SailPoint : "Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann."

Dezember 2022 von Yelena Jangwa-Nedelec, Global Security Mag

Auf der it-sa 2022 haben wir uns mit Klaus Hild, Principal Identity Solution Strategist, und Arne Ohlsen, Senior Marketing Manager bei SailPoint, getroffen. Sie gingen auf IAM und Cloud Management ein und betonten, wie wichtig es für Unternehmen ist, sich um ihre Zertifizierungen zu kümmern und ihre Anwendungen mit ihrem Identity Management System zu verbinden, damit sie einen Überblick darüber haben, was in ihrem Unternehmen passiert.

Global Security Mag: Wer ist Sailpoint?

SailPoint: Wir kümmern uns um Identitätssicherheit. Es geht hauptsächlich um die Verwaltung aller Zugriffe, die ein Benutzer hat. Es beantwortet also im Wesentlichen 3 Fragen: Wer hat Zugang zu was und warum? So einfach ist das. Aber es in die Praxis umzusetzen, ist schwieriger. Wir helfen unseren Kunden mit unserer Technologie bei der Beantwortung dieser Fragen. Die Idee ist, eine einzige Quelle zu haben, um alle benötigten Informationen über den Zugang eines Benutzers zu finden. Der Kunde muss viele verschiedene Anwendungen nutzen. In einem mittelgroßen Unternehmen gibt es heutzutage etwa 5000 bis 10000 Benutzer, d. h. man muss sich um Hunderttausende von Berechtigungen kümmern, die aus all den verschiedenen Anwendungen stammen, die man mit einem System verbinden muss - das übersteigt bei weitem das, was ein Mensch auf einer Tastatur tun könnte. Das ist einer der Gründe, warum wir vor einem Jahr KI (künstliche Intelligenz) in dieses Spiel eingeführt haben.

Nehmen wir das Beispiel eines Jumbo-Jets: 90 % des Fluges sind mehr oder weniger automatisiert, und die Piloten sind als Experten für die wirklich kritischen Situationen ausgebildet.

Warum sollte das Identitätsmanagement also nicht auf die gleiche Weise erfolgen? Das ist unsere Idee. Man kann maschinelles Lernen einsetzen, um eine bestimmte Peer-Group zu finden, Informationen über diese Gruppe zu erhalten, wer welche Rechte hat, und um einem neuen Benutzer Empfehlungen zu geben, seine Rolle aufzubauen und sie dann zu schärfen... Bei it-sa wollen wir also über künstliche Intelligenz sprechen und darüber, wie sie den Kunden wirklich helfen kann.

GSM: Was sind denn die Lösungen, die Sie auf der it-sa vorstellen?

SailPoint: Nun, mehrere Dinge. Das Identitätsmanagement ist seit 20 Jahren auf dem Markt und die gesamte Technologie verändert sich ständig. Es gibt neue Trends, um die sich die Kunden kümmern müssen, wie z. B. Seal Trust oder die Digitalisierung, und das bedeutet, dass sie wissen müssen, was sie in ihren Systemen tun. Viele Kunden haben Schwierigkeiten, ihre Anwendungen überhaupt mit dem Identitätsmanagementsystem zu verbinden. Die meisten von ihnen haben zwar Anwendungen angeschlossen, aber wenn wir sie fragen, wie viele davon angeschlossen sind, antworten sie manchmal "etwa ein Dutzend", und das ist mehr oder weniger nichts. Für ein Standardunternehmen mit 1000 bis 1500 Benutzern sind mindestens 300 bis 400 Anwendungen üblich.

Wenn Sie nur 12 Anwendungen angeschlossen haben, welche Informationen erhalten Sie dann über Ihre Konten und Ihre Zugänge? Nicht viele.

Jeder denkt daran, die großen Systeme wie AD, SAP, jede Art von EIP (Enterprise Information Portal) zu verbinden, und das ist ein guter Schritt in die richtige Richtung, aber es ist absolut nicht genug, um gute Informationen darüber zu erhalten, was in ihren Systemen vor sich geht.

