Es wird eine spannende Diskussion auf dem Confare CIOSUMMIT 2020 am 2. September: Wie gehen wir in Zukunft mit digitalen Identitäten, Authentifizierung und Passwörtern um, und welche Auswirkungen hat das auf die IT Sicherheit im Unternehmen. Gerald Beuchelt, Chief Information Security Officer bei LogMeIn wird nicht nur seinen eigenen Erfahrungsbericht dazu teilen, sondern auch handfeste Praxistipps teilen.
LogMeIn ist mit LastPass der führende Anbieter von Passwort- und Identitymanagement. Im Vorfeld des wichtigsten IT-Treffpunkts in Österreich haben wir Gerald nach den wichtigsten Trends im Markt gefragt.
Confare CIO Summit 2020
Österreichs größtes IT-Management Forum
Hier treffen sich mehr als 450 IT-Manager, gesamt etwa 600 Branchenprofis der österreichischen IT-Branche unter dem Motto The Decade of the CIO – JETZT.ALLES.ANDERS
*Für CIOs und IT-Manager ist die Teilnahme mit keinen Kosten verbunden
Welche Rolle spielen Passwörter für die Sicherheit im Unternehmen tatsächlich?
Laut Verizons Data Breach Investigations Report, einem Bericht zum Thema Datenlecks, werden 80 Prozent aller Sicherheitsverletzungen nach wie vor von schwachen oder wiederverwendeten Passwörtern verursacht oder möglich gemacht. Die Frage bleibt also: Wann werden Konsumenten und Endbenutzer ihre Passwortgewohnheiten verbessern?
Was sind aus der Sicht des CISOs die wichtigsten Trends, die uns in Bezug auf Identitymanagement in den nächsten Jahren befassen werden?
Weniger Passwörter: Der Druck von Konsumenten und Technologieunternehmen, auf Systeme mit weniger Passwörtern umzusteigen, nimmt zu. In den nächsten Jahren werden sich immer mehr passwortlose Authentifizierungsmethoden für Endbenutzer durchsetzen (z. B. FIDO). Technologien wie Single Sign-On (SSO) können Benutzern die Anmeldung erleichtern bzw. durch Multifaktor-Authentifizierung (MFA) sicherer machen, ohne dass sie sich Passwörter merken müssen.
Biometrie: Auch der Trend zur Authentifizierung mit biometrischen Daten wird den Nutzerkomfort erhöhen. Wesentlich mehr und bessere Sensoren in den Geräten der Endbenutzer/Konsumenten werden die Nutzung dieser informationsreichen biometrischen Daten möglich machen (Iris-Erkennung, Körperhaltung usw.).
Maschinelles Lernen: Hochentwickelte Modelle für das maschinelle Lernen werden die zu verwendende Authentifizierungsmethode je nach Kontext besser ermitteln können und so den Authentifizierungsvorgang verbessern (Geofencing, biometrische Sensoren in Geräten). Einige dieser Modelle und Technologien sind bereits verfügbar. Moderne MFA-Lösungen unterstützen beispielsweise das GPS-basierte Geofencing. Darüber hinaus werden in den nächsten Jahren fortschrittliche Sensoren in Mobilgeräten nutzbar werden.
Der Schlüssel zur Umsetzung liegt in den Geräten und Instrumenten, die im Hintergrund eingesetzt werden: Maschinen müssen lernen, normales von abnormalem Verhalten zu unterscheiden – und das braucht Zeit.
Wie wird sich die Passwort Sicherheit in den nächsten Jahren weiterentwickeln?
Diese Frage unterteilt sich in zwei Hauptaspekte: 1. Wann können wir Sicherheitsverletzungen so weit verhindern, dass weniger Passwörter offengelegt werden? 2. Wann werden die User bessere und stärkere Passwörter verwenden?
Bei der Minimierung von Datenlecks haben Unternehmen einen weiten Weg vor sich: Sie müssen gute Sicherheitspraktiken wie die sichere Entwicklung über einen schillernden Funktionsumfang stellen. Die Wahrscheinlichkeit wächst, dass unsichere Dienste im Laufe der Zeit aufgrund des schwindenden Vertrauens von Kunden scheitern. Dieser Prozess hat bereits begonnen (z. B. mit den Untersuchungen der Datenlecks bei Facebook), aber es wird noch einige Zeit dauern, bis Unternehmen die Gefahr von Sicherheitsverletzungen zu ihren obersten Prioritäten zählen.
