Herzlich Willkommen zu unserem KuppingerCole-Webinar. Schon perfekt vorbereitet für NIS2? Wenn nicht, warum Identity Governance so wichtig ist in diesem Kontext? Dieses Webinar wird unterstützt von SailPoint und die Sprecher heute sind Sven Hübner, Head of Consulting bei KOGIT, ein Partner von SailPoint und Klaus Hild, Principal Identity Strategist bei SailPoint. Außerdem werde ich noch einen kleinen Vortrag halten zu Beginn. Mein Name ist Martin Kuppinger, ich bin Principal Analyst und einer der Gründer von KuppingerCole Analysts.
Bevor wir in dieses Thema einsteigen, möchte ich noch ganz kurz ein kleines bisschen Housekeeping machen. Um das Audio muss man sich nicht kümmern. Wir sind zentral stimmgeschaltet. Wir werden zwei Umfragen durchführen während des Webinars und soweit die Zeit es erlaubt, auch die Ergebnisse während der Fragen- und Antworten-Sitzung diskutieren. Wir machen am Ende des Webinars eine Frage- und Antwort-Sitzung. Sie können aber jederzeit in dem Werkzeug Ihre Fragen eingeben. Das finden Sie auf der rechten Seite, wo es die entsprechenden Q&A-Bereiche etc. gibt.
Grundsätzlich gilt, je mehr Fragen, desto besser. Wir werden dann auch versuchen, alle Fragen zu beantworten im Laufe des Webinars. Wir machen eine Aufnahme des Webinars, ein Recording, und stellen das genauso wie die Präsentationsfolien in den kommenden Tagen zum Download zur Verfügung. Bevor wir direkt in das Thema einsteigen, möchte ich noch eine erste Umfrage machen. Und zwar dazu, wo stehen Sie eigentlich mit Maßnahmen zur Erreichung eines Compliance? Da würde ich Sie bitten, in diesem Umfragetool Ihre Sichtweise einzugeben. Ist das ein bereits abgeschlossenes Projekt?
Ist es ein Projekt, das im Moment läuft? Ist es ein geplantes Projekt oder ist es ein Projekt, wo Sie sagen, das haben wir noch nicht geplant oder ist nicht relevant für uns? Das heißt, wie weit sind Sie ja? Diese vier Optionen würde mich interessieren, wie Sie das Ganze sehen und gebe Ihnen da so um die 30, 40 Sekunden, um Ihre Antworten einzugeben.
Okay, gut. Dann würde ich sagen, kommen wir wieder zurück zu unserem Webinar. Und im ersten Schritt möchte ich jetzt kurz auf die Agenda eingehen. Die Agenda hat heute eben, weil wir ja drei Sprecher sind, hat sie eben sozusagen vier Teile und nicht drei, wie meistens bei unseren Webinaren. Im ersten Teil werde ich ein bisschen eingehen auf NIST 2, was es ist und was Identity Management damit zu tun hat. Im zweiten Teil wird dann Herr Hübner über Rollen, Identitäten, Zugriff oder Access sprechen, die Basis für NIST 2.
Und im dritten Teil wird Lars Hilde ein Praxisbeispiel bringen, wie IGA, also die Verwaltung von Nutzen und Berechtigung für die NIST 2 Compliance liefert. Das machen wir am Schluss in unserer Q&A Session. Das wäre so der geplante Ablauf. Was ist NIST 2? NIST 2 ist eine Richtlinie, also damit eine EU-weite Gesetzgebung zur Cybersicherheit, die eben rechtliche Maßnahmen enthält zur Steigerung des gesamten Niveaus der Cybersicherheit in der EU. Das ist das, was so eben auf der EU-Webseite selber auch steht, ist am 16.01.2023 in Kraft getreten.
Und Unternehmen, die im Skop sind, ich habe diesmal als Kritis bezeichnet, ich komme gleich darauf, wer ist gleich im Skop, müssen diese innerhalb von 21 Monaten umsetzen. Die Texte finden sich übrigens in jeder beliebigen europäischen Sprache dann auch auf den Servern der EU. Das heißt, man kann sich die Texte anschauen, durchlesen. Die Richtlinie ist, finde ich, gut verständlich geschrieben hat, wie alle EU-Richtlinien.
Die Neigung, dass davor erstmal so gute 100, glaube ich, sind es in dem Fall wieder, Vorbemerkungen kommen, die man daraus auch lesen sollte, weil sie einfach für den Kontext, für das Skoping ausgesprochen wichtig sind. Ich habe dann auch jetzt mal einige dieser Teile aus der offiziellen Richtlinie rausgezogen, einfach um da nochmal ein bisschen den Hintergrund zu liefern. Ich werde den Text nicht komplett durchlesen.
Grundsätzlich ist es so, dass die Zielfassung ist, dass man in der gesamten Union ein hohes gemeinsames Cybersicherheitsniveau sicherstellt, um eben das Funktionieren des Marktes, des Binnenmarktes sicherzustellen. Und eben vor Cyberangriffen zu schützen. Und was passiert ist eben, dass alle Mitgliedstaaten eine Cybersicherheitsstrategie brauchen, dass sie ein Krisenmanagement haben, dass sie zentrale Anlaufstellen haben, Computer-Notfall-Teams haben. Und letztlich das Ganze entsprechend auch ausdefinieren für das jeweilige Land, bis hin auch zum Austausch von Cybersicherheitsinformationen.
Es gibt eben diese Aufsichts- und Durchsetzungspflichten. Das heißt, der Spielraum, innerhalb dessen ein einzelner Staat agieren kann, der ist vergleichsweise begrenzt. Staaten müssen die Strategie verabschieden, sie müssen die Anlauf- und Unterstützungsstellen implementieren und müssen entsprechend an dieser Stelle handeln. Am Ende des Tages ist es ein durchaus überschaubarer Zeithorizont, weil der Umsetzungszeitraum auf der vorigen Folie nicht wahnsinnig lang war. Was es dann gibt, und das ist, glaube ich, immer ganz wichtig vom Verständnis her.
Ich glaube, man muss sich das Unternehmen da mal reinlesen und schauen, trifft es mich, trifft es mich nicht, wenn man es nicht ohnehin schon geprüft hat. Der Punkt ist, dass es dann eine Unterscheidung gibt zwischen wesentlichen und wichtigen Einrichtungen. Die ganz zentrale Konsequenz von NIST 2 ist, dass sehr, sehr viel mehr Unternehmen unter NIST 2 fallen, als es bisher beispielsweise unter die Kritisregulierung der Fall war. Und es gibt eben diese wesentlichen Einrichtungen. Wesentliche Einrichtungen sind die sozusagen höher und als kritischer Eingerichteten.
Und dann gibt es wichtige Einrichtungen, die aber ebenfalls darunter fallen. Wesentlicher Unterschied ergibt sich dann letztlich, weniger aus dem, was gemacht werden muss, als vielmehr aus den Strafvorschriften und einigen anderen Regelungen, die sich daraus ergeben. Aber letztlich muss man eben, sobald man darunter fällt, schon sehr genau schauen, wo stehe ich eigentlich mit meinem Thema Cybersicherheit, mit meinen ganzen Maßnahmen, incidental response etc. Und was muss ich da letztlich gegebenenfalls machen.
Ergänzend gibt es noch eine weitere Richtlinie, die definiert kritische Einrichtungen und ist ergänzend zu NIST 2. Das heißt, man muss dann auch mal auf Verweise schauen. Es gibt dann Schwellenwerte, da komme ich gleich drauf, auch für Unternehmen, also wann fällt man dann rein. Das Interessante ist, dass es bestimmte Arten von Anbietern gibt, z.B. DNS-Anbieter etc., die unabhängig von der Größe darunter fallen. Oder Kommunikationsnetzbetreiber sind beispielsweise grundsätzlich darunter. Mitgliedsschaden können die Liste erweitern.
Bestimmte Einrichtungen der öffentlichen Verwaltung zählen dazu. Da muss ich sagen, ärgere ich mich immer noch ein bisschen drüber, weil am Ende sind es eben die Bundes- und Landesregierungen als zentrale Behörden. Aber man hat es dort nicht dann weitergetrieben auf die nächsten Stufen unserer Administration. Das finde ich ein bisschen bedauerlich, weil wir ja auch in den letzten Jahren gesehen haben, dass es sehr viele, sehr schwerwiegende Sicherheitsvorfälle gerade in der öffentlichen Verwaltung gab. Was muss man machen für NIST 2?
