Spotlight beleuchtet die smarten Lösungen bei der Authentifizierung
Episode zum Anschauen
Episode zum Anhören
In der ersten Folge unseres neuen Formats Spotlight sprechen Sandra Aengenheyster und Markus Hertlein (Geschäftsführer der XignSys GmbH) über die großen Herausforderungen und smarten Lösungen rund um sichere Zugänge, Passwortmanagement und digitale Identitäten. Was heißt eigentlich passwortlose Authentifizierung – und wie sieht ein IT-Sicherheitskonzept aus, das wirklich alltagstauglich ist? Markus Hertlein erklärt, wie Unternehmen, Kommunen und Versorger ihre Systeme nicht nur sicherer, sondern auch effizienter machen können: durch eine zentrale, intelligente Steuerung aller Authentifizierungsprozesse.
Markus Herlein (XignSys GmbH)
Markus Hertlein, Mitbegründer und CEO der XignSys GmbH, ist ein anerkannter Experte im Bereich der IT-Sicherheit und passwortlosen Authentifizierung. Seine Expertise basiert auf einer fundierten akademischen und beruflichen Laufbahn, die sich durch zahlreiche Publikationen und Forschungsarbeiten in diesem Fachgebiet auszeichnet. Hertlein hat maßgeblich zur Entwicklung innovativer Sicherheitslösungen beigetragen, insbesondere im Kontext von stark regulierten Märkten, wie e-Government, Smart City und digitalen Identitäten. Seine Arbeiten zeichnen sich durch einen Schwerpunkt auf Authentifizierungstechnologien aus. Als geschäftsführender Gesellschafter der XignSys hat er wesentlich zur Entwicklung von Xign.Me beigetragen, einem System, das multifaktorielle Authentifizierung bietet und dabei auf Passwörter verzichtet und als erste passwortlose Lösung auf dem substanziellen Vertrauensniveau durch das BSI bewertet wurde. Hertleins Engagement in der Forschung und Entwicklung im Bereich der IT-Sicherheit hat ihn zu einem gefragten Interviewpartner und Sprecher und Experten auf internationalen Konferenzen gemacht.
Willkommen zum Spotlight IT Sicherheit. Wir erklären IT Sicherheitslösungen leicht verständlich und praxisnah. Ich bin Sandra Ahnheister, Kommunikatorin für Cybersicherheit und IT. So in unserem allerersten IT Spotlight begrüße ich auch ganz herzlich meinen ersten Gast Markus Hertlein, Geschäftsführer der Cynsuc CNNys GmbH. Hallo Markus, schön, dass Du da bist.
Ja, Genau, ich hab eine gleich meine erste Frage. Könntest Du uns vielleicht bitte in 3 Sätzen einen Überblick über die Xincy’s GmbH geben? Also was ist die Vision deines Unternehmens?
Also Xincy’s ist ein, wo circa 10 Jahre altes IT Sicherheitsunternehmen und wir sind immer mit der Thematik gestartet, digitale Identitäten und Zugänge zu allen möglichen Arten, sei es im Internet, sei es physische Zugänge, sei es Software, einfach und extrem sicher zu machen.
Was heißt das jetzt konkret in Produkten? Also was was bietet ihr für Produkte und Lösungen an? Und wie unterscheiden die sich denn vielleicht von herkömmlichen Sicherheitslösungen?
Wir bieten auf der einen Seite bieten wir Authentikationsprodukte an. Also man kennt’s inzwischen heutzutage, beispielsweise für 2 Faktor Authentikation oder auch für passwortlose Authentifizierung, bei dem man sich dann dementsprechend, wie der Name schon sagt, ganz ohne Passwörter anmelden kann. Auf der anderen Seite bieten wir aber auch Identity- und Access Management Systeme an, beispielsweise in Unternehmen oder Kommunen oder vielen Versorgern, beispielsweise ob wir Stadtwerken zusammen, die Zugänge alle zu vereinheitlichen, sowohl für Mitarbeiter als auch für Kunden und diese auch verwaltbar zu machen.
