Guten Tag und herzlich willkommen bei unserem KuppingerCole-Webinar 3rd Party Identity Risk – Der Feind Im Eigenen Haus. Dieses Webinar wird unterstützt von SailPoint. Die Sprecher heute sind Moritz Anders, Partner bei PwC, Klaus Hild, Principal Identity Strategist bei SailPoint und ich, Martin Kuppinger, bin Principal Analyst bei KuppingerCole Analysts.
Bevor wir in das Thema einsteigen, vielleicht ein ganz kürzer Abriss, worüber wir reden, ist im Prinzip wirklich heute, wie gehen wir mit den Identitäten von Externen um, vor allem entlang der Supply Chain und wir haben ja über die letzten Jahre daraus gelernt, dass es ein steigendes Risiko einfach gibt von Angriffen, die über Externe, über die Supply Chain reinkommen und das ist im Prinzip das Thema, über das wir uns heute unterhalten werden. Zum Housekeeping, Audio ist zentral stumm geschaltet, darum müssen Sie sich nicht kümmern.
Wir werden während des Webinars zwei Polls durchführen, zwei Umfragen durchführen und, soweit die Zeit erlaubt, auch die Ergebnisse diskutieren. Wir werden am Ende des Webinars eine Fragebunde haben. Sie können aber jederzeit Fragen stellen. Das ist nicht mehr das GoToWebinar Control Panel, sondern das ist Zoom, der Bereich, wo Sie die Fragen stellen können. Wir haben das Tool gewechselt und wir zeichnen aber weiterhin das Webinar auf und stellen sowohl die Aufnahme als auch die Folien in den kommenden Tagen dann zur Verfügung.
Und bevor wir jetzt richtig einsteigen, würde ich auch gerne schon zur ersten Umfrage kommen und da geht es im Prinzip genau um einen wesentlichen Aspekt dieses Themas, nämlich das Management von Partneridentitäten. Als Unternehmen hat man ja sehr viele Partner, von Leuten, die über Jahre im Unternehmen sind, bis hin zu Leuten, die kurzfristig für ein Projekt reinkommen oder eben Leute, die bei einem Partner oder einem Lieferanten sitzen, auf Systeme zugreifen müssen, bis hin zu Werkschutzmitarbeitern und Mitarbeitern von Subcontractor und so weiter.
Es gibt eine ganze Reihe von Partneridentitäten. Die erste Frage, die ich an Sie hätte, ist, haben Sie im Unternehmen eine spezialisierte Lösung für diese Partneridentitäten implementiert? Ja oder nein? Ich freue mich immer über eine rege Teilnahme. Wir haben also je mehr Antworten, desto besser ist das Ganze auch.
Also, seien Sie nicht schüchtern, sondern geben Sie Ihre Antworten ab. Ich weiß, es ist warm, aber trotz allem, je mehr Antworten wir haben, desto besser.
Ja, ich sehe, es ist noch ein bisschen langsam. Ich würde sagen, wir geben Ihnen noch ein paar Sekunden, dann würden wir die Frage auch wieder schließen.
Gut, dann glaube ich, können wir die Poll schließen und dann sollten Sie noch meinen Bildschirm sehen. Jetzt müssten wir zur Agendafolie kommen, korrekt? Wenn ich nichts gegenteiliges höre, gehe ich davon aus, dass alles läuft.
Okay, Agenda für heute. Im ersten Schritt gehen Sie darauf ein, worum geht es eigentlich bei diesem Thema, auf die verschiedenen Facetten eingehen und warum müssen wir uns damit beschäftigen. Im zweiten Block wird dann der Moritz Anders über risikobasierte Strategien für Nicht-Mitarbeiter reden, um diesen Begriff zu machen. Im dritten Teil wird Klaus Hild ganz konkret auch mal zeigen, wie kann so ein Management von B2B-Identitäten oder Partner-Identitäten funktionieren. Und dann haben wir eben, wie schon angesprochen, unsere Q&A-Session am Ende des Webinars.
Worum wir uns eigentlich auch alle im klaren Sinn sind, ist, dass wir einfach eine Situation haben heute, in der sehr viele Angriffe auf Unternehmen und Infrastruktur erfolgen. Und da gibt es unzählige Beispiele. Ein sehr prominentes Beispiel war der Angriff auf die Pipeline in den USA, also auf der Ostküste, die letztlich dann über doch einen relativ langen Zeitraum einfach auch die Treibstoffversorgung im Osten der USA tangiert hat. Das war eines dieser Beispiele, letztlich ein Angriff, wo eben konkret ein Unternehmen angegriffen wurde.
Es gab dieses Beispiel mit dem Todesfall nach einem Hackerangriff auf eine Uniklinik in Düsseldorf. Es gibt dieses Buch Blackout. Das finde ich immer noch sehr, sehr lesenswert. Das war von Marc Elsberg. Inzwischen gab es noch eine Verfilmung dazu, wo es letztlich darum geht, wie können solche Angriffsszenarien laufen. Und dahinter steckt einfach sehr, sehr viel, was real passieren kann. Also wir haben eine Situation, wir haben, und das ist der Punkt, der einfach auch noch dahintersteht, wir haben sehr viele unterschiedliche Angriffswege.
Dazu zählt natürlich die Ausnutzung von schwächeren Software. Dazu zählen Angriffe, die über Software, wo eine Software weit verteilt, wir haben das Thema SolarWinds, über diese Software hineinkommt. Aber dazu zählen natürlich ganz stark auch Angriffe, die eben über Identitäten kommen. Und wenn man sich so ein bisschen anschaut, was sind so diese kritischsten oder die am bedrohlichsten empfundenen Cyberattacken, dann wird auch deutlicher, wenn man sich das ein bisschen genauer anschaut, dass ganz viele dieser Attacken damit zu tun haben, dass irgendwo Identitäten missbraucht werden.
Das können Identitäten sein von Mitarbeitern, das können eben aber auch Identitäten sein von Dritten, über die man den Zugriff in die Unternehmen erlangt. Und wir müssen das letztlich weiterhin im Blick halten und weiterhin besser in den Griff zu bekommen. Und bei Ransomware ist sehr häufig eben das, dass man eben Phishing nutzt, das initiale Angriffsvektor reinkommt, dass man bei Business-Email-Compromise hat, man jetzt etwas, was über Identitäten geht. Wir haben malicious Insider, die ihre Rechte missbrauchen. Wir haben einfach eine große Zahl unterschiedlicher Angriffe.
Und bei sehr vielen dieser Angriffen ist es eben so, dass es immer wieder darauf abzielt, an Identitäten heranzukommen, diese Identitäten zu missbrauchen. Und das sind genau diese Punkte, wo man sich eben nicht nur in Unternehmen, also einen Angriff in Unternehmen, sondern auch über die Unternehmen hinweg in die nächsten Unternehmen bewegt. Und deshalb müssen wir dieses Thema im Blick behalten. Und es gibt sehr viele Bedrohungsszenarien, die irgendwas mit Identitäten zu tun haben. Da haben wir die privilegierten Benutzerkonten. Am Schluss will der Angreifer immer dahin kommen.
Das ist ja immer das Ziel, zumindest bei einem gezielten, längerwährenden Angriff mit hohen Privilegien, mit hohen Berechtigungen, sich innerhalb des angegriffenen Netzwerks weiter auszubreiten, ein weiteres System an, vielleicht auch das Zielsystem zu kommen. Wir haben die schlecht verwalteten Benutzerkonten. Wir haben exponierte Anmeldedaten im Dark Web, Klartext-Kennwörter, all diese Dinge. Wir haben aber auch, und das ist der Punkt, auf den wir heute vor allem abzielen, eben in diesem ganzen Bereich, ungenügend auch geprüfte Identität.
Das heißt, wir haben eben den Zugriff von Partnern, Lieferanten, von Auftragnehmern, wo die Prozesse nicht immer wahnsinnig gut sind. Und wir haben natürlich auch neue Mitarbeiter, die reinkommen, das ist natürlich ein anderes Thema, wird heute auch schwieriger, aber durch das Thema, das man nicht unterschätzen darf, also in der Zeit von Work from Anywhere, ist das gesamte Anordnen und die Prüfung, ist das wirklich, Marcel Kubinger, deutlich schwieriger geworden.