Es gibt ziemlich viele Anforderungen, auch und insbesondere in Richtung Risikomanagement, in Richtung Incident Response, aber auch eben zu Themen wie Authentifizierung und andere Maßnahmen. Und es gibt immer, das ist glaube ich nochmal ganz wichtig zu verstehen, aber es gibt immer wieder den Verweis auf Best Practices, darauf, dass man eben letztlich ein durchgängig hohes Sicherheitsniveau haben muss.
Und am Ende des Tages heißt es, dass indirekt natürlich die Erfüllung von ISO 27.0X und anderen Maßnahmen letztlich eine Basis ist in diesem Gesamtkonzept, die man immer im Blick haben sollte. Spezifisch genannt dann eben das, was auf der rechten Seite steht. Da geht es also viel auch um Risikoanalyse, die man durchführt, Sicherheitsvorfälle in definierter Weise. Managed Notfallbetrieb, ganz wichtig, das gesamte Thema der Lieferkette. Und das erweitert natürlich auch nochmal beispielsweise diesen Fokus, auf den wir mit Identitäten kommen.
Das heißt, wir müssen die Identitäten, die Zugriffsrechte auch entlang der Lieferkette im Griff haben. Also B2B-Identitäten beispielsweise ist ein sehr zentrales Thema, das sich letztlich mittelbar daraus ergibt. Geht dann entsprechend weiter. Eben aber auch Sicherheit des Personals, Konzepte für die Zugriffskontrolle, auch die Zugangskontrolle kommt dann, die eben auf den sauberen Intervenanzkonzepte rein muss. Multi-Factor-Authentifizierung etc. Also man muss wirklich eine ganze Menge von Dingen erfüllen.
Wie in jeder Richtlinie ist das erstmal auf einem hohen Abstraktionsniveau definiert, aber daraus auch mit einer ganzen Reihe von konkreten Punkten. Wie immer wird das natürlich auch dann ausgefüllt werden über die Zeit von den entsprechenden regulierenden Stellen, respektive spätestens dann, wenn was schiefgegangen ist, natürlich auch gegebenenfalls eben von Gerichten. Fokus also Risikoanalyse, Risikomanagement, Notfallpläne. Meldung von Vorfällen innerhalb knapper definierter Fristen, also innerhalb von 24 Stunden eine Erstmeldung, innerhalb von 72 Stunden eine Analyse.
Die Schutzkonzepte für Lieferketten, Supply Chain Security. Und dann eben dieses Thema, der Begriff kommt relativ häufig vor, Cyberhygiene. Um da zu zählen, natürlich Datensicherung dazu zählen, Zugriffskontrolle. Dazu zählt im Prinzip das gesamte Thema IGA, weil das einfach eine Baseline ist, eine Basis ist. Das heißt, wir bewegen uns hier ganz klar in diesem Bereich der Cybersicherheit bereits. Das sind die Themen, mit denen wir uns also erstmal grundsätzlich auseinandersetzen müssen bei diesem Thema NIST 2. Was durchaus spannend ist, ist natürlich dieser Schwellwert.
Es fallen einfach viel, viel mehr Unternehmen unter diese Regulierung. Gerade für den Mittelstand ist es dann auch eben letztlich ein sehr signifikanter Handlungsdruck. Die Definition, soweit ich sie verstanden habe, und ich glaube, ich habe es verstanden, ich habe relativ lange nochmal recherchiert, ist es für Mittel, dass es 50 bis 250 Beschäftigte und 10 bis 50 Millionen Euro Umsatz sind. Also diese beiden Bereiche. Oder unterhalb von 43 Millionen Euro Bilanzvolumen.
Groß dann ab 250 Beschäftigte, das ist wirklich eine sehr niedrige Schwelle für das, was man als Großunternehmen definiert. Umsatzschwelle ist dann eben bei 50 Millionen und Bilanzsumme 43 Millionen. Das heißt, man muss schauen, wenn man so in diesen Grenzbereichen liegt, natürlich immer genau, wo liege ich jetzt? Bin ich mittel, bin ich groß oder bin ich gar nicht? Falle ich noch nicht rein in diesen Scope? Um dann entsprechend eben zu reagieren und zu entscheiden und festzulegen, was muss ich tun?
Wesentlich sind dann die großen Unternehmen aus definierten Sektoren, aus denen komme ich gleich. Das heißt, die mittleren Unternehmen sind im Prinzip wichtig, wenn sie in die entsprechenden Sektoren, auch in die wesentlichen Sektoren fallen. Es können aber weitere Unternehmen dazugefügt werden, wenn diese als essentiell, als systemisch relevant festgelegt sind. Das betrifft vor allem natürlich so Grundversorgungsaspekte, gerade auch im Bereich der IT. Wir hatten vorher schon das Beispiel der DNS-Provider beispielsweise, die eben auch dann als essentiell und systemisch festgelegt werden.
Und das, was dann eben noch dazukommt, ist, es sind wirklich viele Sektoren. Ich habe jetzt mal sozusagen die wichtigsten Aspekte rausgenommen. Das ist dann nochmal auch in der Richtlinie nochmal deutlich genauer definiert, was im Einzelnen etc. Grundsätzlich eben die erwartbaren Themen als hohe Kritikalität. Das heißt, dann kommen wir eben in das Thema wesentlich, wenn sie groß sind, rein.
Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheitswesen in vielen Bereichen, nicht in allen Bereichen. Trinkwasser, Abwasser, digitale Infrastruktur, große IT-Dienstanbieter, also letztlich Managed Service Provider, öffentliche Verwaltung zum Teil, leider nur zum Teil, wie gesagt, Weltraum. Und dann gibt es eben weitere kritische Sektoren, Postkurier, Abfall und viele, viele Bereiche des verarbeitenden Gewerbes. Das wird sich viele gerade in Deutschland im Mittelstand wieder treffen. Genauso Chemie im Prinzip sehr umfassend, Lebensmittel sehr umfassend.
Das heißt also, man hat wirklich eine durchaus sehr signifikante Liste hier. Und das ist wirklich dieser Punkt, der bei NIST so ganz wichtig ist. Man muss sich, glaube ich, heute damit beschäftigen, was man nicht gemacht hat. Falle ich in den Skop? Oder bin ich nah dran? Und in welche Kategorie falle ich? Weil das hat eben mit diesem vergleichsweise kurzen Horizont, den wir zeitlich noch haben, natürlich die Bedeutung, dass ich jetzt in die Handlung, in die Analyse gehen muss, um entsprechend voranzukommen. Abgesehen davon, und das ist eben das, was man nicht unterschätzen darf.
Man hat natürlich auch so Seiteneffekte. Das heißt, man ist Teil einer wesentlichen Supply Chain. Dann wird es ein Stück weit durchtropft unter Umständen.
Auch dann, wenn man zum Beispiel nur, in Anführungszeichen, beratend ist, wenn man eine Lieferantenrolle hat, weil dieses Thema Supply Chain Security kommt. Und das gesamte Thema Best Practice, State of the Art wird sich natürlich noch verschärfen. Und wir werden natürlich auch sehen, dass bestimmte Industrien natürlich auch in ihren eigenen Standardisierungen sicherlich die Messleiter über die Zeit erhöhen werden, weil sie eben dann sicherstellen müssen, dass ihre Wertschöpfungskette, die ja sehr wichtig ist in dieser NIST-2-Regulierung, sicher bleibt.
Wenn man jetzt mal diese Welt anschaut, die doch sehr, sehr viele Organisationen betrifft, dann ist aus meiner Sicht eben die nächste Frage für dieses Webinar, und das ist das, worauf jetzt der Herr Hübner und der Herr Hild eingehen werden, warum IGA? Also es ist so, dass viele der Funktionen Berechtigungsmanagement, Securitation of Duty oder Rezertifizierung nicht explizit aufgeführt werden. Aber wir kommen natürlich über die gängigen Standards, die Erlangen von Zertifizierungen, das Thema Cyber Hygiene in jedem Fall in diesen Bereich hinein.
Und wir haben natürlich noch einen Sondereffekt bei dem IGA, der über die Supply Chain Thematik kommt, nämlich das, dass wir eben über das Thema Workforce Identities hinaus natürlich unsere Supplier respektive als Unternehmen, wir als Supplier natürlich auch in Richtung unserer Kunden entsprechend mit betroffen sind. Das heißt, es ist ein Thema, das genauso mit reinspielt, und darauf, wie gesagt, werden meine zwei Nachredner dann in Kürze eingehen.
