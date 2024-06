Johannes Goldbach, Keyfactor: « PKI ist eine Vertrauenssache »

Juni 2024 von Yelena Jangwa-Nedelec, Global Security Mag

Global Security Magazine: Was sollte man über Keyfactor wissen?

Johannes Goldbach: Keyfactor besteht nun seit 2021 als gemeinsame Gruppe und ist heute 450 Mitarbeiter stark, hat 1,3 Milliarden aufgebracht und verfügt über 100 Millionen AR. Der Zusammenschluss von Prime aus Stockholm und Keyfactor aus Cleveland, Ohio, erklärt sich aus der Tatsache, dass sich die Produkte überschneiden und gegenseitig ergänzen. Die Kombination von Public-Key-Infrastruktur und Zertifikaten in Unternehmen ist eine Strategie, die jetzt von den Gründern zusammengebracht wurde. Wir haben sozusagen das Momentum geschaffen, mit Inside Partners als Hauptinvestor und Sixth Street als Mid-Market-Investor. Die Lösungen sind beide relativ alt und werden schon relativ lange auf dem Markt angeboten.

GSM: Und wie sind Sie in der Welt der Cybersicherheit gelandet?

Johannes Goldbach: Der Ursprung meiner Security-Affinität liegt in meiner Kindheit. Mein Vater war einer der ersten Buch-IT-Besuchlehrer in Deutschland. Ich habe im IT-Vertrieb bei großen Datenbankherstellern, in der Automobilbranche und in einer Patentabteilung gearbeitet, bevor ich Datenschutzbeauftragter wurde. Das war dann der echte operative Schritt Richtung Security. Der Merger war schon fertig, als ich von einem Kontakt innerhalb des Unternehmens angesprochen wurde. Als ich mich entschied, dem Unternehmen beizutreten, dachte ich, dass der Einstieg leicht sein würde, aber ich habe im Endeffekt sechs Monate gebraucht, um mich damit vertraut zu machen und mich in diesem Bereich solide zu fühlen.

Im Endeffekt ist es jede endlose Verschlüsselung durch eine PKI-Zertifikate auf der PKI-Geräte weg, und das ist das Spannende daran. An den gewagten aktuellen Fällen sind Branchen wie Banken, Hersteller, Energienetze und Terminals beteiligt. Zertifikate unserer Lösung werden auf allen möglichen Geräten eingesetzt.

GSM: Was ist die Strategie von Keyfactor im Bezug auf die Regulierung von Cybersicherheitsmaßnahmen?

Johannes Goldbach: Im PKI-Bereich kommt es auf die Geografie an. Aber dahinter steht Security Support und da fangen die Standards an: IEC 62443, das Cyber Resilience Act, das Machinery Directive… Und natürlich vor allem auch, die Regulationen von dem BSI-Institut. Auf all diesen Regulationen spezialisieren wir uns nicht, sondern unsere Lösung wird von Organisationen genutzt, die sich selbst spezialisieren. Das sind zum Beispiel Partner, die sich genau auf eine Branche spezialisieren. Unsere Lösungen stehen dann als Bausteine für dieses gesamte Großkonzept.

GSM: Und was ist im Moment Ihre größte Herausforderung?

Johannes Goldbach: Zu den größten Herausforderungen auf dem deutschen Markt gehören der Mangel an qualifizierten Arbeitskräften und Zeitdruck. Unternehmen haben oft Probleme mit veralteten Sicherheitsmodulen und einer unzureichenden Systemeinrichtung, was zu selbst ausgestellten Zertifikaten führt, die ablaufen. Die Notwendigkeit der Automatisierung von Endtönen wird für viele Unternehmen immer deutlicher. Die Lösungen in diesem Bereich liegen preislich in einem Bereich, der von einem kleinen Team bewältigt werden kann, ohne dass die vorhandenen Mitarbeiter ersetzt werden müssen. Allerdings lassen die Kosten die Entscheidungsträger oft zögern. Es mangelt an Bewusstsein für die Bedeutung von Cybersicherheitsmaßnahmen, wobei der Schwerpunkt eher auf bekannten Technologien wie Firewalls liegt. Dies unterstreicht die Notwendigkeit eines stärkeren Bewusstseins und Verständnisses für kritische Cybersicherheitskomponenten wie PKI und Cyber-Resilienzsysteme.