Also wir haben eine Situation, in der wir eben einfach erst mal ein identitätsbezogenes Risiko haben, was das gesamte Thema Cyber-Sicherheit betrifft. Und ein Teil dessen sind eben die Partner, die Lieferanten, die Third-Party-Identities, wie auch immer wir diesen Begriff formulieren wollen. Und wir müssen es eben schaffen, auch unsere gesamte Identity Management so zu verbreitern, dass es eben heute viel mehr Anforderungen genügt als zuvor.
Wir haben in den letzten Jahren, viele von Ihnen haben das sicherlich gesehen, sehr viel gesprochen über das Thema Identity Fabric, also das Gesamtkonzept, das darauf abzielt zu sagen, wie sieht eigentlich meine gesamte Identity Management Infrastruktur aus?
Und ein ganz zentraler Punkt, ich will jetzt nicht dieses gesamte Identity Fabric Thema im Detail nochmal durchdeklinieren, aber ein ganz zentraler Punkt dabei ist, es geht, und es ging von Anfang an darum zu sagen, eine Identity Fabric ist etwas, das allen Identitäten von Menschen, von Dingen, von Diensten, reibungslos, aber gesicherten Zugriff auf alle benötigten Zielsysteme ermöglicht. Und rot markiert ist eben genau dieser Punkt, alle Identitäten, die Konsumenten, die Kunden, die Partner, die Mitarbeiter, Dienste, Geräte, Dinge.
Und in diesem Block sind Partneridentitäten, das ist der Punkt, der einfach ganz zentral ist bei diesem Thema, Partneridentität ist der komplexeste Fall, den wir haben. Sie sind letztlich über ein sehr großes Spektrum von Situationen, von Anwendungsfällen verteilt, weil es gibt nicht den B2B-Zugriff, den Third-Party-Zugriff, den Partner, es sind ganz viele verschiedene Varianten. Da haben wir Workforce-Naheit-Themen, also Contractors beispielsweise, sozusagen feste, freie Mitarbeiter, die langen Unternehmen sind, die zum Teil auch das IT-Equipment des Unternehmens benutzen.
Und auf der anderen Seite haben wir die konsumentennahe Variante, also Unterauftragnehmer mit einer hohen Änderungsrate. Das ist eigentlich eine technisch gesehen relativ ähnliche Situation, wie Konsumenten mit gemeinsamen Konten manchmal. Das heißt, das sind so Dinge, wo wir ganz unterschiedliche Szenarien haben, mit denen wir umgehen müssen und bei denen wir die Risiken reduzieren müssen. Das führt zu komplexen Herausforderungen einfach in diesem Bereich, im Third-Party-Advanced Risk Management, gerade für den B2B-Bereich.
Und ich habe mal zwei grobe Bilder skizziert, zwei Matrixen, bei denen ich einfach so ein bisschen drauf schaue. Also einerseits, was ist so die Änderungsrate und was ist die Komplexität? Ein Contractor im oberen Bild hat eine gewisse Komplexität, keine Frage. Es ist aber letztendlich jemand, der wie ein Mitarbeiter behandelt wird. Das heißt, wir beherrschen das eigentlich relativ gut. Die Änderungsrate ist relativ gering.
Dagegen, wenn wir mal nach oben rechts schauen, dann haben wir eben den Werkschutz. Das heißt, wir haben da einen Bereich, wo die Änderungsrate oft hoch ist, wo wir oft dann auch mit einem Auftragnehmer, der vielleicht schon einmal mit Unterauftragnehmern arbeitet, konfrontiert sind. Und wir haben eben auch letztlich eine relativ hohe Komplexität, weil wir ja steuern müssen, auf welche Arten von Systemen darf der Werkschutz zugreifen. Das sind dann zum Teil eben die physischen Zugriffskontrollsysteme. Wenn wir das in eine Risikoperspektive nehmen, verschiebt sich das noch ein bisschen.
Weil dann ist zum Beispiel der Contractor einfach nochmal, zwar immerhin weiterhin mit einer niedrigen Änderungsrate, aber mit einem höheren Risiko, weil er eben länger im Unternehmen ist, sehr konkret im Unternehmen arbeitet, Zugriff hat. Der Werkschutz letztlich, ja, es geht um Sicherheit. In dem Fall um die physische Sicherheit. Aber natürlich müssen wir das in den Griff kriegen. Wir müssen auch mit diesen Änderungsszenarien vom sehr stabilen Contractor mit relativ vielen Zugriffsrechten bis hin zum sehr volatilen Werkschutz umgehen können.
Das ist das, was, glaube ich, sehr, sehr wichtig ist, wo es einfach Herausforderungen gibt. Und Identitäten werden eben, und das einfach nochmal deutlich machen, werden von Eingreifern eben sehr vielfältig genutzt. Werden auch in unterschiedlicher Art und Weise angegriffen, auch in unterschiedlichen Systemen. Und der Weg über Dritte ist natürlich auch ein Element in diesen Eingriffsszenarien. Das heißt, wird sich das, was Dritte machen können, zu nutzen.
Wir hatten ja auch schon, in ganz vielen Eingriffen gab es ja auch nicht unbedingt auf Identitäten bezogen, aber auch immer wieder Szenarien, bei denen eben ein relativ leicht angreifbarer Supplier genutzt wurde, um eigentlich an das eigentliche Ziel überhaupt heranzukommen. Und hier geht es eben um Unternehmensrisiken. Zugriffsrisiken sind Unternehmensrisiko. Wir haben im Identity Management kümmern wir uns um das Zugriffsrisiko. Das ist ein sehr zentraler Teil des IT-Risikos. Da gibt es noch andere, aber es ist ein sehr zentraler Teil.
Und das kann eben, und gerade wenn man dann schaut, was kann über solche Eingriffe passieren, eben zu einem sehr signifikanten Business Risiko werden, was letztlich auch den Shareholder Value betrifft. Was eben letztlich dazu führt, dass Unternehmen auch sehr signifikante Kosten haben können, bis hin dazu, dass Unternehmen aus dem Markt verschwinden können. Und da reicht uns auch reine Compliance nicht. Ich glaube, das ist auch nochmal ein Punkt, der ganz wichtig ist.
Er sagt, okay, jetzt mache ich hier irgendwo diese Thematik, oder ich schaue, dass ich eine ISO 27001 Zertifizierung habe. Das ist, Compliance ist eine Sache. Und auch durch ein Audit zu kommen, ist eine Sache. Wenn ich Compliant bin, dann weise ich erstmal nur nach, dass ich bestimmte Regularien erfülle. Beim Audit beweise ich das Ganze auch. Entscheidend ist aber, was wirklich gemacht wird, und nicht das, was dem Auditor erzählt wird. Das heißt, man muss das als Ganzes betrachten, aber am Ende geht es darum, wirklich die konkreten Sicherheitsmaßnahmen umzusetzen.
Und dazu zählt eben, sich wirklich im Klaren darüber zu sein, welche Arten von Identitäten habe ich, wie manage ich die, welche Rechte habe ich, wie gehe ich mit den Veränderungsprozessen um. Und das für alle Arten von Identitäten, richtig gründlich zu machen. In den meisten Unternehmen sind wir gut im Mitarbeiter-Identity-Management. Für bestimmte Partnertypen oft auch. Manchmal auch für Konsumenten und Kunden. Aber für die meisten Arten von B2B-Identitäten und für die meisten nicht-menschlichen Identitäten sieht es deutlich düsterer aus.
Und was dazu kommt, es geht auch darum, es gibt keine so richtig klare, definierte, etablierte Vorgehensweise. Wir haben vor einer Weile mal gefragt, welche Arten von Frameworks werden eigentlich genutzt. Also was sind so die Controlled Frameworks, die man nutzt, um zu sagen, an denen orientiere ich mich, um einfach mal so ein bisschen zu prüfen, sind meine Supplier in diesem Fall, da geht es wirklich stärker um die Supplier-Zertifizierung, aber darüber kommen natürlich auch wieder viele der Partner-Identitäten rein, sind die eigentlich sicher?
Und das ist, glaube ich, eine ganz interessante Facette, auch die in dieses Gesamtthema reinspielt. Ja, da gibt es ISO 27000, da gibt es NIST, da gibt es COBE, da gibt es ganz viele andere. Es gibt keinen wirklichen Standard, wie ich damit umgehe, wie ich überhaupt weiß, ist mein Supplier sicher? Es gibt keinen Standard, keine wirklich etablierte und weit verbreitete Umsetzung, wie gehe ich mit meinen Partner-Identitäten um? Bei der Frage, wie prüfe ich die Sicherheit meiner Supplier, bevor ich überhaupt vielleicht ihre Mitarbeiter reinlasse, massivste Unterschiede.