Was mich jetzt noch interessieren würde, nachdem, was ich so ein bisschen erzählt habe über NIST II, als zweite Umfrage, die wir auch dann gleich starten können, ist Ihre Organisation von NIST II betroffen? Ja oder nein oder unklar? Da interessiert mich natürlich, wo stehen Sie? Und damit würde ich dann bereits wieder zurückgehen, wenn wir die Polle geschlossen haben, zur Agenda und übergebe an der Stelle dann auch gleich an den Herrn Hübner, der über Rollen, Identität und Access als Basis für NIST II sprechen wird.
Ja, vielen Dank, Martin Kuppinger, für die einladenden Worte. Ich würde genau das Ganze ein bisschen aus der Praxis heraus nochmal beleuchten, speziell eben das Thema, weil wir gesagt haben, Identity Governance ist entscheidend hier. Aus unserer Sicht, und das haben wir immer wieder in den Projekten erlebt, ist eigentlich das Zusammenspiel aus diesen drei Säulen ganz wesentlich. Und in der Mitte steht einmal einfach das Identity und Access Management. Aber das ist eben flankiert von den Säulen Rollenmanagement und Access Management.
Und diese drei Säulen, die müssen zusammenspielen, auch innerhalb des Projekts. Denn es ist ganz wesentlich, dass das eine nicht voranschreitet und das andere nicht mitkommt. Und genau darum wird es auch in weiteren gehen. Ich werde jetzt zunächst erstmal die wesentlichen Schritte und Prozesse, die hier zusammenspielen, mit reinbringen, mit zeigen und auch die Möglichkeiten aufzeigen. Was zählt denn jetzt eigentlich, oder was nutzt uns denn hier gerade für eine Zwei-Maßnahme? Was ist hier notwendig? Kommen wir zum eigentlichen typischen Startpunkt.
Ja, wir wollen Applikationen onboarden, denn hier sind unsere Kameras. Man muss wirklich unterscheiden zwischen Application Onboarding und Infrastruktur Onboarding. Denn ganz wesentlich, wir haben hier ein Onboarding in zwei Bereichen. Es ist eben nicht nur der Start, das Onboarding an ein Identity und Access Management Tool anzuschließen. Wir haben gerade im Infrastruktur Onboarding eine Menge privilegierter Accounts. Das heißt, hier kommt das Zusammenspielen mit einem PAM-System auch mit hinein.
Und genau das gilt es, werde ich sicherlich gleich noch etwas zu sagen, einigermaßen organisiert hinzubekommen, sodass man hier ein Gleichgewicht bekommt im Onboarding der Infrastruktur einerseits an die PAM-Module, andererseits an das Identity und Access Management. Und natürlich auch haben Applikationen möglicherweise privilegierte Accounts. Und es sind ja gerade die Accounts, die besonders interessant für einen Angreifer sind.
Ich habe jetzt hier einfach ein paar Stichworte genommen und rausgestellt, die aus unserer Sicht ganz wesentlich sind, auch später für die Bewertung der einzelnen Maßnahmen. Beim Thema PAM will ich anfangen.
Ja, da haben wir oft Tiermodelle. Was heißt das? Das heißt, wir haben unterschiedliche Accounts, unterschiedliche Berechtigungen, die aber auch unterschiedlich zu sichern sind. Gerade im Microsoft-Umfeld kennen wir das. Wir haben Berechtigungen auf der Domäne. Das muss natürlich besonders gut gesichert sein. Aber ein Monitoring-Account, der braucht bei weitem nicht diese Sicherheit. Das muss hier also ein spezielles Tiering-Modell geben. Gleichzeitig haben wir aber auch die Accounts, die im IAM sind. Das ist hier angezeigt mit Account Life Cycle.
Das heißt, wir wollen auch wirklich den Lebenszyklus des Accounts sicherstellen, denn ein Account, der eigentlich nicht mehr da sein dürfte, ist ein ideales Einfallstor. Und das betrifft einerseits natürlich Applikationen, das betrifft aber auch im Wesentlichen Infrastrukturen. Und die wesentlichen Begriffe aus dem IAM, die kennen wir ja auch, die Prozesse. Ich habe es jetzt hier Joiner, Mover, Lever, weil wir das immer so in einem Atemzug sagen.
Aber wenn ich ehrlich bin, müssen wir uns auch einig sein, Lever, Mover, Joiner, denn der wesentliche Prozess, und ich werde sicher auch Klaus noch mal im Tieferen auf einen gehen, der Lever-Prozess, das ist einer der wesentlichen Prozesse, die man abbilden muss. Denn im Endeffekt sind genau diese Accounts von Levern die wesentlichen Accounts, die zu einer Gefährdung führen können. Und durchaus kann es hier sein, ich habe einen Administrator, der geht. Das heißt, ich brauche im Prinzip beim Lever-Prozess, die Sicherheit, dass die Accounts, ich sage es mal etwas flapsig, weggeräumt werden.
Und das bedeutet eben auch, dass ich bis ins PAM-System komme. Wie Martin Kuppinger schon erwähnt hat, neben unseren klassischen Identity Lifecycle Prozessen haben wir noch die Rezertifizierung, Reconciliation und Segregation of Duty, die letztendlich sicherstellen, dass die entsprechenden Prozesse sich sicherstellen, dass die entsprechenden Daten auch nicht mehr da sind, wenn jemand zum Beispiel in den Lever geht oder in den Mover geht. Das heißt, wir haben hier schon mal gesehen, es gibt ein ziemlich intensives Zusammenspiel zwischen dem IRM-Tool und dem PAM-Tool.
Aber jetzt haben wir auch noch Rollen und ein Rollenmanagement. Ganz wesentlich Business-Rollen, IT-Rollen, auch Birthrights und eben auch privilegierte Rollen. Das heißt, wir haben auf der Seite des Rollenmanagements auch ein Zusammenspiel. Und warum ist das so wichtig? Jetzt haben Sie eine Rezertifizierung zu machen. Stellen Sie sich das vor und zum Beispiel eine Rezertifizierung für Infrastrukturen. Da gibt es Unmengen an kleinen Berechtigungen.
Wenn das Ganze nicht in ein Rollenkonzept vernünftig integriert ist, wird bei einer Rezertifizierung derjenige, der das zu rezertifizieren hat, ja hunderte, möglicherweise tausende Einzelberechtigungen rezertifizieren. Das heißt, aus unserer Sicht ist das eigentlich nicht zu machen, wenn man hier nicht ein klares und wirklich gutes Rollenkonzept im Vorfeld gemacht hat. Der nächste Schritt ist, ich bekomme eine neue Berechtigung, ich möchte eine neue Berechtigung, eine neu privilegierte Berechtigung.
Das heißt, wenn ich eine solche Rolle bestelle, muss letztendlich ein Automatismus sein bis in das PAM-System hinein, dass die entsprechenden Accounts entsprechend vorbereitet und gesichert sind. Und das Gleiche gilt natürlich auch im Fall einer Rezertifizierung. Das heißt, jemand will wissen, er braucht das eigentlich nicht mehr. Das muss man auch verstehen, was man da entzieht. Und es muss letztendlich automatisch wirklich zum Zeitpunkt, wo ich sage, er braucht es nicht mehr, auf allen Systemen auch der Account entsprechend entfernt werden.
Nur wenn ich dieses Zusammenspiel habe, habe ich letztendlich auch die Sicherheit, dass nicht einzelne ungesicherte Accounts irgendwann dort liegen und gegebenenfalls von einem Angreifer entsprechend genutzt werden können. Nochmal kurz, auf was zahlen die jetzt ein? Ich habe hier nochmal die einzelnen Punkte mit hineingebracht. Aus unserer Sicht, und das hat ja auch Martin Kubinger schon gesagt, das Thema Cyber Security Hygiene, ganz klar in diesem Tiering-Modell. Ich brauche ein ganz klares Modell, wie meine administrativen Berechtigungen zu sichern sind.
Das Gleiche gilt natürlich zu diesem Thema Cyber Security Rolle auch im Account Lifecycle. Auch dort muss der Account wirklich gelöscht werden, wenn er nicht mehr gebraucht wird, beziehungsweise muss gesichert werden. Das heißt, wir brauchen das Gleiche auch in der Infrastruktur, im Application Onboarding, einen klaren Lifecycle. Und der zahlt auf die Cyber Security Hygiene ein. Wenn wir jetzt rüber zu den typischen Prozessen im Identity und Access Management gehen, ja, Sicherheit in der Lieferkette.