Nee, genau, das sind wir nicht. Also da unterscheiden wir uns an der ersten Stelle schon, sondern wir bieten eine Plattform, die sich, ich nenn’s mal mal wie eine Spinne im Netz, aber positiv ausgedrückt,
In ein Unternehmensnetzwerk integrieren lässt, an alle möglichen Applikationen angebunden werden kann und dann über Sicherheitsprotokolle mit starker Verschlüsselung, mit elektronischen Signaturen Sicherheit gewährleistet und so die Authentifizierung einfach möglich macht.
Das heißt, wenn ich jetzt eine Unternehmen besitze oder in einem Unternehmen für die Authentifizierung und so weiter sorgen möchte und verantwortlich bin, dann habe ich unter Umständen schon verschiedene Lösungen, die bereitstehen. Also ich benutze für einiges schon eine Multi- oder Zweitfaktor Authentifizierung. Für andere Lösungen, vielleicht für andere Zugänge noch immer simpel Passwort und Username und Passwort. Vielleicht habe ich auch sogar biometrische Lösungen in irgendwie, weiß ich nicht, Zugang zu zum Beispiel irgend ‘nem Produktionsbereich oder so was. Und klein ist, also euer Produkt, sie liegt sozusagen dadrüber und nutzt alle diese Technologien vereinheitlicht, sodass über eure Softwarelösung die Systeme einheitlich gesteuert werden können.
Ganz genau so sieht es aus, dass man die Sachen, die man verwendet, wiederverwenden kann, aber alles zentral an 1 Stelle managen kann, konfigurieren kann und pflegen kann, sodass man nicht in jede Softwarelösung einzeln noch mal seine Nutzeraccounts hinterlegen muss, noch mal hinterlegen muss, mit welchem Sicherheitsniveau oder auf welchem Sicherheitslevel die sich denn anmelden müssen. Brauchen die haben die Benutzern einmal Passwort mit 8 Stellen oder mit 12 Stellen oder haben sie noch mal ‘n zweiten Faktor, den sie nutzen müssen, sondern das kann man alles ganz zentral pro Dienst und Nutzer dann konfigurieren.
Das bedeutet aber auch, dass, wenn ich euch einlade, meine Lösung für mich eine Lösung anzubieten, dann müsst ihr euch alle diese vorhandenen Systeme anschauen und schauen, wie der Zugang dort geregelt ist. Und muss ich diese Transparenz schon haben? Also muss ich mit euch zu euch mit 1 fertigen Liste kommen oder übernehmt ihr das und scannt zum Beispiel vielleicht, welche Lösungen unter Umständen schon vorhanden sind? Also wie wie wird diese Transparenz hergestellt? Über die Genau.
Das hilft den Unternehmen meistens, und nicht nur meistens immer, wenn wir reinkommen, weil man erhält dann mit uns zusammen eine Übersicht. Das ist immer so der Beratungsanteil, den wir mit dabeihaben. Wenn wir ‘n Projekt haben, dann setzen wir uns mit den Geschäftsführern, IT verantwortlichen, Administratoren, je nachdem, wie groß das Unternehmen ist, zusammen. Und genau wie das beschrieben, was kennen die Landschaft einmal heißt. Wir gucken uns an, welche Softwarelösungen sind im Einsatz, machen darüber tatsächlich mal ja so was wie eine Inventur am Ende des Tages.
Gucken uns dann auch an, wie melden sich die Nutzer dort an? Gibt es doppelte Nutzer und oder wie sind die Rollen und Rechte auch verwaltet und unterstützen dann bei dabei auch mal eine Übersicht zu bekommen, eine Transparenz zu bekommen. Und schon allein alleine der erste Schritt, also schon alleine den Beratungsschritt, bevor die Software überhaupt eingeführt ist, führt zu Klarheit, Transparent, Kostenreduzierung und am Ende des Tages auch schon zu mehr Sicherheit.
Bedeutet das auch, dass ich sone Art erweitertes Usermanagement mit euch dann bekomme? Also Du sagst ja grade, wenn Redundante oder vielleicht User vorhanden sind, die nicht mehr verwendet werden, die kann ich dann bei der Gelegenheit auch gleich bereinigen?