Manchmal wird nur der erste, die erste Ebene der Supplier, manchmal werden auch die Supplier von Supplier, von Lieferanten, also Lieferant, Lieferant, Lieferant gefragt, manchmal werden es 50, manchmal sind es 200 Fragen, manchmal wird ein technischer Output gemacht. Es wird zwar zunehmend mehr gemacht, aber nicht in struktureller Weise. Und das gesamte Thema Supply Chain Risk Management hat heute keine ausreichende breite, die Methoden, ich habe es gesagt, sind inkonsistent. Es gibt keine wirkliche Standardisierung, Zusammenarbeit.
Ganz häufig fehlt es in der Breite und Tief und gleichzeitig gibt es einen massiven Aufwand an dieser Stelle. Also das Gesamtthema, das so aus Risiko von Supplieren erkennen, Identitäten von Mitarbeitern dieser Supplier, von Einzelunternehmen bis hin zum großen Lieferantenmanagement, all diese Themen sind nicht wahnsinnig gut gelöst. Das ist so ein bisschen einfach mal mein Einstieg. Und was wir nachher lernen werden in den nächsten zwei Vorträgen, ist einfach auch, was kann man machen, wenn man mal ganz konkret an zumindest wichtige Teile, wesentliche Teile dieses Themas rangeht.
Bevor wir das machen, noch mal eine zweite Umfrage. Und da geht es mir einfach um die Frage, haben Sie einen etablierten Prozess für den Supply Chain Risk Management in Ihrer Organisation implementiert? Ist es entweder ein papierbasierter Prozess oder ein IT-Geschäftsprozess, also mit Tun? Oder sagen Sie, nein, eigentlich machen wir das nicht. Auch hier interessiert mich wieder Ihre Antwort. Und wie immer gilt, ich freue mich über eine rege Teilnahme an den Poll Questions. Und dann sind noch mal so 10, 15 Sekunden auf.
Sie aktualisiert immer ein bisschen Verzögerung, also nicht immer ganz aktuell. Und dann können wir sie schließen. Also wir sehen, dass doch immerhin fast zwei Drittel sagen, man hat etwas. Aber auf der anderen Seite auch 60 Prozent, die wieder nichts haben oder nur auf Papier arbeiten. Also sicherlich noch deutlich Luft nach oben.
Oskar, ich denke, wir können schließen. Dann gehe ich noch mal zurück zu meinem Bildschirm und würde damit eigentlich auch schon übergeben an Moritz Anders, der jetzt über die risikobasierten Strategien für Nichtmitarbeiter sprechen wird. Also vielleicht auch ganz kurz zu meiner Person. Moritz Anders bin Partner bei PVC und baue quasi seit 15 plus 20 Jahren jetzt Identity Management Lösungen, wo natürlich der Joiner-Prozess des externen Mitarbeiters immer dazugehört.
Und wenn ich mir auch in den UIs immer anschaue, wie wenig da eigentlich erhoben wird und wenig eingetragen wird, glaube ich zwar, dass viele Unternehmen zwar den Supplier als solchen validieren, aber das vielleicht nicht immer gekoppelt ist mit dem Identity Management Prozess.
Das kann ich zumindest schon mal für mich und mein Team sagen, weil wenn ich dann mal so ein 1-2-Jahres-Projekt betrachte, wo wir auch mal eine neue Mitarbeiterin reingebracht haben, dann haben wir alleine bei der Schreibweise von PVC häufig am Ende 10 verschiedene Arten von Schreibweisen, dass man gar nicht mehr weiß, der Moritz ist zwar von PVC, aber der Dennis ist vom Preis Worte aus Kupers und der Nix ist von PVC GmbH. Das ist das eigentlich alles eine Firma oder nicht? Und da fängt es dann häufig schon an.
Also wie gut ist eigentlich meine Datenqualität, auf dem ich dann später die Prozesse aufbaue? Und warum das auch eine hohe Relevanz hat, darauf will ich heute auch noch mal eingehen. Ohne jetzt zu sehr auf die Regulatoren einzugehen, aber der Martin hat das gerade auf einer Folie geschrieben.
Wir sehen, dass die Finanzindustrie durch das Auslagerungsthema schon deutlich weiter ist und einen höheren Reifgrad beim Thema Supply Chain Sicherheit. Aber wir sehen genauso, dass gerade sowohl in den USA, ich glaube, das war Homeland Security, die hier in der neuen Act oder Joe Biden, der einen neuen Act für die Supply Chain Risiken veranlasst hat. Und wir sehen in Deutschland schon die ersten Anzeichen vom Lieferkettensorgfallsgesetz, wo man die Transparenz in die Lieferkette eigentlich erstmal reinbringen muss.
Und was dann die Regulatorik immer weiter nachzieht, kennen wir ja aus vielen anderen regulatorischen Maßnahmen, ob es jetzt Kritis ist oder Ähnliche, dass dort viel mehr Augenmerk darauf gelegt wird. Was ist vor allem auch wichtig aus der DSGPU-Sicht? Wo gehen eigentlich meine ganzen Daten hin? Und wer hat eigentlich in dem Moment auch darauf Zugriff, was häufig gar nicht so einfach ist? Wir sehen jetzt gerade auch mit Schrems 2 immer häufiger die Diskussion, ist das ein amerikanischer Provider? Die Daten gehen darüber. Was machen wir damit?
Und welche Safeguards haben wir eigentlich implementiert, dass sie sicher sind? Wer eigentlich am Ende auf die Daten zugreifen darf und kann und auch soll? Und wie stelle ich eigentlich die Prozesse drumherum sicher? Und wie kann ich regelmäßig kontrollieren in einem Audit oder halt auch in anderen Risikomanagementverfahren, vielleicht auch automatisch, passt es eigentlich so? Und sind meine Kontrollen eigentlich dementsprechend angepasst? Und das auch in verschiedenen Leveln. Es gibt keinen richtigen Standard, wie Martin es gerade schon beschrieben hat, wie man das Ganze erhebt.
Aber es ist häufig auch schon eine relativ einfache Fragestellung, die ich mir als Unternehmen stellen kann, die wir mit Unternehmen diskutieren. Wie werden eigentlich Daten innerhalb der Supply Chain geteilt? Mit welchem Typ von externen Mitarbeitern wird das vor allem auch wie gehandhabt? Wir haben häufig den Fall, wenn wir den IT-Contractor haben, der hat häufig ein Corporate Managed Device oder halt auch VDI-Zugriff. Aber auch da schon die Frage, kann er die Daten exportieren? Bleiben die alle in der Unternehmensumgebung? Was passiert, wenn die Daten dort rausgehen?
Und wie habe ich eigentlich ursprünglich erhoben, wie sich der externe Mitarbeiter dann regelmäßig authentifiziert? Mit welchen zweiten Faktoren wird er reinfederiert? Benutzt er die hausinternen Authentifizierungsmaßnahmen? Und auch gleichzeitig, wie werden am Ende Daten geteilt? Wir haben häufig auch den Sachverhalt, SharePoint Online ist ein schönes Beispiel oder Teamsets neuerdings, da die Daten werden geteilt. Ich werde irgendwie ein Guest-User, aber wer hat eigentlich ursprünglich mal mich eingeladen in das Unternehmen?
Wer ist verantwortlich für den Life-Cycle-Prozess vom Knowles? Und wer steht eigentlich auch sicher, dass die föderierte Identität oder eine Zugriff auf die Daten wieder entzogen wird? Das wird schon immer ein sehr multikomplexer Prozess, sowohl in der Datenerhebung, dann auch aus einer identischen Management-Sicht, der Aussteuerung eigentlich der Prozesse. Zu welchem Zeitpunkt ist es eigentlich richtig, dass Knowles wieder abgemeldet wird, wenn wir eigentlich nur eine föderierte Datenteilung aufgebaut haben?
Und da stellt sich natürlich die Frage, das ist ein Beispiel, das uns letzte Woche erheilt hat. Wir hatten den Sachverhalt, dass wir von einem Unternehmen, mit dem wir zusammenarbeiten, angesprochen worden sind.