Im Hinblick auf bessere Passwörter hängt alles vom Bewusstsein der Konsumenten ab. Dazu kommen neuere Authentifizierungstechnologien, die passwortbasierte Systeme nach und nach ersetzen und dieses Problem zumindest teilweise lösen könnten. Unternehmen, die mit sensiblen Daten zu tun haben (Finanztechnologie, Gesundheitswesen usw.), müssen jedoch komplexere Passwortrichtlinien einführen, um das Risiko zu senken.
Was sind aus Ihrer Sicht die größten Herausforderungen/Trends bei der Identitäts- und Zugriffsverwaltung 2020?
Abhängig von ihrer Größe und ihrem Sektor werden Unternehmen unterschiedlichen Herausforderungen gegenüberstehen. Sie haben jedoch eines gemeinsam: Sie müssen das Bewusstsein von Mitarbeitern, Auftragnehmern und Kunden für die Sicherheit schärfen. Ohne die Unterstützung aller Benutzer können technologische Maßnahmen nicht ihre volle Wirkung erzielen.
Haben Sie hierzu praktische Tipps für die Leser, um das Sicherheitsbewusstsein zu schärfen?
Für den Erfolg von Sicherheitsmaßnahmen ist die Kommunikation in alle Richtungen von größter Bedeutung, d. h. Botschaften müssen von oben nach unten, von unten nach oben und auf derselben Ebene verbreitet werden. Mitarbeiter sollen sehen, dass Best Practices für die Sicherheit von Vorgesetzten, Kollegen, der Geschäftsführung und mehr unterstützt werden. Und ja, es stimmt: Die Sicherheit liegt in unser aller Verantwortung.
Nicht jeder lernt gleich – manche von uns finden visuelle Guides oder schriftliche Anleitungen hilfreicher, während andere praktische Schulungen bevorzugen. Der Inhalt kann außerdem je nach Zielpublikum variieren. Manchmal sollte es humorvoller sein, manchmal ernster, und manchmal ist historischer Kontext angebracht. In jedem Fall ist aber eine einheitliche Kommunikation der Schlüssel zur erfolgreichen Bewusstseinsbildung.
In unserem Unternehmen konzentrieren wir uns unter anderem darauf, unsere Sicherheitsschulungen und -materialien über verschiedene Kanäle anzubieten. Darüber hinaus beziehen wir die Mitarbeiter ein – sei es bei der Erstellung von Videos oder in Form von Wettbewerben –, was ihr Interesse und ihre Begeisterung für die Sache steigert.
Welche operativen Herausforderungen sehen Sie für regulierte Bereiche der Wirtschaft?
In stark regulierten Wirtschaftsbereichen wie der Finanzwelt oder dem Gesundheitswesen wird es entscheidend sein, Richtlinien für BYOD (d. h. die Nutzung eigener Geräte oder Apps am Arbeitsplatz) und ähnlich komplexe Compliancethemen zu definieren und konsequent umzusetzen, ohne die Produktivität der Mitarbeiter oder die Sicherheitsdaten zu schmälern. Eine klare Trennung zwischen Firmen und Privaten Systemen, aber auch Onlinediensten oder sogar die Identität von Benutzern (z.B. Twitter Account) ist oft nicht mehr möglich. Gerade hier muss die Firma Angestellten mit Hilfe von Sicherheitsschulungen das richtige Sicherheitsbewusstsein auch für private Onlinenutzung schaffen. Konkret heißt dies auch, dass für Mitarbeiter die „Bring Your Own Identity“ Anforderungen haben solide Enterprise Tools zum Account Management zur Verfügung stehen.
Confare CIO Summit 2020
Österreichs größtes IT-Management Forum
Use Cases, Insights, Meet-Ups, Chats & Austausch auf Augenhöhe.
Workshops zu Topics wie Agiles Management, Cybersecurity, Leadership, AI Innovation, Fehlerkultur und IT & OT mit voestalpine, Red Bull, STEYR Arms, Porsche Informatik, Stadt Wien uvm.
*Für CIOs und IT-Manager ist die Teilnahme mit keinen Kosten verbunden