Genau, die kannst Du direkt bereinigen. Man sieht erst mal, dass man das Ganze hat. Und auch zukünftig, wenn wenn beispielsweise der, in meiner klassischen Fall ist der Azubi, wenn der Azubi oder die Azubine anfängt in ‘nem Unternehmen, beginnt in der einen Abteilung, wandert in die nächste Abteilung, wandert in die nächste Abteilung, ist es ganz häufig, dass die immer mehr Rechte bekommt im Kontext von IT Systemen, aber nie welche entzogen bekommt. Und dann hat’s kann sie auf mehr Systeme zugreifen, als die Geschäftsführung oder der IT Administrator selbst.
Ja, das kann passieren, das stimmt. Was ist denn, wenn, also Tennis scannen ist immer sone ist immer son schwieriges Wort, dann bedeutet das auch, dass zum Beispiel Zugangsmöglichkeiten, ich weiß nicht, zu irgendeinem Social Media Account vielleicht was eher harmloses mal, dessen ich mich mir nicht bewusst bin oder dessen sich die IT Abteilung nicht bewusst ist, dass das über diese diesen Scan auch gefunden wird?
Gerade grade bei den ganzen Themen Social Media Accounts, da muss man immer ‘n bisschen vorsichtig sein, einige Sachen funktionieren anzubinden, andere Sachen funktionieren dort nicht anzubinden. Das hängt immer ‘n bisschen davon ab, wie die amerikanischen Herstellern agieren. Also das kann man leider nicht pauschalisieren, aber auch da unterstützen wir tatsächlich auf den ganz logischen Ebene. Also wir bringen auch Listen mit und fragen auch einfach mal nach, was denn im Unternehmen vorhanden ist.
Verstehe. Ja, also die Transparenz zu bekommen, ist natürlich schon mal ein richtig guter Schritt, ne. Also da eine Übersicht zu haben, wer loggt sich wie, wann, wo ein? Das sind nicht vielleicht nicht wann, aber welche Log ins durch Authentifizierungsmöglichkeiten gibt es, das ist natürlich schon ein erheblicher Mehrwert an sich.
Natürlich, genau. Man sagt auch in dem Kontext, also grade bei bei bei Login Systemen, typischerweise grade, wenn’s benutzernde Passwortsysteme sind, die sehr häufig gestohlen werden, in der IT Lichtsicherheit sagt man, der Angreifer ergreift das System nicht an aus Sicht des Systems, sondern er loggt sich einfach ein. Das macht das halt gefährlich, ne. Und deshalb braucht man so Prämittivmaßnahmen transparent und auch Systeme, die genau davor schützen, dass sich jemand einfach einloggen kann, darf oder kann, obwohl er’s eigentlich nicht sollte.
Ja. Also wir haben jetzt grade so Begriffe, es ist ja unser Ziel, auch hier ein bisschen aufzuklären und Lösungen zu erklären. Deswegen meine Frage, Begriffe wie so passwortlose Authentifizierung und Multi Faktor Authentifizierung haben, die sind jetzt schon gefallen. Magst Du vielleicht für alle, die noch nicht ganz genau wissen, was es bedeutet, einmal erklären, was das ist, worüber wir da eigentlich reden und warum das so wichtig ist für IT Sicherheit?
Ja, sehr gerne. Pass also man passwortlose Authentikation oder Authentifizierung ist halt dementsprechend genau das Gegenteil von Passwortauthentikation. Passwortauthentikation ist ja das, was wir alle tagtäglich Hunderte Male am Tag nutzen, an Webseiten anmelden, an Quartalen anmelden und, und, und. Bei der Passwortauthentikation nutzt man Authentikationssysteme, die in der Lage sind, eine Anmeldung über kryptografische Schlüssel zu machen, über Biometrie zu machen, über über Sicherheitstoken zu machen und dementsprechend keine Passwörter mehr braucht. Das heißt, der Faktor Mensch, und das ist wirklich viel IT Sicherheit, der Faktor Mensch kann aus der Angriffskette rausgenommen werden, ne.