Hey, PwC wurde möglicherweise gehackt. Und woher wussten die das? Die wussten, wir benutzen eine durchschnittliche Telefonanlage, die weltweit komprimentiert worden ist. Also war die Frage an PwC, nutzen Sie oder haben Sie irgendwelche Indicators oder Kompromisse, dass eure Telefonanlage gehackt worden ist? Und das mal Ende zu Ende durchdacht, zu wissen, welche Systeme benutzt eigentlich mein Supplier, mit denen er einen Service bei uns erbringt, und wann kann ich eigentlich die richtigen Fragen stellen, wie Threat Intelligence, Information etc.
Dass ich dann sagen kann, oh, der Supplier wurde gehackt, jetzt deaktiviere ich erstmal alle Accounts. Wenn ich jetzt noch nichtmals weiß, wie gerade angesprochen, ob PwC 36 mal verschiedene Schreibweisen in meinen Identitäten hat, dann habe ich schon ein Problem.
Genauso, wenn dahinter vielleicht eine Kette von weiteren Firmen ist. Ich habe eine PwC in Deutschland und darunter verschiedene andere Länder. Wenn ich das nicht dargestellt habe, und dieses Datum dann nicht klar ist, kann ich manchmal gar nicht direkt die Kontrollen durchführen oder entforsten, die ich eigentlich gerne hätte. Und das stellt sich häufig als große Herausforderung dar. Wie kriege ich eigentlich den ganzen Kontrollapparat auf die Identitäten angewendet, die ich so bei mir in meinem System habe? Wohl wissentlich.
Ich habe häufig gar nicht die Daten so qualitativ erhoben, dass ich es eigentlich könnte. Zu guter Letzt, gerade auch im Bereich des IT-Consulting, wie oft behält man noch seine Zugriffskarte, weil man irgendwie das Projekt ist dann ausgerufen hat und man hat die Zugriffskarte noch. Wie wird der physische Zugriff eigentlich mit dem IT-Zugriff kombiniert abgeschaltet? Welche Berechtigungen sollen entzogen werden? Passt das alles zusammen? Also hier ist ein großer Boost an Fragestellung, die häufig in der Qualität der Sicherstellung von zum Client überhaupt gar nicht adressiert wird.
Und wir hatten gerade eine ganze Reihe von Use-Cases und ich möchte mal ein paar herausgreifen. Den IT-Contractor mit dem klassischen Remote-Zugriff, den haben wir ja gerade schon mal angesprochen. Wir hatten kürzlich den Sachverhalt. Es gibt ein neues Identity-Management-System, wurde eingeführt etc. Wir haben jetzt alle Manager adressiert. Es gibt die erste Rezertifizierung. Und der erste sagt, ich habe hier für 2400 Mitarbeiter die Aufgabe zu rezertifizieren, ob die überhaupt noch da sind. Das kann ich überhaupt nicht. Was ist denn das für ein Sachverhalt?
Naja, ich bin verantwortlich für einen bestimmten Geschäftsprozess, nennen wir jetzt mal Invoice-Scanning oder Accounting-Services, den wir ausgelagert haben an eine Drittfirma. Und die sitzt irgendwo Offshore. Ich habe einen Ansprechpartner, mit dem arbeite ich immer zusammen, aber die erbringen immer nach bestimmten Qualitätsstandards unseren Prozess. Ich kenne nicht einen einzigen Mitarbeiter. Ich kann weder sagen, ob der noch in der Firma ist etc.
Das heißt, die gesamte Prozesskette, wie man sie sich ursprünglich häufiger vorstellt, vorgesetzt und soll rezertifizieren, klappt an der Stelle schon nicht, weil ich muss ganz andere Stakeholder mit ins Spiel holen, um zu fragen, arbeitet der Mitarbeiter zum Beispiel A, überhaupt noch in der Firma des Shared Services Provider oder B, arbeitet er überhaupt noch für unser Team, weil häufig spielt das Rotationsprinzip ja dort auch eine Rolle, also Kapazitäten werden ausbalanciert und passt es immer so zueinander.
Und da den richtigen Prozess zu designen und die Kontrollen eigentlich reinzubekommen, das ist häufig eine sehr große Herausforderung, gerade im Bereich des Business Process Outsourcing Themas. Zu guter Letzt immer wieder, gerade im Bereich der OT-Fernwartung haben wir das Problem, wir haben anonymisierte Benutzer, die die hochprivilegierte Aufgabe haben, Roboterarme zu patchen, auf Windparksanlagen zuzugreifen etc.
Der Windpark wird zwar betrieben von der Firma A, aber gewartet von der Firma B, die vielleicht selber nochmal diverse Subcontractor hat, die sehr spezialisiert auf bestimmte Maßnahmen in der Wartung sind.
Und wie stelle ich eigentlich sicher, durch einen Verifikationsprozess, habe ich erstmal die Transparenz, wer in dieser Lieferkette mit mir eigentlich interagiert, wer welche privilegierten Benutzerzugriff nutzt und wann kann er eigentlich dann auch diese Accounts nutzen, weil typischerweise hier habe ich das Risiko, von einem Ausfall meiner Produktion, gerade in OT ist das häufig besonders schmerzhaft.
Und die Use Cases, die wir dort häufig in dem Thema besprechen, sind sehr mannigfaltig, mal so ein paar mitgebracht, also alleine die Verbindung zwischen der Purchase oder der Bestellung eines externen Mitarbeiters, wenn es jetzt so in einem Verhältnis ist und des Zugriffs auf die IT-Systeme ist häufig überhaupt nicht gekoppelt. Es gibt häufig die Regelwerke No Pay, innerhalb von Unternehmen, um halt auch sicherzustellen, dass keine Kosten entstehen, wenn der Contractor keine laufende Bestellung hat. Aber wo habe ich eigentlich den Link?
Gerade auch dann, wenn jemand vielleicht als Externer mehrere Aufträge bei uns im Haus hat, wann zieht eigentlich welche Berechtigung und wann kann ich sie auch dann entziehen? Bringt immer eine sehr interessante Fragestellung und zu dem Zeitpunkt, wo dann halt die eine PO ausgelaufen ist, sind auch eigentlich dann die Berechtigungen zu entziehen. Also wenn wir dort das Risiko haben, dass ein Contractor fälschlicherweise noch viele Berechtigungen hat, aufgrund seines vorherigen Auftrags, habe ich erstmal gegen das Minimalprinzip verstoßen.
Das Supplier-Risk-Thema, auch hier festzustellen, wie lege ich eigentlich welche Wertigkeit welchem Supplier zu? Also welche Kontrollmechanismen kann ich eigentlich auch hier einer Organisation anvertrauen? Also woher weiß ich eigentlich, dass ich jetzt einer PVC anders vertrauen kann anstatt meinem Shared Service Center? Gibt es da bestimmte Kontrollmechanismen? Überprüft jemand diese Kontrollen?
Also wir durchlaufen gerade genau so einen Prozess, wo ein Unternehmen all unsere Kontrollkataloge innerhalb der PVC durchläuft und schaut, naja passt das so zu dem, wie wir uns das vorstellen und wenn ja, passt man dann quasi diesen Prozess durch und dann werden erst die Identitäten und dann die Accounts respektive angelegt. Und auch jede Veränderung in den Kontrollen müssen halt kommuniziert werden, damit halt dann ich als Unternehmen weiß, in dem Fall beauftragende Unternehmen, ja was hat sich hier verändert? Wie wirkt sich das auf meine Sicherheit in der Lieferkette aus?
Und welche weiteren Kontrollmechanismen brauche ich eigentlich, um hier das Risiko zu adressieren? Und sehr spannend finde ich nach wie vor ist das Thema Subcontracting, Subcontracting, Subcontracting, Subcontracting. Ja häufig wissen Unternehmen gar nicht, wen habe ich hier eigentlich als Vertragsnehmer und wo kommt der eigentliche Mitarbeiter her?
Das gibt es häufig gerade in so Wartungsfällen, das gibt es aber auch sehr viel in der IT, dass man dort eine klare Transparenz hat, wo kommen die Mitarbeiter her, mit welcher Kette quasi der Beauftragung, aber halt auch dann, wie schwächen sich vielleicht die Kontrollen ab? Also wenn ich hier einen Subcontractor habe, der in Stufe 3 mit seinem privaten Apple-Laptop irgendwie per VDI in mein Unternehmen springt, ist es was anderes, als wenn es vorher jetzt ein großes Unternehmen wäre, ein großes IT-Beratungsunternehmen, das alle Kontrollen vorher erfüllt hat.