Das heißt, wenn ich weiß, welche Berechtigung mein Mitarbeiter hat, dann kann ich auch genau sagen, was er tun kann, was er nicht tun kann. Das heißt, es spielt hier auch natürlich in das Thema Sicherheit der Lieferkette ein, aber auch in Human Resource Security. Denn ein Benutzer soll natürlich nur die Berechtigung haben, die er auch wirklich benötigt. Und im Falle zum Beispiel eines Movers sollen diese auch automatisch entzogen werden und ihm neu gegeben werden. Da spielt jetzt wieder zum Teil auch das Thema Birthrights mit rein, dass das einigermaßen automatisiert funktioniert.
Und wenn wir jetzt auf das Rollenmanagement gehen, ja, spielen auch hier diese Rollendefinitionen natürlich einen ganz, ganz wesentlichen Bestandteil bei der Sicherheit der Lieferkette. Eine Rolle, die klar definiert ist, die ich verstehe. Da kann auch jeder sagen, ich brauche sie oder ich brauche sie nicht. Sie kann entzogen werden oder sie bleibt eben bei dem Benutzer. Und natürlich privilegierte Rollen passen zu der Situation im PAM Tiermodel. Ich muss auch entsprechende privilegierte Rollen bauen können, die sich dann auch letztendlich im PAM widerspiegeln.
Das ist jetzt so ein bisschen ein Idealbild, dass das alles auch zum gleichen Zeitpunkt in der gleichen Art richtig im Projekt gemacht wird. Das ist natürlich eine Ausgangssituation, die meistens keiner hat. Ich habe schon dieses, ich habe schon jenes. Es ist auch die Frage, wie bekomme ich das zusammen? Und letztendlich aus den aus den langjährigen Erfahrungen, die wir auch beim Start von Projekten gewonnen haben, sehen wir eigentlich als Empfehlung, dass wir eine Art IGA Assessment grundsätzlich am Anfang einer solchen Einführung haben.
Und für uns besteht oder wir haben es in den letzten Jahren auch immer mehr so umgesetzt, das Assessment aus zwei Teilen. Ich muss mir einerseits die Infrastruktur anschauen. Da geht es um GAP-Analyse, um Reifegrade einzelner Bereiche. Um dann letztendlich eine Art der Maßnahmenkatalog am Schluss zu bekommen. Und dieser Maßnahmenkatalog ist dann, der enthält letztendlich ein Zielbild und wie ich da hinkomme. Also im Prinzip, das, was hier unter Roadmap steht, wäre das Ziel eines solchen Infrastruktur Assessments auf technischer Sicht.
Und auf der anderen Seite müssen wir uns natürlich die Prozesse anschauen. Ich habe es schon gesagt, der Lieferprozess, einer der wesentlichen Prozesse auch für die Sicherheit, für die Cybersicherheit, den müssen wir uns genau anschauen. Und es ist eben nicht der Einzige. Wir müssen uns einige Sachen anschauen. Aber da ist es wichtig, sich diese Prozesse im Unternehmen anzuschauen und mit eigentlich Standardprozessen abzugleichen.
Das heißt, wir haben uns natürlich auch angeschaut, wie unterschiedliche Prozesse in Unternehmen abgebildet werden und kennen natürlich gewisse Standards, wie man es tun kann. Und nur dieser Abgleich, wo sind gegebenenfalls offene Punkte, wo muss man nachschärfen, wäre dann zum Beispiel Teil eines solchen EGA-Prozess Assessments. Und ich denke, das ist wirklich ein wichtiger Punkt, denn was braucht man? Man braucht dieses Zielbild. Und das müsste das Unternehmen passen. Und man sollte die notwendigen Schritte kennen, um zu diesem Zielbild zu kommen.
Gegebenenfalls gibt es Abhängigkeiten, Produkte, die man integrieren muss. Das alles kann man in diesem Moment schon erarbeiten und gleichzeitig in einen groben Zeitplan bringen. Und vielleicht auch schon nach ersten Tools gucken, denn diese Säulen, von denen ich gesprochen habe, Rollenmodellierung, Identity- und Access-Management und PAM, dahinter stecken möglicherweise, oder nicht nur möglicherweise, dahinter stecken ja auch Tools.
Und ich denke, was ganz wichtig ist, wenn man sich mal diesen Gedanken über eine solche Roadmap macht, es ist letztendlich, wenn jemand das Ganze prüft, ein kommunizierbares Vorgehensmodell. Das heißt, ich kann sagen gegenüber dem Prüfer, wir haben uns diese und jene Gedanken gemacht, die uns zu einem Ziel führen. Und aus unserer Sicht werden damit auch die Kosten für eine solche Umsetzung planbarer. Das heißt, ich habe mir ziemlich genaue Vorstellungen, wann ich eigentlich welche Investitionen auch im Sinne eines Projekts durchführen muss.
Das ein kleiner Überblick über die Basisteile eines solchen Identity Governance Projektes, einer solchen Umsetzung, mit einer kurzen Vorstellung, wie man in ein solches Assessment kommt. Und ich möchte jetzt langsam in Richtung Klaus übergehen von SailPoint, der dieses Thema IGA Assessment in seinem Vortrag auch nochmal aufnehmen wird. Vielen Dank.
Danke, Sven, für die Übergabe. Vielleicht haben sich auch eben schon mal im Spiegel angeguckt oder sonst irgendwo haben sich gefragt. Die haben ja coole Ideen, aber wer zur Hölle soll das eigentlich machen? Das heißt also, das ist ja ganz nett, dass man jetzt doch mehr aufpassen soll.
Übrigens, da sind ungefähr zehnmal mehr Unternehmen involviert in NIST 2, als es vorher in NIST war. Einfach bedingt durch die vielen Breaches, die es immer noch gibt. Ich weiß nicht, wer von Ihnen diesen IBM Report Cost of a Data Breach liest regelmäßig jedes Jahr. Es ist wirklich faszinierend, dass die Sachen eigentlich nicht wirklich weniger werden signifikant. Obwohl wir da schon sehr lange dran hängen.
Das Slide, den Sie hier sehen, ist relativ ähnlich zu dem, mit dem Sven aufgehört hat. Das ist abgesprochen. Das war so geplant, das zu machen. Sie können sich, wenn Sie mögen, auf unserer SailPoint-Seite einfach nach dem Identity Security Maturity Assessment klauen machen. Das ist ein Teil, das sind sechs Fragen zu beantworten. Einfach mal ganz ehrlich zu sich selbst. Das ist kein Ersatz für das Assessment, was Ihnen beispielsweise eine COVID oder natürlich auch eine COPA hier anbieten würde.
Aber es gibt Ihnen zumindest mal einen ersten Überblick, wo Sie denn aus Sicht eines IGA-Systems tatsächlich stehen. Ich kann Ihnen nur empfehlen, so etwas mal zu machen. Und zwar nicht nur aus der IT-Sicht, also nicht bitte die Admins, die sich vielleicht damit schon intensiver auseinandergesetzt haben oder Business-Consultant, die sich damit auseinandergesetzt haben. Fragen Sie mal Ihren Abteilungsleiter oder Ihren CEO oder CISO oder CTO. Er soll auch mal dieses Assessment anmachen und aus seiner Sicht beantworten. Sie werden erstaunt sein, in welchen Pillar Sie dort landen.
Aber das ist nicht Gegenstand von unserem jetzigen Teil. Ich wollte Ihnen einfach nur mal aus der praktischen Sicht zeigen, wie komme ich denn nur eigentlich dazu, dass diese Konformität auch auf einem guten Weg erarbeitet werden kann. Das allererste ist Schulung für alle. Bildung ist wie überall der Schlüssel zum Glück. Es geht nun mal kein Weg dran vorbei. Sie müssen Ihre Leute aufschauen, was heißt das eigentlich Cyber Security? Das ist nichts Böses. Selbst wir bei SailPoint werden regelmäßig mit irgendwelchen Schulungen gedreht, möchte ich schon fast sagen.
Also mindestens einmal im Vierteljahr müssen wir einfach Stellung nehmen, dass wir wissen, wo dürfen mit E-Mails was rumlaufen? Wie müssen wir mit unseren Systemen umgehen? Worauf muss man aufpassen? Wie erkennt man ein Pitching? Und so weiter und so fort. Also auch wir machen regelmäßig diese Trainings. Das ist wirklich essentiell dabei. Dass wir hier über Last Privileged beziehungsweise Least Privileged oder Zero Trust Prinzipien reden, das ist glaube ich jedem klar.