Weil Passwörter werden ganz, ganz häufig wiederverwendet, werden in Angriffen gestohlen von Angreifern, können dann wieder für andere Logins genutzt werden, sind sehr schwer zu behandeln am Ende des Tages. Genau, und deshalb ist ‘n passwortloser Login, bringt schon mal eine extrem hohe Sicherheit mit und da werden wir genau diese Angriff stellen oder diese Schwachstellen. Das heißt, wenn ich mich anmelden möchte an einem System, hab ich mehr als einen Faktor, der mich identifiziert. Was ist ein Faktor? ‘N Faktor kann ‘n wissensbalierter Faktor sein, das ist der, das ist das Passwort, PIN oder auch einen einen Merksatz beispielsweise, wie wir’s ja zum Passwortrücksetzen hin und wieder mal haben.
Dann haben wir den Faktor Besitz. Das kann ein Sicherheitstoken sein, heute ganz modern, Juwi Key als kleinen USB Token, aber auch das Smartphone mit Smartphone App beispielsweise. Dort werden die Sicherheitstechnologie auf dem Smartphone verwendet, weil die ist inzwischen auch extrem stark ausgereift, womit wir dann sicherlich das System hinbekommen. Und die der die dritte Klasse von Faktoren ist halt die Inherenz, also das Wein, ich persönlich, ne, und besser bekannt unter Biobetrieb. Genau und eine Multi Faktoraut, ganz genau.
Und die Multifaktor Authentikation kombiniert mindestens 2 dieser Faktoren. Und wo wir das täglich im Einsatz haben, wirklich täglich im Einsatz haben und auch daher ganz prominent ist, ist einfach unsere Girokarte, unsere EC Karte oder unser Onlinebanking. Dort ist typischerweise so, dass wir am Geldautomaten sind und mit der Karte den Besitzfaktor haben und mit der PIN den Wissensfaktor haben. Da haben wir schon mal eine 2 Faktor Authentikation, das Geld abzuholen. Wenn ich im Onlinebanking, zum Beispiel aber zur Transaktionsbestätigung dann noch mal beispielsweise eine Pushnachricht auf mein Telefon, was dann der zweite Faktor ist.
Genau, und dem Unternehmen hat man ganz häufig einmal Passwörter, Apps, die genutzt werden, die auch den zweiten zweiten zweiten Faktor darstellen. Das heißt, ich hab ‘n Login mit benutzern Passwort im Vorfeld und im zweiten Faktor darstellen. Das heißt, ich hab ‘n Login mit benutzern Passwort im Vorfeld. Und im zweiten Gang hab ich dann das Einmalpasswort, das mir typischerweise per App generiert wird. Das funktioniert einigermaßen gut in der Benutzung, ist aber schwer in der Verwaltung am Ende des Tages.
Also man, deshalb macht es dort halt auch Sinn, mal draufzugucken, selbst wenn man solche Systeme im Einsatz hat, diese nicht abzulösen, weil dort halt macht die Herausforderung, wenn die Passwörter oder wenn wenn beispielsweise das Telefon verloren geht, dass man halt von Anwendung zu Anwendung laufen muss wiederum, die die Einmal Passwörter abzumelden, wenn eine neue Mitarbeiter oder neue Mitarbeiterin einsteigt im Unternehmen, muss ich quasi von Anwendung zu Anwendung gehen und diese alle befähigen. Deshalb ist sofort eine eine etwas bessere Sicherheit, aber nicht diese Sicherheit und auch schon gar nicht den Komfort, den man bekommt, wenn man einen gemanagtes Authentikationssystem nutzt.
Okay, vielen Dank, Herr. Noch mal ganz konkret, also ich hab immer noch ‘n bisschen Schwierigkeiten, mir vorzustellen, wie das aussieht. Du hast gerade gesagt, ihr kommt in das, also ich interessiere mich für eure Lösung, ihr kommt in das Unternehmen rein, ihr diesen Scan, ihr analysiert, welche Arten von für Authentifizierung es gibt bereits. Und was passiert denn dann? Also wie sieht denn dann der weitere Schritt aus?
Da wie welche weiteren Schritte gebt ihr dann? Und wie sieht denn dann die Lösung konkret aus? Also was was benutze ich? Ist das eine Software aufm Smartphone oder auf verschiedenen Geräten? Kannst Du mir das noch ‘n bisschen konkreter erklären, bitte?
