Cybersicherheit wurde für mich an dem Tag real, als der Laptop meines Kollegen von seinem Schreibtisch verschwand. Wir arbeiteten bei einem Verteidigungsunternehmen, und er hatte einen Regierungsbericht über Cyberbedrohungen heruntergeladen. Allerdings ahnte er nicht, dass dieser mit einer Hintertür versehen war. Als er von einer Reise zurückkehrte, war sein Rechner – zusammen mit der einzigen Kopie seiner Masterarbeit – verschwunden, beschlagnahmt von unserem Sicherheitsteam. Das war der Moment, in dem die Bedrohungslandschaft von einem abstrakten Konzept zu einer greifbaren Realität wurde. Durch diese entscheidende Lektion wurde das Abstrakte greifbar: Die Frontlinie der Cyberspionage verlief direkt durch den benachbarten Schreibtisch.
Das war damals, dies ist heute
Seitdem hat diese Erfahrung meine Sichtweise geprägt. Heute hat sich die Frontlinie von einem einzigen Schreibtisch auf jedes Homeoffice, jedes Café und jede Flughafenlounge auf der ganzen Welt ausgedehnt. Die konventionelle, stationäre Umgebung hat sich aufgelöst und ist durch ein fließendes, grenzenloses Ökosystem aus Cloud-Anwendungen, Drittanbietern und verteilten Mitarbeitern überflüssig geworden.
Diese neue Realität stellt Führungskräfte vor eine große Herausforderung. Wenn die Mauern weg sind, wo beginnt dann die Sicherheit? Die Antwort? Bei der Identität. Ohne eine klare Abgrenzung ist die Identität eines Benutzers die einzige konstante, einheitliche Kontrollebene, die jede Zugriffsanfrage durchlaufen muss. Sie ist zum Kernstück jeder modernen Sicherheitsstrategie für Unternehmen geworden.
Identität ist das primäre Ziel
Dieser Wandel ist den Bedrohungsakteuren nicht entgangen. Als die Mitarbeiter mit der Remote-Arbeit begannen, passten Bedrohungsakteure ihre Taktik entsprechend an. Sie erkannten ihre neue Chance sehr deutlich: Die Benutzer waren zu Hause, oft in weniger sicheren Netzwerken, und ihre Identität war das schwächste Glied. Infolgedessen wurde Identität zum am häufigsten angegriffenen Vektor. Der Diebstahl von Anmeldedaten und ausgeklügeltes Phishing haben sich von Randerscheinungen zu zentralen Taktiken moderner Angreifer entwickelt.
Sicherheitsteams können nicht mehr einfach den Zugang von nicht genehmigten Standorten blockieren, wenn legitime Arbeit überall stattfindet. Wenn ein Cyberkrimineller legitime Anmeldedaten stiehlt, erhält er ohne große Schwierigkeiten ungehinderten Zugang zu wichtigen Ressourcen. Dies ist ein Szenario, das CIOs und CISOs den Schlaf raubt. Jemand hat mir einmal erklärt, dass Phishing die ultimative Bedrohung darstellt, da alle anderen Sicherheitskontrollen – Netzwerk, Endpunkt und Cloud – irrelevant werden, wenn ein Angreifer die Schlüssel zum Königreich erlangt. Sie können einfach durch die Eingangstür kommen.
Sicherheit im Dienste des Benutzers
Um dieser Realität zu begegnen, müssen wir unsere Verteidigungsmaßnahmen mit der Geschwindigkeit des Gegners weiterentwickeln. Vor ein paar Jahren war die gängige Meinung, dass die Bereitstellung einer beliebigen Form von Multifaktor-Authentifizierung (MFA) das Problem lösen würde.1 In einer Studie aus dem Jahr 2019 wird behauptet, dass MFA 99 % der Phishing-Versuche verhindern kann. Doch in der schnelllebigen Welt der Cybersicherheit ist dieser Ratschlag inzwischen gefährlich veraltet. Heute wissen wir, dass die herkömmliche Push- und SMS-basierte MFA völlig unzureichend ist, da die Angreifer ausgefeilte Techniken entwickelt haben, um sie zu umgehen.
MFA bleibt zwar eine wichtige Sicherheitsebene, aber wir müssen uns jetzt auf die Qualität und das Sicherheitsniveau unserer Authentifizierungsmethoden konzentrieren. Bei Okta haben wir unsere Strategie auf einen modernen Ansatz ausgerichtet, der intelligenter und vor allem nahtloser ist. Zum ersten Mal in meiner beruflichen Laufbahn kann ich mit Zuversicht sagen, dass wir die Sicherheitsstandards deutlich erhöhen und gleichzeitig die Benutzererfahrung verbessern können. Der Schlüssel liegt darin, sich von umständlichen, komplizierten Authentifizierungsmethoden zu verabschieden und stattdessen auf phishingresistente biometrische Technologien zu setzen, die die Menschen bereits täglich nutzen.
Was viele nicht wissen, ist, dass eine einfache Gesichtserkennung oder Berührungserkennung bereits eine Multifaktor-Authentifizierung darstellt. Sie kombiniert etwas, das Sie sind (Ihre biometrischen Daten) mit etwas, das Sie haben (Ihr registriertes Gerät), und bietet ein hohes Maß an Vertrauen in einer einzigen, reibungslosen Aktion. Ziel ist es, eine Erfahrung zu schaffen, bei der sich die Sicherheitsüberprüfung eher wie das Drücken der Enter-Taste anfühlt – man macht es einfach, und schon ist man drin.
Erweiterung der Benutzersicherheit auf das Unternehmen
Für Unternehmen können wir dies sogar noch weiter ausbauen. Neben der gegen Phishing gesicherten Authentifizierung können wir umfangreiche kontextbezogene Signale vom Gerät selbst erfassen und Fragen wie diese stellen: Handelt es sich um ein verwaltetes Gerät? Verfügt es über die richtigen Sicherheitsvorkehrungen? Ist es in unsere XDR-Lösung integriert? Auf dieser Grundlage können wir ein vollständiges Bild des Risikos erstellen und hinter den Kulissen intelligentere Entscheidungen hinsichtlich der Zugriffsrechte treffen. Dies ist die Philosophie, die hinter unserer Arbeit bei Okta steht: eine sichere, kennwortlose Authentifizierung bereitzustellen, die einen tiefgreifenden kulturellen Gewinn darstellt und Sicherheit von einem Hindernis zu einem Wegbereiter macht.
Möchten Sie mehr zu diesem Thema erfahren? Hören Sie sich das vollständige, ungekürzte Gespräch mit Jamie im Threat Vector Podcast an.
1„One simple action you can take to prevent 99.9 percent of attacks on your accounts“, Microsoft Security, 20. August 2019.