Ich meine, jeder hat schon mal was von Least Privileged und Zero Trust gehört. Ich meine, Least Privileged ist nicht wirklich neu. Das gibt es schon seit MRisk. Also es ist wirklich uralt im Grunde genommen. Aber es macht halt niemand. Und das ist der Grund, warum die Regularien immer härter werden. Viele Dinge sind schon drüber gesprochen worden. Mir ist einfach nochmal wichtig, Verwaltung aller Identitäten. Und hier habe ich das einfach mal bei Identitäten gelassen. Ich wollte niemanden verwirren. Das ist ein Unterschied zwischen einer Identität und einem Account.
Aber das kann man später gerne nochmal in Tiefe klären, wenn man das möchte. Aber es geht darum, wirklich alles zu erfassen. Das heißt also, wenn Sie über Applikationen nachdenken, mit den Accounts in diesen Applikationen, die verwaltet werden müssen, dann denken Sie nicht bitte nur an AD, an Azure, an SAP, an ServiceNow, an die gängigen Sachen, an die großen Dinge, die Sie haben, sondern denken Sie auch an die kleineren Applikationen.
Es gibt in deutschen Unternehmen, Sie werden es nicht für möglich halten, zwischen 30.000 und 10.000 lizenzierten Anwendungen in einem einzigen Unternehmen. Ich war selbst erstaunt über diese Zahl. Das ist eine Zahl von der Computerwoche. Ich war völlig baff, wie ich das gehört habe. Selbst wenn das ein bisschen überzogen wäre, ich selber, unsere größeren Kunden, haben alle um die 1.000 Anwendungen. Und viele davon sind auch tatsächlich am IDM-System angeschlossen. Also unser Rekord liegt bei 1.100 Anwendungen, die am System angeschlossen sind.
Das heißt, es ist einfach wichtig, das zu kontrollieren, denn nur was Sie kennen, können Sie auch kontrollieren. So einfach ist das. Wenn Sie was nicht kennen, haben Sie keine Ahnung, wohin. Wir haben dazu übrigens eine neue Website. Die nennt sich Identity Hub. Wenn Sie mögen, können Sie sich hier noch ein bisschen mehr Informationen anlesen. Es wird dort nicht auf Produkte eingegangen von uns, sondern wir haben einfach ein bisschen zusammengestellt. Da wird auch über NIST 2 gesprochen, über verschiedenste Dinge. Hilft Ihnen vielleicht einfach, ein bisschen mehr Zugang dazu zu bekommen.
Aber wie ist denn nun eigentlich tatsächlich die praktische Anwendung? Wir haben über Automation gesprochen. Was machen wir denn mit Automation? Sie haben vorhin den Begriff von Sven Birthright gehört. Unter Birthright Provisioning verstehen wir Dinge, die automatisch einem Benutzer zugewiesen werden. Also idealerweise dieser One Starter, also Zero Day Start.
Jemand kommt ins Unternehmen und anhand der Attribute von diesem Benutzer, den Sie aus HR auslesen, also Sie wissen, in welcher Abteilung er arbeitet, Sie wissen, wann er startet, Sie wissen, in welcher Lokation er arbeitet, Sie kennen den Jobtitel von dem Menschen, Sie haben einen Manager und noch mehr Informationen möglicherweise. Anhand von diesen Attributen können Sie jemanden natürlich grundsätzlich berechtigen. Natürlich vielleicht nicht in der letzten feinen Ausprägung. Es müssen ja auch noch Rechte zu beantragen sein.
Gerne, kann man gerne tun. Da braucht es dieses Rollenmanager. Aber so grundsätzlich können Sie jemanden schon mit einem gewissen Automatismus mit Berechtigung ausstatten, die natürlich auch genauso automatisch wieder verliert, wenn er eben nicht mehr in dieser Abteilung ist oder nicht mehr diese Rolle hat oder eben nicht mehr aktiv im Unternehmen ist. Das kann man mit Basisprozessen machen, mit Standardprozessen, die bereits fest in unseren Anwendungen beispielsweise hinterlegt sind. Sie sehen aber auch hier, das habe ich einfach mal auf der rechten Seite dargestellt.
Wir haben eine recht umfangreiche Workflow-Engine mit drin, die auch mit Forms arbeiten kann. Also Sie können hier auch bestimmte Dinge einfach abfragen und können beliebige Workflows im Prinzip dazu bauen. Also das heißt, Sie können das auch sehr komplex customizen, wenn es denn notwendig sein sollte. Je dichter Sie am Standard sind, umso einfacher sind Dinge umzurichten. Das heißt, je weniger Customization Sie benutzen, umso einfacher geht es dabei. Ich weise auch immer wieder darauf hin, es ist immer wichtig, alle vorhandenen Optionen zu wählen, jemandem Rechte zu geben.
Also wir kennen Berechtigungen von Identitätsattributen. Das ist, glaube ich, jedem ersichtlich. Das ist Name. Das ist natürlich, wie lang bin ich im Unternehmen? Was mache ich im Unternehmen? In welcher Abteilung bin ich? Und so weiter und so fort. Welche Manager? Also da gibt es alle möglichen Informationen, in welchem Land ich arbeite und so weiter und so fort. Das sind Dinge an der Identität. Aber ich habe natürlich auch Account-Informationen.
Also aus der AD heraus habe ich ganz andere Informationen an meinem Account als an meiner Identität im E-Data-System oder aus einem SAP-Account oder aus einem ServiceNow-Account. Auch diese Attribute an diesem Account kann ich benutzen, um jemandem Berechtigungen zuzuweisen und natürlich auch aus der Anwendung selbst. Also gibt es in einer Anwendung eine bestimmte Berechtigung, nur dann kann ich die auch jemandem zuweisen, beispielsweise, ich kann Abhängigkeiten dazu schaffen. Also es gibt hier recht komplexe Verknüpfungen, wenn ich möchte.
Und es macht durchaus Sinn, das sich mal in der Tiefe anzuschauen und nicht nur oberflächlich zu behandeln. Also das ist der Automatismus dabei. Dann ein ganz wichtiger Punkt ist das Erkennen von Ausreisern. Das heißt also Menschen, die Berechtigung haben, die aus dem Schema rausfallen. Wir bilden dazu sogenannte Peer Groups. Wir nutzen dazu einen Teil von künstlicher Intelligenz. Keine Sorge, das ist nichts, was in drei Jahren Ihre Firma übernimmt, sondern das ist einfach nur Machine Learning. Also wir reden einfach von Supervised Machine Learning, so nennt sich das.
Also die unterste Ebene von KI im Grunde genommen. Aber das reicht, um sogenannte Patterns zu bilden aus den Identitäten, unabhängig welchen Jobtitel und welche Berechtigung und welche, wie sie heißen, was, was immer auch. Wir gucken uns einfach nur die digitale Identität an. Daraus werden Pattern erkannt. Und diese Pattern, da gibt es dann Unterschiede und diese Unterschiede kann man darstellen. Man kann sagen, also ich habe hier gewisse Ausreiser, die anders sind als der Rest der Peer Group. Das muss erstmal nichts Böses sein, aber ich habe zumindest einen Hinweis.
Wenn ich das mit der Hand am Arm machen wollte in meinem Unternehmen, das können Sie vergessen, dass Sie dieser Aufgabe Herr werden. Das ist nicht zu schaffen. Dafür brauchen Sie eine Maschine, die Ihnen sowas macht. Der Charme daran ist, wenn Sie dann so wie hier jetzt 25 Outlier finden, reicht Ihnen ein Klick auf Zertifizierung und Sie kriegen Mikrozertifizierung erstellt, die Ihnen genau diese Identität überprüfen lässt von der Manager, dem zuständigen Mitarbeiter, der eben sagen kann, ja, diese Berechtigung darf derjenige haben, ja oder nein.
Also auch wieder ein Gewinn an Sicherheit, wenn diese Outliers vorhanden sind. Und glauben Sie mir eins, Sie werden im Unternehmen jede Menge Outliers haben, mit jedem Merge, der gemacht wird, mit jeder Umstrukturierung, die gemacht wird, mit jedem Zukauf von irgendwelchen Applikationen kommen immer wieder Outliers. Also das ist ein Begriff, der nicht nur nach oben oder nach unten geht. Das ist der Grund, warum wir hier auch hinterlegen, dass man mal sieht, was ist in den letzten 30 Tagen hierbei passiert. Also das ist also auch ein Punkt, der hilft sowas zu machen.