GSM: Was sind Ihre wichtigsten Unterscheidungsmerkmale auf dem Markt?

SailPoint: Innovation ist Teil unserer DNA, daher sind wir mehr oder weniger immer die Ersten, die mit neuen Dingen um die Ecke kommen. Vor ein paar Jahren haben wir das File Access Management eingeführt, weil jedes andere Managementsystem Blindspots hat, zum Beispiel in Bezug auf die Leserechte der Benutzer. Es kann alle Dateien lesen und diese Informationen an das Identity Management System zurückgeben, um zu sehen, ob die Rechte richtig sind, ob sie geändert wurden... Man kann sehen, ob die Leserechte zum Beispiel nur ein normales Recht sind oder ein geändertes Recht, das dem Benutzer andere Rechte geben könnte.

In der IT gibt es eine Menge Iterationsschritte, die man machen muss, um bereit zu sein. Wenn wir also mit der KI beginnen, haben wir Empfehlungen in den Zertifizierungen, um festzustellen, ob es sinnvoll ist, eine bestimmte Zertifizierung beizubehalten oder ob es sinnvoller ist, sie zu widerrufen. Die Idee ist, viele Rechte zu entziehen, so dass ein Benutzer so wenig Rechte wie möglich hat, damit er das tun kann, was er braucht, und das mit den minimal erforderlichen Rechten.

Unsere zweite Säule ist die Breite der Lösungen, die wir haben. Wir kümmern uns nicht nur um IAM, sondern auch um die Cloud, die für uns sehr wichtig ist. Die Devops, die mit der Cloud arbeiten, haben ihre eigenen Tools, die sie zu benutzen wissen, und sie wissen genau, was in der Cloud passiert, aber ihre Manager haben oft keine Ahnung, weil sie diese Tools nicht benutzen können. Deshalb führen wir das Cloud Access Management ein, um einen perfekten Überblick über die Cloud in Bezug darauf zu geben, wer welche Rechte hat. Diese Informationen können auch in das IAM-System eingebracht werden.

GSM: Was sind Ihre wichtigsten Botschaften, die Sie CISOS und unseren Lesern raten möchten?

SailPoint: Folgen Sie nicht den Trends. Kümmern Sie sich um Ihre Zertifizierungen, Ihre Zugriffsrechte, verbinden Sie Ihre Anwendungen mit Ihrem Identitätsmanagementsystem. Wenn Sie noch keins haben, kaufen Sie eines und verbinden Sie so viele Anwendungen wie möglich damit, damit Sie eine Vorstellung davon haben, was in Ihrem Unternehmen passiert. Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann. Wenn Sie die Informationen haben, können Sie entscheiden, was Sie tun müssen und was nicht wichtig ist. Zero Trust und Digitalisierung sind nicht der Sinn der Sache, das löst nichts, es sind nur Passwörter.

GSM: Was halten Sie von der Vereinbarung zwischen ANSSI und BSI und der Anerkennung von Zertifizierungen?

SailPoint: Das ist eine gute Sache! In jedem regulären Markt braucht man Zertifizierungen. Wenn Sie die DSGVO nicht einhalten, müssen Sie 4 % Ihres Umsatzes abgeben. Verordnungen sind oft nicht das Hauptgeschäft von Unternehmen, also müssen sie die Vorschriften befolgen, aber das ist mehr lästig als angenehm, also brauchen sie Ratschläge, wie sie die Dinge so einfach wie möglich machen können, aber mit Sicherheit, was sehr wichtig ist. Für die C5-Zertifizierung des BSI zum Beispiel braucht man eine Anleitung, damit man weiß, wie man jeden Schritt richtig macht. Wir verfolgen diese Zertifizierungen so weit wie möglich, da sie für uns sehr wichtig sind, und wir arbeiten auf unsere C5-Zertifizierung hin, die wir hoffentlich Ende 2023 oder Anfang 2024 erhalten werden.