunden, die sich voll und ganz auf unsere Plattform verlassen, und andere, die uns nur für bestimmte Funktionen nutzen. Sie verwenden unsere Lösung zum Beispiel für Single Sign-on und MFA, entscheiden sich aber für einen anderen Risikoservice, obwohl wir ebenfalls ein entsprechendes Angebot haben.

Seit unserer Gründung haben wir uns auf die Entwicklung und Einführung offener Standards konzentriert. Im vergangenen Jahr haben wir große Fortschritte bei der Unterstützung von FIDO gemacht, dem beliebtesten Standard für passwortlose Authentifizierung. Im Hinblick auf ein breiteres Cybersicherheits-Ökosystem verfügen wir über mehr als 1.800 Integrationen und bauen jeden Tag weitere auf. Das ist ein wichtiger Teil unserer Strategie und unseres Erfolgs.

Durch die Erweiterung des IT-Security-Portfolios werden IT-Umgebung paradoxerweise oft unsicherer, weil echte Bedrohungen in der Vielzahl von Alarmen untergehen. Welche Maßnahme ist aus Ihrer Sicht am erfolgversprechendsten: der Einsatz von neuen intelligenten Lösungen, neue Ansätze wie Zero Trust oder der grundsätzliche Aufbau neuer IT-Security-Architekturen?

Worley: Zero Trust ist das große Thema und Identität ist dabei von grundlegender Bedeutung. Wir haben gesehen, dass die überwiegende Mehrheit unserer Kunden den Zero-Trust-Weg in unterschiedlichen Reifegraden beschritten hat. Die Pandemie hat diese Reise beschleunigt. Zero Trust ist der beste Weg, um mit unserer neuen Realität umzugehen – Remote Work, Cloud-Migration und anhaltende Bedrohungen. Oft ist der erste Schritt zu Zero Trust die richtige Identität, denn man kann nur dem vertrauen, was man auch identifizieren kann.

Das bedeutet nicht, dass intelligente Lösungen oder neue Architekturen nicht wichtig sind. In der Tat sind beide Aspekte der Schlüssel zu Zero Trust. Zero Trust erfordert einen neuen Ansatz hinsichtlich der Art und Weise, wie wir unsere Netzwerke aufbauen, weshalb wir bei Anbietern im CASB- und SASE-Bereich viel Zuspruch sehen. Man braucht außerdem Künstliche Intelligenz, um automatisch auf der Grundlage von Richtlinien und nicht auf der Grundlage von Warnmeldungen zu reagieren..

Cyber-Bedrohungen werden sich weiterentwickeln und noch häufiger, schneller oder perfider werden. Welche Maßnahmen werden in Zukunft nötig sein und welche Verantwortungen müssen Anwenderunternehmen und Security-Anbieter übernehmen?

Worley: Auf kurze Sicht ist MFA die einfachste und wichtigste Maßnahme, die Unternehmen zum Schutz ihrer Mitarbeiter und Kunden ergreifen können. Längerfristig sollten Unternehmen auf Passwörter verzichten, um die schwächste Stelle in ihrer Cybersicherheitskette – den menschlichen Faktor – zu beseitigen. Sie sollten starke Autorisierungsrichtlinien einführen, damit ein Angreifer, wenn er sich Zugang verschafft, nicht auf alles zugreifen kann. Zusätzlich sollten sie dezentrale und persönliche Identitätsmechanismen einführen, um Vertrauen bei den Kunden aufzubauen und ihre Privatsphäre zu gewährleisten.

Was die eher qualitativen und menschlichen Aspekte betrifft, so erfordert ein starkes Sicherheitskonzept die Kooperation innerhalb des Unternehmens. Der Vorstand und der CEO müssen die Initiative ergreifen und den CISO bevollmächtigen. Die Sicherheitsteams brauchen ein Mandat und ein Budget, um effektiv handeln zu können. Die Geschäftsbereiche und Anwendungsteams müssen ebenfalls bewährte Sicherheitsverfahren übernehmen und dafür die Verantwortung tragen. Wenn alle in die gleiche Richtung schwimmen und Sicherheit nicht als Hindernis betrachten, sinken das Unternehmensrisiko und die Wahrscheinlichkeit, dass es zu einer Sicherheitsverletzung kommt.

 


Case Study: DB Schenker

DB Schenker wünscht sich einen einzigen zentralen Identitätsmanagement-Service für alle Nutzer, das heißt für Mitarbeiter, Auftragnehmer, Partner und Kunden. Dazu bedarf es einer flexiblen und anpassbaren Lösung, die auch einzigartige Konfigurationen der Benutzerschnittstelle sowie den Ablauf für jeden Benutzertyp unterstützen würde. Wie das Unternehmen diese Herausforderung adressiert hat, lesen Sie in dieser Case Study. 

 

Das könnte Sie auch interessieren