Interview mit BareID
Auf der Security-Messe it-sa 2024 in Nürnberg hat www.sysbus.eu mit Lisa Holzhofer, Marketing Manager bei Bare.ID, gesprochen.
Welche Entwicklungen oder Trends sehen Sie im IT-Security-Markt?
Wir sehen drei sehr große Trends: Ein Klassiker ist dabei Künstliche Intelligenz. Generell ist das Thema KI in aller Munde, wie man es hier auch auf der Messe sieht. Dieses Thema kann man sich natürlich auch zu Nutze machen, dazu später mehr. Sie ist allerdings auch ein super Bereich für Hacker, um neue Möglichkeiten zu schaffen, Daten zu sammeln. Sie unterstützt sie z.B. auch bei Phishing E-Mails, um diese etwas origineller bzw. kreativer zu machen. Auch technisch ist sie nutzbar – man kann sich auch komplett die Skripte für Schadsoftware schreiben lassen, um sich so Zugriff zu verschaffen. Ein ganz großer Aspekt im Zusammenhang mit KI ist aber auch Video- und Identitätsfälschung.
Das zweite Thema – schon seit Corona – ist Remote-Work: die Mitarbeiter arbeiten aus der Ferne mit verschiedensten Geräten – Tablets, Laptops oder auch Smartphones – loggen sich von überall aus auf ihre Anwendungen ein. Deshalb ist Multi-Device-Handling ebenso wichtig. Es stellt sich die Frage, wie man dies am besten umsetzt und wie kann man als Unternehmen noch auf diese Anforderung reagieren, also auf die vielen Standorte, die vielen Geräte etc. und trotzdem die Daten gut schützen.
Das dritte große Thema – vor allem hier im Europäisch-Deutschen Markt – ist die digitale Souveränität: Das wird auch sehr vom Bund gepusht. Hier stellt sich die Frage, wie wir Abhängigkeiten von Drittstaaten verhindern können. Insbesondere kommt es darauf an, wie wir als Deutschland mit unseren höheren DSGVO-Anforderungen sicher den ganzen Compliance Regularien, sei es die NSI2 bzw. DORA (im Finanzsektor), entsprechen. Das ist aktuell das größte Thema. Auf dem Markt, gibt es viele US-amerikanische, aber auch Anbieter aus weiteren Regionen. Und wir stellen uns dabei die Frage, wenn wir zum Beispiel auf Kritis schauen, inwieweit darf man diese Lösungen überhaupt einsetzen. Außerdem sehen wir, dass die Kunden ihre Daten nicht nur schützen wollen, sondern auch die Kontrolle über ihre Daten behalten möchten. Und das geht nur, indem man anständige digitale Souveränität realisiert.
Wie stehen Sie Ihren Kunden dabei zur Seite?
Wir sind ein Anbieter einer Single-Sign-On Lösungen mit integrierter Multi-Faktor-Authentifizierung. Wir haben uns damals aus einem Kundenprojekt heraus das Haupt-Ziel gesetzt, dass wir nur vom deutschen Markt aus arbeiten. Das heißt, wir hosten und betreiben hierzulande und wir setzten nur Partner und Subanbieter ein, die auch wirklich hier auf diesem Markt aktiv sind. Das differenziert uns von anderen großen Anbietern, wie z.B. Okta und Auth0, aber auch dem Microsoft-Kosmos, wo ja auch alles funktioniert. Da wir hier den Fokus setzen und das Thema Dritt-Staaten schon einmal verhindern, kann der Kunde sicher sein, dass die Kontrolle der Daten hier verbleibt und keiner diese einsehen kann, wie es zum Beispiel auf amerikanischen Gebiet möglich ist.
Die Kunden wollen auch eine technologische Abhängigkeit von einzelnen Anbietern verhindern. Das haben wir insofern umgesetzt, dass wir auf Open-Source im Kern basieren. Da gibt es das auf Open-Source Framework Keycloak, was der Standard für den gesamten Bereich Single-Sign-On ist. Das bedeutet, wir haben eine Lösung oben drauf gesetzt, die das Ganze noch erweitert und etwas komfortabler macht, aber im Kern die Keycloak Basis behält – was ja normalerweise ein riesiger Aufwand ist, dies alles anzulegen. Das kann der Kunde jederzeit einsehen und jederzeit mitnehmen. Es ist also immer eine einfache Daten-Portabilität gegeben. Das ist für die Kunden besonders angenehmen, wenn sie von uns weg wollen, aber auch, wenn sie zu uns kommen wollen und schon mit Keycloak gearbeitet haben. Dazu kommen Standardprotokolle wie SAML & OpenID Connect, die es einfach ermöglichen, Schnittstellen zu vielen Applikationen zu haben.
Remote Work erklärt sich ja eigentlich von selbst. Das Thema Multi-Device-Handling ist ganz einfach über Single-Sign-On und Multi-Faktor-Authentifizierung abzubilden. Hier ist die Basis eine ordentliche Authentifizierungs-Strategie. Wir haben die Erfahrung gemacht, dass jeder Anwender im Alltag mindestens fünf Anwendungen hat, bei denen er sich im Alltag einloggen muss – tendenziell natürlich mehr. Und da muss er sich von jedem Device aus, also jedem Gerät einloggen können. An dieser Stelle werden dann durch unsere Lösung Authentifizierungs-Mechanismen geschaffen, um jederzeit kontrollieren zu können, wer diese Person ist. Wir gehen hier auch nach dem Zero-Trust-Ansatz vor, d.h. jeder muss immer authentifizieren. Ohne diese Verifikation wird kein Gerät reingelassen. Man kann auf unserer Plattform auch jederzeit sehen, welche Geräte dies sind und hat die Kontrolle. Im Zweifel kann man diese auch ausschließen. Sollte im unwahrscheinlichen Fall mal jemand reinkommen, kann man auch ganz schnell reagieren. Dies schafft Transparenz darüber, wer mit welchem Gerät im eigenen Kosmos unterwegs ist.
Beim Thema KI sind wir auf dem aktuellsten Stand, es ist aber noch nicht das relevanteste Thema für uns. Wir binden aber alles ein, was Unterstützung gibt. Gerade auch im Bereich Multi-Faktor-Authentifizierung. Wenn es da neue Verfahren oder neue Möglichkeiten gibt, so binden wir diese ein und beraten unsere Kunden auch dahingehend, welche Verfahren zu nutzen sind. Hierzu gibt es ja vom BSI offizielle Empfehlungen, welche Verfahren bei welchen Angriffsversuchen wie sicher sind. Wir empfehlen unseren Kunden immer die modernsten Verfahren, sei es Passkeys oder auch Passwort-lose Authentifizierung. Das ist im Übrigen auch noch ein weiterer großer Trend, der sich gerade abzeichnet.