Also auch da regelmäßig den Prozess zu kennen, zu verstehen und zu überlegen, wie kann ich hier eigentlich die Sicherheit in meine Identity-Lieferkette bekommen, ist aus unserer Sicht sehr essentiell. Jetzt mal sehr vereinfacht, als vielleicht auch Eigencheck, also wie kann ich eigentlich mal so ein Reihvertragsmodell für mich selber erheben und mal mir die Frage stellen, was weiß ich eigentlich über meine externen Identities in meinem Unternehmen, halt aber auch den Unternehmen, mit dem ich zusammenarbeite.
Und wenn ich so den Reifegrad Null sehe, und das ist das, was ich häufig im Identity-Management vorfinde, also ich sehe typischerweise eine Eingabemaske, die gleich ist einer Visitenkarten-Informationsmaske. Also ich weiß, da ist der Moritz Anders, der arbeitet bei PwC. Die Mailadresse und die Telefonnummer habe ich, weil ich will in der Mail schicken und ich will den zweiten Faktor auf dem Mobile entforcen. Und ich weiß noch, wer ist der interne Manager oder der Hiring-Manager. Das ist genau das, was ich weiß.
Und dann geht das Ganze seinen Weg, wird einmal im halben Jahr oder im Jahr überprüft, ob das alles noch so richtig ist. Aber das ist häufig so der Basissatz an Informationen, die ich habe. Ob vorher ein jeweiliger Qualifikationsprozess A der Firma oder des Mitarbeiters beglaufen ist, ob bestimmte Sicherheitsschulungen für den externen durchgeführt worden sind, das kann ich häufig schon gar nicht erkennen.
Es gibt jetzt die ersten Ansätze auch immer wieder, gerade in hochregulierten Bereichen, dass ein Trainingssystem quasi angebunden wird, damit man sieht, okay, der Externe selber hat auch für sich die Sicherheitsschulung durchlaufen. Und ich weiß, der ist hier qualifiziert worden. Und ich kann halt auch sehen, es gibt eine Bestellung, die irgendwie zu der Firma passt. Und irgendwo passt das so, dass der Moritz Anders jetzt hier als externer Mitarbeiter mit dem Unternehmen zusammenarbeiten kann.
Wenn ich aber jetzt schon reingehe und sage, ich möchte mal die Datenqualität, ich hatte es gerade angesprochen, von den Organisationen und den ganzen externen Firmen mal sehe und wie sind eigentlich die Strukturen, dann wird das häufig schon sehr, sehr schwierig. Also diese ganzen Subgesellschaften, ich habe irgendwie ganz oben eine Dachgesellschaft und dann es gibt, glaube ich, relativ viele Firmen, die plus 100 Subentitäten haben weltweit.
Und habe ich eigentlich diese Korrelation bei mir im Unternehmen dargestellt oder im Regierungssystem dargestellt oder halt auch in meinem Fondssystem, dass ich irgendwo sagen kann, alles klar, ich möchte jetzt die Geschäftsbeziehung mit dem Unternehmen kappen oder ich möchte für das ganze Unternehmen, weil wir gerade gehört haben, sie wurden gehackt, bestimmte Sicherheitskontrollen entforcen. Das ist schon eine sehr interessante Fragestellung, wo ich glaube, das wird sehr, sehr schwierig, dass man rausfindet, oder eine 100% Accuracy hat, dass die Daten hier richtig sind.
Aber wenn ich dann auch weitergehe und frage, welche Daten nutzt ihr eigentlich oder welche Systeme nutzt ihr eigentlich, um entweder bei uns reinzutunneln über VPN oder wisst ihr, wie ihr unsere Daten verarbeitet, mit welchem Cloud-System arbeitet ihr vielleicht weiter, wo gehen die Daten hin, dann ein komplettes Risikoprofil zu erheben von Software, die genutzt wird, von Firmenprofil, von vielleicht aber auch, welche internen und externen regulatorischen Anforderungen habe ich eigentlich als Unternehmen, die ich weitergehen muss auf die Supplying Entity.
Das wird schon sehr, sehr schwierig und sehen wir typischerweise sehr häufig, das Unternehmen in diesem Reifegrad, der immer mehr erwartet oder gefordert wird oder halt auch als sehr, sehr sinnvoll erachtet wird, sehen wir eigentlich sehr, sehr selten. Deswegen vielleicht auch hier nochmal so ein paar einfach Fragen, die man eigentlich immer mal wieder stellen kann. Also habe ich eigentlich so einen Kontrollkatalog für alle extern aufgesetzt.
Weiß ich, ob ich die durchlaufen muss? Gerade Fliegungskräfte wissen häufigerweise eher, was für die extern notwendig ist als sehr viele Mitarbeiter, die nicht mit dem Bestellprozess involviert sind und ja, Identity-Risk adressieren müssten.
Weil da, wir haben den Guest-User immer wieder, ein schönes Beispiel, der sehr, sehr schwierig ist abzudecken. Wir haben alle Federated Identities irgendwie in unserem Datentopf. Welche Kontrollen habe ich da umgewickelt? Woher weiß ich, mit welchem zweiten Faktor er reinkommt?
Etc., etc. Das ist immer sehr, sehr schwierig, aber ein schöner Selbstcheck, um mal zu schauen, wo stehe ich da eigentlich? Dann auch mal die Fragestellung, wie gehe ich eigentlich damit um, wenn ein interner Mitarbeiter, also von meinem Unternehmen, der die fünf extern angestellt hat, also quasi der Sponsor ist oder ähnliches, das Unternehmen verlässt? Wo gehen A, die Verträge hin und B, wo gehen die Identitäten hin? Und wenn diese Identitäten entweder Administrator oder Service Accounts haben, was passiert eigentlich damit? Werden die deaktiviert? Bleiben die irgendwo im Orbit hängen?
Nicht selten, wir hatten ja gerade das Beispiel mit dem Ransomware-Vorfall, es ist ja so, es kommt ein Business-Email-Compromise und dann suche ich irgendwie einen Account, der irgendwie verwaist ist. Last Logon, letzten zwei Jahre irgendwann, immer noch aktiv, am besten noch Passwort läuft nie ab und ich adressiere eigentlich immer nur diesen User, bis ich dann irgendwo den privilegierten User gefunden habe und bin dann drin. Das ist häufig dann das Einfallstor für die Angreifer.
Genauso umgekehrt, wie oft werden Sie informiert, wenn ein Mitarbeiter von der Supplying Company, das Unternehmen verlässt und wie stellen Sie sicher, dass das Unternehmen dann auch handelt und sagt, okay, wir haben hier folgende Information, wo der Mitarbeiter die Berechtigung in Ihrem Unternehmen hatte, die müssen alle deaktiviert werden. Gerade auch hier hatten wir den Sachverhalt nicht selten. Irgendwelche Dev-Test-Systeme wurden vergessen bei der Deaktivierung.
Der externe Mitarbeiter hatte immer noch Zugriff darauf und dieser Account wurde dann genutzt, um Daten aus, was weiß ich, Salesforce, Service, etc. rauszulesen und da das häufig 1 zu 1 Kopien von Produktion sind, ist der Schaden dann natürlich unweggroß. Dann auch hier nochmal das Thema Datenqualität, Datenstrukturen, das aufzufassen, gerade im B2B-Kontext, ist wirklich immens schwer. Also das muss ich wirklich sagen, da ein Datenmodell zu finden, was irgendwie passt und auch aktuell zu halten, die User richtig zuzuordnen, das ist nicht so einfach.
Aber auch hier, ich hatte das Beispiel am Anfang mal reingebracht, habe ich eigentlich eine konsistente Benamensung der Firmen, mit denen wir zusammenarbeiten, ist das alles richtig geschrieben, gibt es da irgendwie die Guidelines, muss das der Firmenname vom Briefkopf sein, muss das der rechtliche, legale Name sein, darf das die Abkürzung sein, die in der Signatur steht, was muss eigentlich in das Feld externe Firmen eingetragen werden, damit ich hinterher weiß, wo hängt eigentlich der Mitarbeiter organisatorisch und wie kann ich eigentlich den dann auch wieder rausnehmen.