Ein weiterer Punkt ist die praktische Anwendung von Empfehlungen. Das heißt also, wenn man Sie mit zum Beispiel in Zertifizierung mit irgendwelchen Entscheidungen alleine lässt, also soll ich jetzt jemandem, also hier diesen Howard Bays beispielsweise, den Howard Rose, soll ich dem ein bestimmtes Recht, soll ich dem das hinzufügen, soll ich dem das genehmigen, ja oder nein? Keine Ahnung, wer ist das eigentlich, fragt vielleicht ein Manager. Kennt den man überhaupt? Ist der neu bei uns oder gibt es den schon länger?
Wenn ich überhaupt keine Ahnung habe, was ich von dem habe, muss ich natürlich irgendwas sagen können dazu. Die Maschine kann Ihnen aber durchaus aus bestimmten Verhältnissen, Sie können hier vielleicht sehen, nicht empfohlen, weil nur 8% Identitäten, die in derselben Lokation haben, diesen Zugriff oder 12% Identitäten haben, im selben Department haben, die selbe Zugriffsmöglichkeit und so weiter und so fort. Die Maschine gibt Ihnen also eine Empfehlung, ob Sie diese Berechtigung genehmigen sollen oder freigeben sollen oder ablehnen sollen.
Und ich meine, das Ziel von Zertifizierung ist natürlich Berechtigung zu bereinigen, also sehr wohl auch was wegzunehmen. Aber wie ist denn die Realität in deutschen Unternehmen? Die Realität ist in den allermeisten Fällen, dass ein Rubber-Stamping gemacht wird. Das heißt also, wo ist meine Barcode, wo kann ich sagen, wenn ich alles genehmige, habe ich meinen Job erledigt und habe nichts kaputt gemacht, weil das ging ja vorher auch. Das ist natürlich nicht zielführend. Wir haben das uns einfach mal angeschaut.
Wir sehen, dass 100% aller Behaltenempfehlungen tatsächlich korrekt sind. Also wir haben das mit Kunden von uns probiert. Es sind knapp über 90%, die bei dem Entfernen korrekt sind. Da sind natürlich Sachen dabei, wo die Maschine sagt, ich würde es empfehlen, aber derjenige braucht die Berechtigung vielleicht, weil er vielleicht der einzige ist, der für Geschäftsberichte zuständig ist. Das braucht er eben einmal im Jahr. Ob es darum ein ganzes Jahr braucht, sei mal dahingestellt, aber er braucht zumindest diese Berechtigung.
Also man kann das natürlich überschreiben, aber auf jeden Fall führt das Befolgen der Empfehlung im Grunde zu ca. 50% mehr korrekten Rechte entfernen. Und das ist tatsächlich ein Gewinn an Sicherheit. Und dann ist noch ein Punkt Rollenpflege. Wir hatten das vorhin mit dem Rollenmodell Rollenpflege. Da gibt es natürlich Folgendes sozusagen. Sie wissen selber, wie es zu der Flut von AD-Gruppen gekommen ist. Man hat eine Gruppe und dann hat man irgendwann wieder Berechtigungen. Die Sache verändert sich. Da baut man wieder eine Gruppe. Da wusste man nicht mehr, wo war die Berechtigung drin.
Ach komm, mach eine Gruppe in eine Gruppe. Dann wird genestet und so weiter und so fort.
Und naja, Sie kennen das Ergebnis alle selbst. Wir sehen momentan denselben Trend bei Rollen. Sie haben eine Rolle, da sind Berechtigungen drin. Jetzt kommen neue Berechtigungen.
Ah, ich weiß nicht genau. Ach komm, mach noch eine Rolle und dann baut man halt noch eine Rolle dazu. Und anstatt vielleicht zwischen fünf bis zehn Rollen am Benutzer zu haben, also etwas, was ein Endbenutzer noch handeln kann für sich, was er verstehen kann, haben Sie vielleicht irgendwann nach ein oder zwei Jahren 25 Rollen oder 30 Rollen. Damit ist natürlich niemandem geholfen. Das ist also genau derselbe Wildwuchs. Und wir setzen hier auch wieder KI ein, um zum Beispiel zu gucken, wer hat denn welche Rolle und wer hat denn welche Berechtigung aus einer Anwendung.
Und wenn jemand eine gleiche Rolle hat, also wenn mehrere Benutzer die gleiche Rolle haben und das gleiche Entitlement, dann macht es wahrscheinlich Sinn, dieses Entitlement in die Rolle mit reinzupacken. Denn wenn alle die gleiche Berechtigung haben, die auch diese Rolle haben, eben macht es ja vielleicht Sinn, das mit reinzunehmen. Die Maschine macht Ihnen zumindest den Vorschlag dazu. Sie sagt Ihnen allemal natürlich, wie sieht denn Ihr rechte Modell aus? Also wie viele Berechtigungen werden über Rollen vergeben und wie viele Identitäten sind tatsächlich über Rollen berechtigt?
Das können Sie ja einmal sehen. Damit können Sie sehen, wie gut Ihr Modell funktioniert. Aber die Maschine sagt Ihnen auch, also ich habe hier eine bestimmte Rolle gefunden und da gibt es ein Entitlement und ich würde vorschlagen, dieses Entitlement packst du dann noch mit rein.
Ja, also das sind so Dinge, wenn Sie das mit der Hand am Arm machen müssen, genau dasselbe in Grönen, der Sache werden Sie nicht Herr und die Maschine liefert Ihnen im Prozess jeden Tag eine qualitative Aussage, ob das Sinn macht oder nicht. Sie müssen es nicht befolgen. Sie können es aber befolgen. Es macht Ihnen das Leben auf jeden Fall einfacher. Und der letzte Punkt, den wir hatten, das war natürlich in der Lieferkette. Lieferkette sind halt in aller Regel dann externe Mitarbeiter. Wie werden externe Mitarbeiter bei Ihnen verwaltet? Das ist eine never ending story.
Ich sehe da manchmal wirklich Horror Dinge, die wirklich renommierte Unternehmen mit externen Mitarbeitern umgehen müssen oder umgehen sollen. Das ist einfach, da ist natürlich ein HR-System, ist völlig Oversize dafür. Trotzdem wird manchmal ein HR-System benutzt. Das geht mehr recht als schlecht. Oder man benutzt halt eine wahnsinnig aufgebohrte Excel-Tabelle. Da ist natürlich auch niemandem wirklich mit geholfen. Sie haben keine Kontrolle über eine Excel-Tabelle, soll sich keiner einbilden. Was man halt wirklich braucht, ist eine Verwaltung von den eben nicht internen Mitarbeitern.
Wie geht man damit um? In unserem Kundenstamm gibt es tatsächlich Unternehmen, die haben mindestens genauso viele externe Mitarbeiter wie interne. Das ist unvorstellbar. Wir reden über 4.000, 5.000 externe Mitarbeiter und sie haben dasselbe nochmal an internen Mitarbeitern. Das ist schon enorm, über was wir hier reden. Da sind natürlich Dinge dabei, dass zum Beispiel, ich sage mal, Martin Kuppinger wird es erlaubt, bei einer Firma zum Beispiel eigene Berater anzulegen, die eben für diese Firma beratend tätig werden.
Martin Kuppinger darf das machen, ist in der Lage, ist von Ihnen autorisiert, so etwas zu tun. Da wollen Sie natürlich nicht unbedingt was mit zu tun haben, aber Sie wollen das stichpunktartig überprüfen, dass ein fremder Mitarbeiter aber trotzdem Berechtigung hat, externe Mitarbeiter anzulegen und erst wenn es einen Arbeitsauftrag gibt, also eine Assignment zur Arbeit, dann muss dieser Mitarbeiter mit Berechtigung versorgt werden. Das sind Dinge, auch dazu liefern wir ein Tool. Ein On-Tool ist es. Es ist nicht in das eigentliche IGA-Modul eingebunden, aber Sie können es mit dran flanschen.
Es ist hochgradig anpassbar, weil da sind die Prozesse halt wirklich, ich sage mal, durchaus unterschiedlich. Es ist natürlich unterschiedlich, ob ich nur einen Lastwagenfahrer berechtigen muss, der halt irgendwelchen Stahl abholen soll oder ob ich halt irgendwelche, wie ich eben das Beispiel von Herrn Kuppinger genannt habe, wenn Mitarbeiter angelegt werden, die eben in einem Unternehmen tätig sind oder irgendwelche andere Szenarien.