Genau. Also nachdem wir die Liste erstellt haben, welche Softwarelösungen im Einsatz sind und welche Authentikatoren verwendet werden und wie authentifiziert wird, gehen wir die Softwarelisten durch und gucken, ob man die Software noch befähigen muss oder ob die Software schon in der Lage ist, standardisierte Protokolle zur Authentikation zu sprechen. Also aus technischer Sicht, nur damit man’s mal gehört hat, das SAMEL, Open ID Connect oder auch zur Anwendung von Active Directaries, was man nutzen kann. Und was wir dann machen, ist, nachdem wir die Liste haben, dann vervollständigen wir die Liste dementsprechend und gucken, okay, muss an der Software möglicherweise eine andere Lizenz geholt werden oder kann man zum Haushaus mit der mit der Software machen oder muss man möglicherweise im Umweg gehen? Und dann ist es typischerweise so, dass wir mit dem Kunden absprechen, wie denn der, ja, son der erste aussieht, ne.
Man muss nicht alle Anwendungen gleichzeitig umbauen Mhm. Auf unser System, sondern es kann es sukzessive machen. Und typischerweise ist dann so, dass wir mit dem Kunden vereinbaren, zu sagen, okay, wir haben beispielsweise eine eine Testanwendung, mit der man mal das Testen möchte, sonen vereinheitlichten Login und wie sich das Ganze anfühlt, auch in der Benutzung, auch im Management. Dann gibt’s eine Testnutzergruppe, meistens irgendwas für den 5 und 10 Nutzern am Anfang, das Ganze zu testen. Dann konfigurieren wir unsere Softwarelöse mit diesem einen Dienst, binden die, wenn es eine gibt, die lokalen Benutzerverzeichnisse an, beispielsweise ‘n Verzeichnisdienst von Microsoft oder auch von m 3 65 oder möglicherweise auch von von anderen Datenquelle, wenn die schon existiert und definieren dann mit dem Kunden, welche Authentikationsmöglichkeiten wir denn haben.
Ganz häufig gibt es eine Kombination aus der Lösung, dass man sagt beispielsweise, möchte immer noch eine Benutzername und Passwortauthentikation haben plus eine Sicherheitstoken, den kann ich einfach per USB einstecken. Benutzername und Passwort kennen die meisten Mitarbeiter ja dann doch, haben da dann auch tatsächlich nur noch 1, wenn’s dann irgendwann mal ausgerollt ist. Und in ‘nem zweiten Schritt wird häufig dazu übergegangen, dass man sagt, okay, ich möchte gerne mal eine Smartphone basierte Lösung ausprobieren, dass ich die Kombination hab und dann auch direkt die Passwortloge Authentikation hab. Genau. Und das richten wir dann was ein.
Genau und ab da kann dann damit gearbeitet werden. Und eine Authentikation sieht dann wie nicht groß anders aus als vorher. Also der Nutzer merkt nichts mehr davon, außer dass er sich weniger anmelden muss und dass er immer die gleichen Komponenten verwenden kann. Aber ansonsten bleibt zumindest der Ablauf für den Endnutzer oder für die Endnutzerin genauso, wie es vorher auch war.
Ja, verstehe. Okay. Und ist das eine Lösung, wo Du sagst, es lohnt sich erst von ‘ner bestimmten Größe an oder von ‘ner bestimmten Anzahl von Mitarbeitenden an? Oder ist also gibt’s da irgendwie sone Faustregel, würdest Du sagen, unter 10 oder über 100?
Nee, das also genau. Also es gibt gibt 2 Faktoren, die die es zum System spannender machen. Genau, wenn man mehr als eine Anwendung hat, an der man sich anmelden muss, dann macht das schon Sinn. Also das macht gar nicht, es gab einen, ist gar nicht abhängig davon, wie viel Nutzer man hat. Umso mehr Nutzer man hat, umso einfacher wird’s natürlich am Ende des Tages für die für die IT die Nutzer zu pflegen, weil sie nur noch eine Stelle haben, ne.