Und dann zu guter Letzt habe ich dann die Fragestellung natürlich auch dieser gesamte Joiner-Prozess, wie durchlaufe ich eigentlich den Joiner-Prozess, welche Risiken will ich eigentlich in diesem Prozess abarbeiten und behandle ich eigentlich in diesem Prozess alle externen Berater und externen Unternehmen, mit denen ich zusammenarbeite gleich und da habe ich hier bestimmte Abstufungen auch wieder.
Also gerade das Beispiel, ich habe irgendwie vielleicht einen europäischen Software-Vendor, der mir irgendwie regelmäßig Software aktualisiert oder gerade ein Implementierungsprojekt mit mir macht, der selber einen sehr, sehr hohen Sicherheitsstandard hat und behandle ich den gleich, wie in einem Unternehmen, was vielleicht in den letzten Jahren offshore, nearshore irgendwo zweimal gehackt worden ist.
Wir wissen, da gibt es immer mal wieder Themen, dass die Kontrollen nachgebessert werden müssen und erwarte ich eigentlich hier die gleichen Sicherheitsmaßnahmen oder Standards, erlaube ich den gleichen Zugriff, würde ich dem vielleicht Zugriff auf andere Berechtigungen geben, würde ich vielleicht auch aus dem Zero-Trust-Konzept andere Maßnahmen dann sowohl präventiv als auch detektiv um diese Identitäten herumwickeln. Das sind immer so die großen Fragestellungen.
Ich finde, Klaus, das auch mal als kleine Überleitung langsam zu dir. Ich glaube, das jetzt noch mal neu zu denken, hat, glaube ich, SailPoint jetzt ganz gut mit der Akquisition von Sechsetta, glaube ich, ganz gut geschafft und würde dann an der Stelle einmal zu dir übergeben. Vielen Dank, Moritz.
Ich habe jetzt die Ehre, das einfach mal ein bisschen von der Theorie weg in die tatsächliche Praxis einzuführen und ich habe tatsächlich heute mal vollkommen auf irgendwelche Slides verzichtet, um einfach sagen zu können, okay, wir gehen jetzt einfach mal in Medias Res und schauen uns einfach mal an, wie das hier aussieht. Ich möchte einfach nur an einem praktischen Beispiel zeigen, wie kann man jetzt tatsächlich mit extern umgehen. Das ist jetzt natürlich mal ein gezielter Fall, einfach nur mal aufgenommen.
Also, wir haben hier eine Firma, die nennt sich Z Corporation und da gibt es eine Acme-Firma, die ist im Prinzip der Service Provider für dieses Z Corporation und ich habe jemanden bei dieser Acme Corporation, die erlaubt, oder die erlaubt bekommen hat, für mich tatsächlich auch Kontraktoren mit einzutragen.
Ein Szenario, was wir relativ oft haben in großen Firmen, die also sagen, also ich will nicht hier jeden Mitarbeiter, also bei VW, ich möchte nicht jeden Mitarbeiter von einem externen hier irgendwie selber eingeben, das sollen die mal schön selbst machen, wenn es da irgendjemanden gibt von PVC, dann kriegt der die Verantwortung und dann kann der hier seine Mitarbeiter eintragen. Ich kriege vielleicht eine Mail, was da passiert ist oder ich checke das vielleicht ab und zu mal nach, aber grundsätzlich ist das der Prozess einmal zertifiziert und damit freigegeben.
Diese Webseite ist aber auch so gestaltet, dass ich durchaus auch jemanden direkt einladen kann oder auch sich jemand selbst registrieren kann. Es ist also durchaus auch eine Selbstregistrierungsseite, wenn ich das mag, wenn ich das haben will, nur um mal zu zeigen, was wir damit machen können. Wir loggen uns jetzt hier als Linda Mason ein, das ist die Dame von der Acme Corporation, die eben für die Z Corporation tatsächlich Benutzer anlegen darf. Und diese Dame landet jetzt auf einer Webseite, wo sie verschiedene Optionen hat, Dinge zu tun.
Wie gesagt, die Idee ist jetzt nicht, ihnen komplett diese Software vorzustellen. Dafür reicht eine Stunde sicherlich nicht, sondern einfach nur mal einen Einblick zu geben, was man eben hier relativ kurz und knapp machen kann. Sie möchte hier einen neuen Contractor anlegen. Sie sehen schon, das können viele andere Dinge sein, die hier noch nebendran sein können. Also wir nehmen diesen neuen Contractor und ich habe hier eine relativ einfache Requestform, wo sie eben jetzt einen bestimmten Menschen aus ihrem Portfolio eben nehmen kann, sein kann.
Den würde ich gerne für diesen Einsatz bei der Z Corporation zur Verfügung stellen. Hier könnte man noch mehr dazu machen. Hier könnten Verfügbarkeitsdaten mit beistehen oder sowas. Also hier ist noch mehr möglich. Diese ganzen Requestforms sind vollkommen frei gestaltbar in dem Produkt. Also sie sind nicht gebunden an ein bestimmtes Aussehen, wenn sie mögen. Wir haben aber bereits immer eine Duplication Settings mit drin. Das heißt, es wird immer schon mal gesagt, Moment mal, diesen Menschen haben wir bereits schon mal. Es gibt bereits ein Profil davon.
Möchtest du mit dem weiterarbeiten? Diese Software nennt sich Non-Employee Risk Management. Eine Duplication-Warnung ist Teil des Risikos. Wir können aber auch noch eine Risikowertung für den Benutzer selbst machen. Da komme ich später noch zu. Also die Dame entscheidet sich auf jeden Fall, mit dem existierenden Profil weiterzumachen. Also kein neues Profil anzulegen, sondern mit dem existierenden Profil weiterzumachen. Und hat jetzt verschiedene Optionen, was sie an dieser Requestform machen können.
Und sie können sich schon leicht vorstellen, hier sind viele Sachen möglich, die ich hier eintragen kann. Von, bis, für wen. Alles Daten, wie sie das eigentlich auch aus dem IDM-System kennen. Also wenn sie jetzt das mal mit ihrem HR-Datensatz vergleichen, ist es natürlich, fehlen hier ein paar Informationen. Aber sicherlich, also diese Informationen könnte man zumindest noch, wenn das gewünscht wird, hier mit einbringen. Um zu sagen, also gut, das sind Informationen, mit denen ich jetzt den Request für diesen Mitarbeiter starte.
Und mit einem Submit bekommt jetzt der Mensch bei der Z-Corporation, bekommt jetzt einfach eine E-Mail geschickt und sagt, du, ich habe hier einen neuen Kontraktor. Für die Anforderungen, die du gehabt hast, habe ich folgenden Menschen vorgeschlagen. Das ist ein Schritt, den viele Firmen gerne vermeiden. Ich habe ihn jetzt einfach mal der Vollständigkeit halber hier mit reingebracht, dass man ihn sehr wohl machen kann. Aber wir können diesen Schritt natürlich außen vor lassen.
Wenn also der gute Herr Weiser jetzt hier auf dieses Go-To-Request drückt, dann sieht er eben diese Approval Form und kann das nochmal sagen, ja, das ist genau das, was ich wollte. Ich approve das. Er könnte hier auch noch Änderungen machen, wenn er mag. Also wir haben hier so gängige Lokationen bei uns wie Denver drin. Also hier kann man natürlich Dinge verändern. Auch hier sind sie vollkommen frei. Am Ende des Tages. Was jemand hier noch verändern darf oder soll oder welche Optionen sie ihm hier einräumen.
Das ist, wie gesagt, nur ein Beispiel. Ja, also sie wird das erprobt hier und mit dem Erproben von diesem, von dieser Beantragung. Also die Dame hat jetzt diesen Mitarbeiter vorgestellt.
Er sagt, ja, das ist in Ordnung für mich. Und dann bekommt der Herr Satten, der also jetzt hier diese Arbeit erledigen soll, bekommt eine E-Mail, wo eingeladen wird zu sagen, also bitte, das ist hier intern freigegeben. Du wirst jetzt hier eingeladen. Wie dieser Mailtext aussieht, ist Ihnen natürlich auch überlassen dabei. Und mit dem Klick auf den Get Start landet er hier auf dieser Page. Er könnte hier seine Telefonnummer noch verändern beispielsweise. Aber auf jeden Fall unterschreibt er hier in Anführungszeichen unterschreibt. Also er erklärt sich einverstanden mit der Use Policy.