GSM: Worauf Sind sie am stolzesten in Ihrer Karriere?

Johannes Goldbach: Worauf ich am stolzesten bin, sind Kunden, die anrufen und sagen, dass es funktioniert. Das hätte ich ich nicht gedacht aber das war während meiner gesamten Karriere der Fall. Man begegnet manchmal Ansprechpartnern , die am Anfang sehr skeptisch sind. Das beste Beispiel, das ich im Kopf habe, war die Zusammenarbeit mit einem anspruchsvollen Projektleiter bei meinem vorherigen Arbeitgeber. Wir haben damals an einem internationales Projekt zusammengearbeitet, und dieser Projektleiter ließ mich zwei Wochen lang jeden Morgen das Projekt neu organisieren. Die Situation war sehr angespannt und es kam häufig zu Eskalationen. Ich habe Zeit gebraucht, um das Vertrauen des Kunden zu gewinnen, es war eine richtige Vertrauensarbeit. PKI ist eine Vertrauenssache. Es ist wirklich faszinierend, wie unterschiedlich jede Person spricht und kommuniziert. In Meetings beobachte ich oft, wie Missverständnisse entstehen. Hier sehe ich meine Aufgabe darin, als Vermittler zwischen den Parteien aufzutreten und sicherzustellen, das alle sich verstanden fühlen. Das ist bei internationalen Projekten besonders wichtig, da es in jedem Land verschiedenen Codes gibt. Im Endeffekt können nur mit Geduld, Vertrauen und einer guten Kommunikation Missverständnisse vermieden und eine effektive Zusammenarbeit gewährleistet werden.

GSM: Haben Sie eine Botschaft für CISOs oder für unsere Leser?

Johannes Goldbach: CISOS müssen sich die Frage stellen, was man dafür tun muss, um den Sicherheitsgrad zu erhöhen, sei es bei einer PKI oder was anderem. Was ist Common Practice? Ein CTO, der sich intensiv mit dem Cloud in Europa beschäftigt, gab den wichtigen Rat, stets pragmatisch vorzugehen. Er hat die folgende Frage gestellt: Was passiert, wenn der Sheriff aus Ohio die Daten meiner Kunden hat? In solchen Situationen ist es entscheidend, Ruhe zu bewahren und sich an Experten zu wenden. Diese Herangehensweise sollte bei jeder Entscheidung angewendet werden, insbesondere im Hinblick auf Cloud-Sicherheit. Es ist wichtig, die Komplexität des Themas zu reduzieren und klare Maßnahmen zu treffen. Das Gleiche gilt auch für das Marketing - anstatt bloße Schlagworte und ein bisschen Storytelling zu verwenden, sollte genau erklärt werden, was die Lösung bietet und welchen Mehrwert sie bietet. Technische Details sollten in einer übersichtlichen Checkliste festgehalten werden, um die Umsetzung des Projekts effizienter zu gestalten.

Es gibt unterschiedliche Herangehensweisen in verschiedenen Ländern, aber ein ausgewogener Ansatz kann entscheidend sein. Europäer machen öfter eine Risiko-Analyse und planen den Prozess durch bis zum Ende hin. Das kann aber im extremen Fall noch zu stagnant sein. Die Amerikaner machen eher das Gegenteil. Sie probieren es und entwickeln dann einen Nachbesserung-Plan. In manchen Ländern, wie Frankreich zum Beispiel, folgt man einem gewissen Bauchgefühl und legt auch Wert auf die persönliche Ebene.

Selbst wenn man ein Thema nicht versteht, gibt es Consultants und es gibt auch Hersteller, die viele Experten haben, die sich jeden Tag mit dem gleichen Thema befassen und das mit allen Nuancen.