Also das muss natürlich hochgradig anpassbar sein in Form von allen möglichen Sachen, ob das, wie Sie hier sehen, in Screenshot-Neualisationen sind oder neue Non-Human, also sogenannte Bots, die vielleicht angelegt werden sollen, der Typen. Also alles, was Sie sich vorstellen können, was eben an Identitäten erzeugt werden können müsste, was außerhalb eines HR-Systems steht, ich sage es mal so, das ist halt über dieses System machbar. Das sind die Dinge, die dort mit reinspielen.
Okay, das heißt, im Grunde genommen würde ich es dabei belassen. Weiß nicht, ob wir jetzt vielleicht eine Diskussion daraus machen können.
Sven, vielleicht kannst du einfach nochmal ein paar Worte dazu verlieren, was du denn in deiner Praxis so findest von diesen Dingen, über die wir jetzt gesprochen haben. Ich will einfach nochmal sagen, der Stichpunkt ist irgendwann im Oktober nächsten Jahres, im Prinzip sind die 21 Monate rum, die wir haben dafür. Ein Identity Management oder eine Security für eine Cyber Security unter NIST 2 Aspekten, das ist nichts, was von heute auf morgen geht.
Sie sollten so früh wie möglich damit anfangen und jeder erste Gehversuch, jedes erste Gespräch mit irgendjemandem darüber, der was davon versteht, ist ein Schritt in die richtige Richtung. Aber Sie müssen natürlich auch irgendwann nochmal eine Entscheidung treffen, wie Sie weitermachen wollen. Aber das ist nichts, was Sie auf die lange Bank schieben können.
Okay, dann werden wir jetzt offen für Fragen. Genau und das wäre jetzt so genau das Thema, wir haben eine ganze Menge Fragen hier, wir haben auch interessante Poll-Resultate hier. Gerne auch noch weitere Fragen eingeben, denn je mehr Fragen wir haben, desto besser ist das Ganze natürlich. Das gilt ja immer so ein bisschen, dass man eben einfach mit mehr Fragen dann auch ein interessanteres Q&A, eine interessantere Q&A Session hat. Ich würde mal mit einer Frage anfangen, die reinkam, weil ich die für ausgesprochen interessant halte.
Ich hatte ja in meiner Präsentation aufgelistet, welche wesentlichen Sektoren drin sind. Das habe ich in der Masse NIS2-Richtlinie. Und dann kam die berechtigte Frage, in welchem Sektor fallen Versicherungen, Versicherungsunternehmen, die im eigentlichen NIS2-Text erstmal nicht auftauchen. Und das ist, denke ich, eine ganz zentrale Frage. Es gibt neben dem NIS2-Gesetz, gibt es natürlich die aktuelle Kreditsregulierung. Mit drin. Es gibt natürlich auch eine VAIT aus der klassischen Regulatorik her.
Und es gibt im Moment im Referentenentwurfsstadium befindlichen Entwurf für das NIS2-UMSU-CG, das NIS2-Umsetzungs- und Cybersicherheitsgesetz. Das heißt, wie vorher erwähnt, gibt es ja immer eine Umsetzung im praktischen internationalen Recht. Das ist natürlich eine Erweiterung de facto der jetzigen Kreditsregulierung, die in die NIS2-Themen reingenommen werden. Zum aktuellen Stand des Referentenentwurfs hat man das Bankwesen wieder erweitert in Richtung finanzielles Versicherungswesen.
Das heißt, im Prinzip ist da zum Stand jetzt, sind die Versicherungen eben dann voll mit drin und würden dann eben typischerweise auch als wesentliche Unternehmen gelten. Referentenentwurf heißt natürlich, es können sich noch Dinge ändern, es ist noch nicht verabschiedet. Zum Stand jetzt würde ich aber einfach auch was der Historie oder was mit Blick auf die andere Regulierung davon ausgehen, dass man eben einfach gut mit dabei ist.
Ich hoffe, das beantwortet die Frage an dieser Stelle zunächst mal. Und weiß nicht, Herr Hild, ob Sie noch was dazu beitragen wollen.
Nein, also ich denke, dass es... Versicherungen waren schon immer in hochreguliertem Markt, also von da, die waren schon NIS dabei, von daher sehe ich da keine, nichts weiter zu ergänzen, das passt schon. Viele der Erfahrungen und Praxisthemen kommen durchaus auch von Versicherungen.
Ja, genau. Nächste Frage. Unser Unternehmen ist im Scope und hat bislang noch nichts umgesetzt. Was sind die Voraussetzungen für ein Assessment? Das hängt jetzt wahrscheinlich bei Ihnen, Herr Hild, und Herr Hübner ein bisschen davon ab, wie Sie den Scope und den Umfang Ihres Assessments definieren. Wer von Ihnen möchte anfangen, Herr Hild? Von mir aus gerne. Also bei uns ist natürlich der Scope ganz klar auf das Identity Management selbst, auf das IGA-System bezogen.
Und wenn man sich das auf der SailPoint-Seite anschauen möchte, dann wird das natürlich immer ein Assessment sein, was jetzt sehr stark auf Prozesse orientiert ist und wie Prozesse umgesetzt werden, wie Prozesse gehalten werden. Also wir haben das versucht, von Produkten loszulösen. Also man könnte natürlich immer irgendwo ein Produkt dahinter schreiben, gerade wenn man sich in der Branche ein bisschen auskennt. Aber wir reflektieren in diesen Antworten nicht zu sagen, ah, da musst du das Produkt nehmen oder das oder das Produkt nehmen.
Sondern es geht wirklich darum, jemandem zu vermitteln, wie weit er in seinem Prozess ist, wie er eben mit Identitäten und den überwachten Prozessen dazu umgeht. Aber es ist sehr stark auf diese Identitätssicherheit abgestellt.
Ich denke, dass eine Coogie das ein bisschen weiterfasst. Richtig. Wir versuchen letztendlich, ich habe es auch schon ein bisschen auch reingeschrieben, eine Gap-Analyse zu machen. Das heißt, wir gehen tatsächlich mit zwei Streams los. Wir gucken uns wirklich die Source-Systeme an, wir gucken uns die Target-Systeme, die wesentlichen Target-Systeme an, wie dort der Reifegrad ist bezüglich genau dieser Themen und gehen dann eben auch diesen Schritt, erste Maßnahmenkataloge zu erstellen. Das ist jetzt wirklich die technische Sicht.
Das heißt, da würde auch tatsächlich ein technischer Kollege im Wesentlichen die Aufgaben machen und parallel dazu gehen wir mit den Leuten, die stärker im Business unterwegs sind, die Prozesse, durch die genau darauf einzahlen und machen eine Prozess-Analyse. Das heißt, wir würden tatsächlich zweistufig vorgehen und das am Schluss in ein Bild versuchen zusammenzuführen. Und wie gesagt, da ist es auch egal, wie weit man schon ist. Letztendlich kann man immer an der aktuellen Situation ansetzen. Richtig. Und am Ende ist es so, was braucht es für ein Assessment?
Es braucht Zugriff auf die Stakeholder und die Budget und den Wille, es zu tun und dann hoffentlich die Bereitschaft, daraus auch die richtigen Maßnahmen zu ergreifen. Solche Assessments sind auch, das muss man immer dazusagen, letztlich keine Rocket Science im Sinne von was muss man alles beisteuern etc. Weil ich glaube, die Firmen, die Assessments machen, haben wir jetzt alle drei in unserer Erfahrung, wissen dann auch genau, welche Fragen gestellt werden müssen. Und ich denke, das ist ein sehr zentraler Punkt.
Dazu passt vielleicht auch die Frage noch, wie viel Zeit werden für Assessment und dann die Entwicklung einer Roadmap benötigt. Da das Thema Roadmap bei uns sehr stark im Fokus ist, im Prinzip kann das schon nach wenigen Wochen erste Ergebnisse zeigen. Es ist jetzt ein bisschen die Frage, wie tief man gehen soll. Aber ich glaube, man kann in drei Monaten schon ein ganz hervorragendes Ergebnis erzeugen. Das ist natürlich ein bisschen davon abhängig, wie stark auch die Mitarbeit ist. Das kennen wir alle. Viele haben keine Zeit.
Aber wenn man wirklich konzentriert Workshops mit den Kollegen machen kann und das auch organisieren und dann am Schluss zusammenfassen kann und sich so eine Roadmap erstellen kann, denke ich, ist man nach drei Monaten schon ziemlich weit. Richtig. Der Covid-Ansatz bei uns mit diesem Maturity Assessment, das dauert im Prinzip nur ein paar Minuten. Das sind Sachen, die kann man so aus dem Kopf beantworten.