Hier könnten beispielsweise auch noch Trainings mit draufstehen, die gemacht werden müssen mit einem Link, um diese Trainings zu erledigen. Also sind hier vollkommen frei. Es lässt sich auch eine Prüfung hinterlegen, ob denn der Nils Satten tatsächlich der Herr Satten ist.
Ja, also Sie können hier eine ID-Abfrage machen. Auch das lässt sich hiermit einbringen.
Dinge, die ich jetzt hier einfach mal weggelassen habe. Der Einfachhalber, er sagt jetzt hier mit, das ist in Ordnung für mich. Und sieht jetzt einfach, was er hier eben hat.
Ja, er kann sich also seine Assignments angucken. Was er denn für Assignments hat. Also das ist jetzt die Info für ihn. Er sieht jetzt die verschiedenen Assignments. Und das ist das Assignment, über das wir hier reden. Das ist also das, was jetzt neu hinzugekommen ist, was er machen soll bei der Active Corporation. Das kann er sich anschauen und sieht hier die Informationen, die ihm vorliegen. Sagt er okay, das passt für mich. Das bin ich und ich fange jetzt an zu arbeiten. Damit ist der Zustand in diesem System, in diesem Non-Employee Risk Management abgeschlossen.
Ja, das heißt also, wenn er jetzt hier auf den Homebutton, hier kommt jetzt der Übertrag in Richtung Identity Management System. Ich kann so hier sehen, welche Attribute habe ich von dem Herrn Satten hier mit drin. Er kommt also aus dem Non-Employee Risk Management.
Ich sehe, er ist in Engineering angestellt. Ich kann diese Dinge sehen. Ich kann mir seine Rolle anschauen. Er hat einfach nur hier die Kontakte Base Access bekommen. Das ist natürlich, Base Access würde heißen, das kriegt praktisch jeder. Wahrscheinlich ist das nicht für jeden gedacht, denn die Accounts sind einfach vielfältig, die er bekommt dazu.
Ja, also so sieht dann im Prinzip einmal dieser Durchgang aus, dass ich mit diesen Menschen beantragt habe, von jemandem aus einer Zulieferfirma beantragt wurde und hier lassen sich jetzt trefflich Abhängigkeiten hintersetzen. Das heißt, sie können, also der Default in der Software ist, dass nach 60 Tagen jemand dann disabled wird.
Ja, das heißt, sie bekommen vorher, zwei Wochen vorher oder eine Woche vorher eine E-Mail geschickt, hier dieser Account läuft aus. Was soll damit passieren? Wenn nichts, wenn jemand was sagt, wird der Account einfach disabled. Es liegt also immer eine Default Disabling Time hinten dran, um einfach zu verhindern, dass eben mit Accounts, die, sag ich mal, vergessen werden, in Anführungszeichen, einfach kein Schindel wieder getrieben werden.
Gut, dann gehen wir jetzt genau zu dieser Q&A Session. Ich teile gerade mal mein Bildschirm und die erste Frage, die ich aufgreifen würde, ist eigentlich die, die letzte hier in der Liste ist. Gibt es die SailPoint Software NERM, also dieses Non-Employee Risk Management, als einzelnes Produkt zu kaufen, also als eine Lösung, die, ich sehe gerade mein Video gar nicht angemacht gehabt, eine Lösung, die eben unabhängig jetzt von, wenn ich von SailPoint und von der SailPoint Identity Plattform verfügbar ist. Also ein klares Jein dazu.
Wir haben ja gerade gesehen, dass die Verbindung von einem, von diesem, von dem Non-Employee Risk Management in Richtung einer Identity Management Lösung einfach wichtig ist. Ja, wir behandeln die Non-Employees, also all die Identitäten, die nicht aus einer HR-Quelle kommen, ganz gezielt anders, als wir das mit einem, mit den internen Kollegen machen würden, die von HR direkt kommen.
Aber trotzdem brauchen diese Accounts natürlich Berechtigung, sie müssen vielleicht auch zertifiziert werden, sie müssen, vielleicht haben sie SOD-Violations, wenn sie eben Berechtigung bekommen und so weiter und so fort. Also, wir haben schon immer einen Teil Identity Management dabei, man kann allerdings stark reduzieren, was ich denn miteinander kaufen möchte. Also es gibt diese Lösung als Teil unserer Business-Suiten, um das einfach zu optimieren, aber man kann entscheiden, was in dieser Business-Suite gerne eigentlich drin sein möchte.
Okay, gut. Die nächste Frage, die ich hätte, ist, wir haben ja schon ein bisschen darüber gesprochen, die Frage heißt ein bisschen, welche verschiedenen Identitätstypen gibt es? Aber vielleicht schauen wir ein bisschen mehr drauf, von der Perspektive, welche Arten von Identitäten sollte ich denn unterscheiden?
Also, wo soll ich die Trendlinien ziehen, Herr Hild oder Herr Anders? Moritz, willst du erst?
Ja, also, wo ist die Trendlinie? Das ist eine gute Frage.
Also, ich würde generell erstmal jeden verwalten, der einen IT-Zugang hat. Das wäre für mich schon mal so eine Gesamtmenge. Und die zweite Frage, die sich dann stellt, denke ich, ist die Frage, wo verorte ich eigentlich den Account? Muss alles zum Beispiel ins Identity Access Governance, oder will ich vielleicht noch einige Accounts, Roboter, etc.?
Wir haben jetzt heute nicht über die Silikon-Identitäten, wie ich kürzlich gelernt habe, ist der neue Begriff, gesprochen, aber verorte ich die lieber vielleicht in ein Pumptool und manage dann eigentlich nur den Zugriff aus der Governance-Lösung auf die Pump-Saves und weiß dann, okay, ich habe da eine Untermenge oder noch mal eine ganz andere Menge, dass ich das irgendwie so entscheide. Ich hoffe, das beantwortet ein bisschen die Frage, Klaus, aber auch gerne du.
Ja, ich sehe es genauso. Also, die Frage liegt weniger an der Software, sondern tatsächlich, was habe ich für Identitäten und wie will ich damit umgehen? Wofür werden sie genutzt?
Da, wo es Sinn macht, sie als Identität zu behandeln und auch zu verwalten, können wir das natürlich tun. Die Software selbst ist in der Lage, jede Art von Identität zu verwalten, völlig egal, was es ist, ob das jetzt ein Bot ist, der irgendwas tut oder tatsächlich eine, das Gegenteil ist dann eine, eine Carbon-basierte Einheit, eine Carbon-Identität eben zu verwalten. Das spielt dann im Prinzip keine Rolle. Dem Tool ist das egal. Es ist eher eine Frage, wie ich als Firma damit umgehen möchte.
Und natürlich gibt es dann oder das Tool trägt diesen Ansprüchen insofern Rechnung, dass die Access-Requests oder auch die Zertifizierung davon oder auch die Genehmigungs-Workflows, die dahinter liegen, einfach komplett an der Software verwendet werden. Und das ist dann auch eine Frage, wo wir einfach komplett an die entsprechende Identität angepasst werden können und nicht irgendwie dann vielleicht ein bisschen komisch aussieht, weil ein Bot braucht zum Beispiel eine Versionierung und er braucht vielleicht einen Supervisor.
Das macht natürlich bei irgendwelchen anderen Identitäten keinen Sinn. Ja.
Ja, und ich denke, wichtig ist auch genau dieses Funktionalitätsdenken. Also das heißt, wo brauche ich einfach spezielle Funktionalität, gerade über das Workflow Identity Management, also sozusagen unsere standardisierten Lösungen hinweg. Genau. Wenn ich jetzt eine Funktionalität mit den standardisierten Lösungen hinweg, weil dadurch sind ja auch andere Sachen entschieden und wie schaffe ich es gleichzeitig natürlich auch die Vielfalt an Lösungen wieder so weit zu beschränken, dass ich trotzdem alles nachher sauber integriert betreiben kann.
Weil wenn ich dann für jede kleine Gruppe von Identitäten ein neues Pool baue, habe ich am Ende aber nichts gewonnen. Also da vielleicht auch noch genau dieser Hinweis auf dieses Identity Fabric Denken. Man sollte dieses Single Source of Truth nicht ganz aus dem Auge verlieren, genau.
