Im Oktober 2023 musste Okta einen Sicherheitsvorfall melden. Wie konnte es dazu kommen, dass ausgerechnet ein auf Identitätssicherheit spezialisiertes Unternehmen Opfer eines identitätsbasierten Angriffs wurde?

Sven Kniest: Der Angriff auf unser Customer Support System ist ein klassisches Beispiel für ein Problem, das praktisch alle Branchen und Organisationen betrifft. Und zwar geht es um die Absicherung von Service-Accounts und Machine-to-Machine-Kommunikation, ein komplexes Thema. Das Okta Support-System ist vom Okta-Produktionsdienst getrennt. Dieser war zu 100 Prozent während des Angriffs funktionsfähig und wurde nicht beeinträchtigt.

Verzeichnet Okta denn häufig Angriffe?

Sven Kniest: Da Okta der Einstiegspunkt zu den wichtigsten Daten und der Infrastruktur eines Unternehmens ist, sind wir ein großes Ziel mit einer massiven Angriffsfläche: Allein im letzten Monat haben wir unsere Kunden vor mehr als 2 Milliarden Sicherheitsangriffen geschützt. Mit dem Okta Secure Identity Commitment haben wir außerdem ein Konzept entwickelt, um die Branche in den Kampf gegen Identity-basierte Angriffe zu führen. Im Mittelpunkt des Commitments stehen vier Fokusbereiche: Wir bieten Produkte und Services für den Schutz von Identitäten, geben unseren Kunden die Best Practices an die Hand, die sie für einen optimalen Schutz brauchen, bringen unsere Branche für einen besseren Schutz vor Identity-basierten Angriffen aktiv voran und härten die Infrastruktur unseres eigenen Unternehmens.

Durch die Akquisition von Spera Security, die wir Ende 2023 erfolgreich abgeschlossen haben, sind wir außerdem in der Lage, ein robustes Security Posture Management für Identitäten anzubieten. Spera setzt auf die Identity Threat Detection & Response (ITDR)-Funktionalitäten von Okta auf und erweitert sie, um detaillierte Einblicke in die Risiken einer IT-Landschaft und deren Angriffsflächen zu gewähren. Auch das wird zukünftig dazu beitragen, solche Vorfälle zu vermeiden.

Zu den Kunden von Okta gehören KI-Unternehmen wie OpenAI und NVIDIA. Welche Auswirkungen hat der durch ChatGPT ausgelöste Nachfrageboom nach generativen KI-Services auf Ihr Geschäft?

Sven Kniest: Die Absicherung von Endkundenzugängen hat deutlich an Bedeutung gewonnen. Traditionell kommen wir ja aus dem Identity & Access Management (IAM) für Mitarbeiter und Partner. Mittlerweile macht aber das Customer Identity & Access Management (CIAM) 40 Prozent unseres Umsatzes aus. Dazu hat sicher auch der Hype um ChatGPT beigetragen. KI bietet enormes Potenzial, stellt aber auch ein nicht zu vernachlässigendes Risiko dar. Erst kürzlich erhielt unser CEO Todd McKinnon eine KI-generierte Sprachnachricht, in der Cyberkriminelle seine Stimme imitiert hatten und den Empfänger aufforderten, Geld zu überweisen. Solche Deepfake-Versuche werden wir in Zukunft immer häufiger sehen. Mit OktaAI haben wir eine Plattform geschaffen, die KI nutzt, um solche, aber natürlich auch ganz traditionelle Angriffe schneller erkennen und abwehren zu können.

Nutzen Sie denn in irgendeiner Weise die Angriffsdaten, zum Beispiel um Erkenntnisse für die Abwehr daraus zu ziehen?

Sven Kniest: Wir registrieren und blockieren mehr als zwei Milliarden bösartige Anfragen pro Monat. Diese enorme Datenmenge bildet eine hervorragende Grundlage für das Training von Machine-Learning-Modellen. Ein Produkt, das daraus entstanden ist, ist Identity Threat Protection. Threat Protection scannt kontinuierlich alle im Unternehmen anfallenden Daten von Sicherheitslösungen und SaaS-Applikationen, wertet sie in Echtzeit aus und leitet bei erkannten Risiken proaktiv Gegenmaßnahmen ein. So lässt sich beispielsweise automatisiert eine Terminierung aller Sessions oder eine erneute MFA-Authentifizierung erzwingen oder auf Basis der aktuellen Sicherheitslage ein Zugang auf Read-only beschränken.