Also wenn man sich vorher überlegt hatte, man hat halt x-Anwendung und y-Nutzer, dann hat man auf einmal x mal y, was man halt managen muss und jetzt haben wir halt nur noch jetzt haben wir halt nur noch x-Port-for managen müssen. Und genau, auf der anderen Seite ist es aber so, dass wenn wir viele Anwendungen haben oder mehr als 2 Anwendungen haben, wir schon anfangen können, den Log in zu vereinheitlichen und es dadurch grad interessant machen, auch für eine Person oder 2 Personen son System einzusetzen.
Verstehe. Das ist ja jetzt schon, also das ist ja eine sehr vereinheitlichende Lösung, die sie sichert auch viel administrative Arbeitsblatt. Wo siehst Du denn die zukünftige Entwicklung der Authentifizierungstechnologien? Also siehst Du, dass es da noch eine Konsolidierung gibt? Oder was was ist deine dein Blick in die Zukunft und vor allen Dingen, welche Rolle wird sein Sie’s denn dabei spielen?
Also meiner Meinung nach geht es gibt gibt’s 2 entscheidende Faktoren, die die weiter die weiter genutzt werden. Einmal ist natürlich das und einmal ist natürlich auch das, Trendthemen auch in IT Sicherheit künstliche Intelligenz zu verwenden. Das heißt, anhand von von Verhaltensmustern, von Metadaten, von Sensorinformationen, also beispielsweise von ‘nem Smartphone, von meiner von meiner Smartwatch oder aber auch, wie ich meinen Computer verwende, kann erkannt werden, dass ich der Nutzer bin, dem die Geräte auch gehören und die dadurch privilegiert sind, diese auch zu nutzen. Und das ist so das eine Thema, KI im Einsatz zu haben und auf der anderen Seite auch daraus abgeleitet, immer stärkere biometrische Faktoren. Also heute hat man halt häufig das den Gesichtscan oder den Fingerprint, der genutzt werden kann, aber später können wir quasi auch körperliche Eigenschaften, die wir haben, die auch signifikant für uns sind, eine sogenannte Biomarker quasi zu verwenden, darüber eine Authentikation zu machen und das Ganze immer sicherer zu machen.
Genau, so das sind so die 2 Themen, die ich im Kontext der Authentikation und das Identity- und Access Management sehe, die zukünftig eine riesige Rolle spielen werden. Und wir werden das genauso machen wie weiter. Also wir freuen uns über die Entwicklungen, die kommen, also die auch wenn wenn es Technologien sind, die wir nicht selbst entwickeln können, freuen wir uns aber damit, diese auch wieder in unsere Systeme zu integrieren, genau das zu haben. Also wir bleiben das führende System, was oben drauf ist und das in der Lage ist, die ganzen Systeme zu managen. Und auf der anderen Seite haben wir natürlich auch das Thema künstliche Intelligenz und automatisierte Auswertung für uns erkannt.
Wir werden es zukünftig oder sind grad dabei, das in unsere Produkte einzuführen, dass wir darüber auch eine erhöhte Sicherheit mitgeben können. Also was heißt das bei uns? Wir entwickeln keine eigene Biometrie, sondern wir sind in der Lage, dann mit ja, mit gelerntem Verhalten Logdaten und Metadaten auszuwerten und daraus hin zu bestimmen, okay, ist es denn der Nutzer, der sich grade anmeldet oder ist es ‘n Angreifer, der sich grade anmeldet? Oder passieren grade irgendwelche Angriffe auf ein System, auf den Login 1 Systems? Und das ist das, was wir dann über unsere Auswertungseinheiten zukünftig machen werden.
Ja, das klingt auf jeden Fall sehr spannend. Vielen Dank, Markus, für das spannende Interview und ich werde das interessiert verfolgen, wie sich das weiterentwickelt. Die Informationen, also die Websiteadresse und so weiter, werden wir verlinken natürlich im Rahmen dieses Interviews noch. Also wer da Interesse hat und Kontakt zu dir aufnehmen möchte, kann sich an dieser Stelle bedienen. Ich danke dir und wünsche dir noch einen wunderschönen Tag.
Willkommen zum Spotlight IT Sicherheit. Wir erklären IT Sicherheitslösungen leicht verständlich und praxisnah. Ich bin Sandra Aengenheyster, KommunikatorIn für Cybersicherheit und IT.