Richtig, genau. Bringt uns auch so ein bisschen zu einer interessanten Frage. Bei uns kommen alle Externen aus HR. Brauche ich trotzdem so eine Lösung? Das ist glaube ich eine Frage, da könnte ich jetzt ganz viel dazu sagen, aber ich überlasse erst mal Ihnen. Rausfangen Sie mal. Fangen gerne an, Moritz.
Ach so, ja. Also ich glaube, dass nicht alle, alle aus HR kommen werden, ja. Weil ich nehme das Beispiel Rollout SharePoint Online.
Ja, 2013 war glaube ich der große Start. Alle haben auf Teilen gedrückt von irgendeiner Datei. Und auf einmal habe ich einen Haufen von Externen in meinem Azure AD irgendwo als Guest User. Und da hat HR überhaupt gar keine Informationen drüber.
Ja, also das wieder einzufangen etc. Da hat sich eine Schattenidentitätswelt gebildet, die man so gar nicht gesehen hat. Und die Business Partner, ich kann mir auch nicht vorstellen, dass HR die verwaltet. Also häufiger sehe ich die Mitarbeiter, die Zeitarbeitskräfte, Contingent Workforce und manchmal auch noch die normalen Contractor. Aber auch da glaube ich, gibt es nochmal eine Grauzone.
Ja, das ist nur mein Bauchgefühl. Das wäre, so ähnlich wäre meine Antwort auch gewesen. Das war so ein eher, so ein bisschen ketzerisch, denke ich mal, zu verstehen. Wenn so bei uns kommt alles aus HR. Denn es ist genau so, dass die wenigsten Sachen tatsächlich aus HR kommen. Wahrscheinlich der Standard Externe, den jemand dann vielleicht im Kopf hat, wo er sagt, doch, den pflegen wir auch darüber.
Aber wenn es dann in die Feinheiten geht, wo fängt denn ein Bot oder hört er auf oder habe ich denn Zulieferer, die vielleicht einen etwas anderen Status haben, als diese berühmte Externe, ich war ein bisschen erschrocken über die Menge an, ich sage mal, an Non-Human oder an Non-Employee-Identitäten, die es heute in großen Unternehmen gibt. Also wir reden hier nicht von ein paar hundert, wir reden hier wirklich teilweise von mehreren tausend.
Das hat mich schon erstaunt, dass das eine Menge an Identitäten ist, die mehr oder weniger fast unüberwacht in den Unternehmen irgendetwas machen oder ich sage mal zumindest ganz schlecht überwacht irgendetwas machen. Und das gibt ja auch jetzt die Grenzen im Sinne von Attentive Management, von wissen was ich meine. Es gibt ja auch genau diese ganzen Spezialsituationen, dann eben, wie gesagt, die Grenze Subcontractor-Welten abtauchen und so weiter. Genau.
Ich hatte jetzt auch mehrfach mit Firmen aus dem Pharma-Bereich zu tun, wo es ja dann beispielsweise einfach auch Forschungspartner gibt, wo es aber auch Personen gibt, die nur kurzzeitig einfach als Spezialisten in irgendeiner Phase eines Medikaments arbeiten und dann zum nächsten Unternehmen wechseln, wo Studenten, wo Clinical Trial Patients und so weiter ja alle mit dazukommen, wo wir unzählige, also die Krankenhauspartnerschaften etc. haben unzählige Identitäten. Es ist ausgesprochen komplex, da bin ich absolut dabei. Und jetzt gucke ich gerade noch, welche Frage wir noch nehmen.
Ja, eine Frage, ich formuliere es vielleicht ein bisschen neu, wenn man auch so das Ganze noch ein bisschen überträgt auf so hybride Welten, also wo dann ja noch andere Herausforderungen kommen, also das heißt, dass diese Identitäten, die, also die Frage geht so ein bisschen auch ein auf beispielsweise eben, wir hatten Operatoren angesprochen für OT, für andere Themen, Dienstleister, die beispielsweise dann wieder als MSP ein Cloud-System verwalten und so weiter.
Also gibt es da vielleicht noch ein bisschen was, was Ihnen einfällt, wo Sie einfach Hinweise geben können, wie geht man mit diesen Szenarien um, die ja, wie gesagt, je länger drauf schaut, desto komplexer wird es ja, desto vielfältiger. Ja, also ich fange an, Moritz.
Nein, nein, ich fange jetzt an. Also ich würde sagen, wichtig ist, also wenn man das schon softwaregestützt machen möchte und sagt, also wir haben hier bestimmte Systeme im Einsatz, oder wenn man auch gerne unseren Nörm dafür benutzt, sowas zu machen, was mir wichtig war an dieser Software, ist die hohe Flexibilität. Das heißt, das System ist tatsächlich in der Lage, auf die unterschiedlichsten Ansprüche zu reagieren, ohne dass das Tool groß ändern muss.
Das heißt, ich kann, das war ein schönes Stichwort mit der Pharmaindustrie, wo ja wirklich, die halt sehr empfindlich ist, was Nachweispflicht angeht und all diese Dinge. Da kann ich zum Beispiel, wenn in bestimmten Abteilungen jemand eingesetzt wird, kann ich diese, diese doppelte Überwachung der Entität einfach mit einführen. Also nochmal, eine digitale Abfrage, bist du wirklich derjenige, der du bist? Das kann mit Ausweisabfrage sein, mit allem drum und dran. Das mache ich aber nur für eine bestimmte, für eine bestimmte Anzahl von Mitarbeitern.
Andere Mitarbeiter, die halt eben, sag ich mal, irgendwo einen Wachschutz haben, die haben vielleicht ganz andere Aufgaben dabei. Wenn der halt nur für eine bestimmte Zeit irgendwo in einem Büro sitzt und dafür aufpasst, dass niemand durch die Schranke fährt, sowas in dieser Art. Also keine Ahnung, ich will nicht despektierlich rüberkommen, aber ich könnte mir vorstellen, dass es da unterschiedliche Qualitäten an die Sicherheit gibt oder an den Sicherheitsanspruch gibt und den muss einfach so eine Software mit abdecken können, ohne dass ich immer das Rad neu erfinden muss.
Das ist eigentlich das, was für mich wichtig ist, dass ich halt hier ein Tool habe, wo ich Dinge mit abfedern kann, um eben dieser, diesem Gedanken, dieser Single Source of Truth, der letztlich auch für einen Zero Trust entscheidend ist, dass ich eine Datenbank habe, wo ich hingehen kann und fragen kann, wer hat welche aktuellen Berechtigungen. Das ist für mich der ausschlaggebende Punkt dabei.
Ich würde den Blick vielleicht mal ein bisschen drehen und sagen, naja, wenn tatsächlich ein Szenario passiert, wo ein Unternehmen kompromittiert wird, dann ist das nicht die Krise des Managed Service Provider oder des Outsourcers, sondern das ist erstmal Ihre Krise. So, die kann Ihnen keiner abnehmen. Und da müssen Sie Kontrolle darüber gewinnen können. Und wenn Sie alles ausgelagert haben und nicht mehr irgendwie einen Griff dran bekommen, weiß ich hier, wie die Zugriffe waren, et cetera, et cetera, dann habe ich schon ein Problem.
Also ich würde mir immer die Frage stellen, gerade bei privilegierten Zugriffen auf Cloud System, wie genau ist der Zugriffsweg? Wie greifen die Administratoren der Third-Party Provider genau auf diese Bereiche zu? Und wie kann ich eigentlich auch eingreifen und sagen, ich habe hier ganz schnell wieder Kontrolle, falls mal wirklich the shit hits the fan und ich kann das wieder zu meiner Krise machen und auch vernünftig managen.
Weil wenn ich das alles rausgegeben habe und nicht mehr weiß und keine Transparenz habe, wie dieser ganze Zugriffsweg ist, ich glaube, da wäre ich sehr vorsichtig und würde lieber die komplette Kontrolle über diese Systeme behalten. Alles klar. Dann sind wir auch am Ende unserer Zeit. Vielen Dank, Moritz. Vielen Dank, Klaus, für all die Informationen, für die Einblicke. Vielen Dank an alle Teilnehmer, die an diesem Webinar teilgenommen haben.
Ich hoffe, wir sehen uns sehr bald wieder bei einem unserer nächsten Webinare. Dankeschön.