Da braucht man kein tieferes Wissen, sondern man kann das wirklich ganz, ganz subjektiv aus seiner Brille beantworten und sieht dann halt eben, wo man mit dieser Sicht auf die Dinge, wo man halt eben in dieser Maturity steht. Also das ist einfach ein Anfang, um vielleicht mal irgendwo zu wissen, wo fange ich überhaupt an zu sprechen. Jetzt habe ich ja nochmal eine Frage, die ich vielleicht selber aufgreife, weil sie doch wieder sehr stark in die Regulatorik reingeht. Und nagelt sie mich nicht darauf fest, auf die Antwort. Das ist nach bestem Wissen und Gewissen.
Aber ich glaube, die Richtung ist zu stimmen. Die Frage lautet, was fordert MIST 2 denn mehr als BAIT oder VAIT in Sachen IAM? Ich würde gerne noch eine weitere Regulierung reinbringen. An der Stelle dieses DORA, also der Digital Operations Resiliency Act, der ja auch noch mit reinspielt in dieses Thema, dann entsprechend reflektiert wird, wo wir ja so ein paar Dinge dazu haben, noch wie bei Österreich eben nicht mehr nur Zugriff, sondern auch Zugang oder Zutritt kontrollen. Das heißt, wir auch solche Themen entsprechend einbinden. Das kommt noch ein Stück weit dazu.
Das findet sich auch wieder auf der MIST 2 Seite. Grundsätzlich gilt aber, wenn ich auf die reine IAM Seite schaue, dann ist der Schritt von einer soliden, starken Erfüllung einer BAIT-VAIT zu einer Erfüllung von DORA und MIST 2 zwar in Teilbereichen nochmal deutlich, also auch, wie gesagt, gerade mit dem etwas groben Erweiterung eben in Richtung auch physische Zugänge etc., die dann eben auch mit in die Governance-Prozesse müssen. Aber der Hauptaufwand, die liegt sicherlich dann eher in den generellen Cybersecurity-Prozessen.
Da kommt schon einiges, da ist einiges gefordert, einiges definiert. Man hat aber natürlich, und das gilt ja auch ganz grundsätzlich als Unternehmen, dass eben einer starken Regulierung ohnehin unterliegt, hat man natürlich immer, ich sage mal, einen Startvorteil. Also das ist einfach der Vorteil, dass es, glaube ich, da leichter ist, wie wenn ich jetzt ein Unternehmen bin, das eben bisher eigentlich vergleichsweise wenig in diesem Bereich Erfüllung regulatorischer Anforderungen machen musste.
Also ich würde es so unterschreiben, dass ich denke mal, der wesentliche Unterschied ist tatsächlich, dass die Sachen auch deutlicher beschrieben sind. Das ist halt ein Punkt.
Man merkt, dass auch die Menschen, die NIST 2 geschrieben haben, eben auch gelernt haben und genauer geworden sind. So ist zum Beispiel explizit die Lieferkette genannt worden, was vorher nicht so sehr gemacht war. Da hat man immer nur über Identitäten allgemein gesprochen. Jetzt hat man die Lieferkette bewusst gemacht, weil eben ein Großteil der Angriffe, die heute passieren, passieren tatsächlich über Third-Party-Accounts, die eben verwaist irgendwo rumstehen und dann tatsächlich den Hackern Tür und Tor öffnen, um da eben weiterzumachen. Das wollte man damit explizit unterbinden.
Also es ist eher präziser geworden, als dass die Funktionalität erweitert worden wäre. Ich würde jetzt an der Stelle gerne noch meinen Blick aufwerfen auf die Pols, auf die beiden. Wir haben noch wenige Minuten Zeit. Die erste Umfrage hat sich damit beschäftigt, wo steht man mit den Maßnahmen? Und ich denke, das ist schon recht deutlich, dass es einfach ein sehr signifikanter Anteil ist, der im Moment eigentlich keinerheitsfertig ist. Die meisten, 92 Prozent, liegen irgendwo zwischen – ich bin nicht betroffen, das war nur in der zweiten Polse – in sehr wenigen.
Und eben, ich bin noch in der Planung. Das heißt, ein wirklich im Sinne laufendes Projekt. Ich bin wirklich dran, mich damit zu beschäftigen. Das sind in dem Moment 8 Prozent. Das ist nicht viel. Und die Uhr tickt. Das ist der eine Punkt. Vielleicht können wir gleich noch einen Blick werfen auf die zweite Pol an dieser Stelle. Die zweite Umfrage, die hat auch aus meiner Sicht ein ganz interessantes Bild ergeben. Nämlich Betroffenheit. Und wir haben einerseits jetzt hier, und die Beteiligung war hier sehr gut, doch ungefähr 60 Prozent, die sagen, ja, wir wissen, dass wir betroffen sind.
Es gibt wenige hier, die nicht betroffen sind. Es gibt aber doch auch noch fast ein Drittel, die eben noch in dieser Unklarheit sind. Und ich glaube, es ist sehr wichtig, wirklich für jedes Unternehmen im Moment, einfach erstmal die Klarheit herbeizuführen. Und das kann sich, wie gesagt, ändern. Das Umsetzungsgesetz ist ja noch in der Mache. Aber die Klarheit herbeizuführen, bin ich betroffen, bin ich höchstwahrscheinlich betroffen, und sich vorzubereiten.
Ich meine, am Ende des Tages, wenn man an IS-2 arbeitet, man kann eigentlich nichts falsch machen, wenn man einfach nur seine Cyber-Resilience erhöht. Das heißt, dass es selbst, wenn man nachher gerade so eben rausfällt, dann hat man trotzdem das Richtige gemacht.
Ja, genau. Okay, dann schließen wir die Polls mal wieder. Und wir würden einfach noch zum Abschluss der Q&A-Session, können wir vielleicht noch eine Frage aufgreifen. Ich schaue gerade mal an dieser Stelle.
Ja, die Frage, glaube ich, ist aber ganz gut. Auch müssen für die Qualifizierung respektive, bin ich, falle ich unter die Richtlinie, sowohl Größe als auch Sektor erfüllt sein? Man kann sich das als eine Matrix vorstellen. Das heißt, wenn ich in eine der Größen reinfalle, bin ich dabei. Und wenn ich in ein Sektor reinfalle, bin ich dabei. Die Frage ist nur, falle ich unter die sozusagen verschärften wesentlich, oder unter die etwas weniger scharfen, aber durchaus sehr relevanten, wichtigen Unternehmen? Ergänzung von Ihrer Seite noch?
Ne, passt aus meiner Sicht. Also eigentlich trifft es jeder, jeder müsste was tun.
Na, denn die Management ist immer eine gute Basis, um seine Berechtigung im Griff zu haben. Und ich glaube, dass halt, wie gesagt, es sind zehnmal mehr Unternehmen, die in diese 9x2-Regularierung mit reinfallen. Das ist schon eine ganze Menge. Es würde mich wundern, wenn jemand wirklich sagt, ach ne, für mich trifft das nicht. Das sind meistens schon relativ kleine Unternehmen.
Ja, oder es gibt ein paar Branchen natürlich, die schon im Prinzip nicht unmittelbar betroffen sind. Aber wie gesagt, wir haben ja oft gerade auch das gesamte Supply-Chain-Thema, beispielsweise eine gewisse Mittelbarkeit, die eben dazu führt, dass man selbst, wenn man nicht unter die Regulierung fällt, am Ende trotzdem sich daran orientieren muss. Ja.
Gut, dann wären wir, jetzt ist es, glaube ich, mein Bildschirm teilen, hat sich verabschiedet gehabt. Dann teile ich mein Bildschirm nochmal. Und eigentlich vor allem, also es gibt viel Research, der sich in unterschiedlichen Bereichen damit beschäftigt. Das andere, worauf ich raus möchte, ist einfach, dass ich Ihnen allen Danke sage. Danke an die Herren Hübner und Hild. Danke an alle Teilnehmer, auch für die rege Beteiligung bei den Polls, die war heute herausragend. Danke an SailPoint für die Unterstützung des Gruppen-Call-Webinars.
Hoffentlich haben wir Sie bald wieder bei einem unserer Webinare oder einem unserer Events. Und zögern Sie nicht, auf jeden von uns zuzukommen, wenn Sie weitere Fragen und Informationsbedarf haben. Besten Dank. Besten Dank. Vielen Dank.