Welche Best Practices empfehlen Sie, um Accounts zu schützen?

Sven Kniest: Man sollte auf jeden Fall ein Privileged Account Management einführen, die gemeinsame Nutzung von Accounts verbieten und den interaktiven Zugriff auf Machine-to-Machine Accounts unterbinden. Aber seien wir ehrlich: Es gibt Best Practices, und es gibt die Realität. Administratoren stehen oft unter hohem Druck. Sie müssen ein Problem lösen, und dem Management ist es herzlich egal, wie sie das machen. Daher tun sie oft Dinge, die nicht den Richtlinien entsprechen, um zu einer Lösung zu kommen. Hinzu kommt, dass praktisch alle Unternehmen, die schon länger bestehen, mit technischen Schulden zu kämpfen haben. Das wichtigste ist aber, dass wir als führendes Identity-Unternehmen entschlossen sind, die gesamte Branche im Kampf gegen identitätsbasierte Angriffe anzuführen. Wir haben bereits mehrere wichtige Funktionen und Upgrades in unserer Unternehmensinfrastruktur sowie in unserem Produktportfolio implementiert oder stehen kurz davor.

Was tun Sie, um solche Vorfälle in Zukunft zu verhindern?

Sven Kniest: Wir investieren massiv in moderne Technologien wie OAuth 2.0. Unser Chief Architect arbeitet aktiv in der Open ID Foundation mit und an allen Arbeiten, die darauf abzielen, die Authentifizierung von Maschinen sicher zu machen. Die Open ID Foundation (OIDF) ist ein gemeinnütziges Standardisierungsgremium, das Identitäts- und Sicherheitsspezifikationen für den offenen und sicheren Zugang zu Applikationen und Webseiten erarbeitet. Die OIDF bietet unter anderem Testsuiten zur Selbstzertifizierung an und hat auch ein Lizenzierungsmodell für Dritte entwickelt, um umfassendere Implementierungen in komplexen Ökosystemen zu ermöglichen.

Sie haben außerdem ein „Secure Identity Commitment“ veröffentlicht. Was ist darunter zu verstehen?

Sven Kniest: Ziel des Commitments ist es, unsere Kunden an unserem Wissen und unseren Erfahrungen teilhaben zu lassen – auch im Hinblick auf den Sicherheitsvorfall. Wir wollen auf die zunehmende Bedrohungslage im Bereich identitätsbasierter Angriffe aufmerksam machen und unseren Kunden Produkte, Services und Best Practices an die Hand geben, mit denen sie sich verteidigen können. Tatsächlich sind über 80 Prozent der Datenschutzverletzungen in der Branche auf irgendeine Art von kompromittierter Identität zurückzuführen. Außerdem arbeiten wir aktiv daran, die gesamte Branche zu einem besseren Schutz vor identitätsbasierten Angriffen zu bewegen. Gleichzeitig härten wir kontinuierlich unsere eigene Infrastruktur, um Sicherheitsvorfälle zu verhindern.

Welche Rolle spielt KI für die Cyberabwehr?

Sven Kniest: Im Rahmen einer internationalen „AI at Work”-Studie, die wir im aktuellen Jahr unter Führungskräften aller Branchen zum Thema KI durchgeführt haben, hat sich gezeigt, dass immerhin über 70 Prozent die Sicherheitsrisiken genau im Blick haben – und sich knapp 20 Prozent als ungenügend geschützt einschätzen. Dabei werden besonders die Angestellten als potenzielle Schwachstelle gesehen. Dementsprechend kommt dem Identitätsmanagement eine besondere Rolle zu. Grundsätzlich erreicht die Zustimmung zum verstärkten Einsatz von KI Werte um 90 Prozent, aber es ist eben auch ein großer Bedarf an Lösungsangeboten erkennbar.

Bei der Aufarbeitung des Sicherheitsvorfalls wurde Okta für mangelnde Transparenz kritisiert. Wie wollen Sie zukünftig besser kommunizieren?

Sven Kniest: Ich denke, wir haben von Anfang an angemessen reagiert und kommuniziert. Natürlich mussten wir mit Rücksicht auf die forensische Analyse erst abwarten, bevor wir Erkenntnisse mit der Öffentlichkeit teilen konnten. Wir werden aber in Zukunft noch genauer und schneller erklären, was passiert ist und wie wir darauf reagiert haben. Außerdem wollen wir die Zusammenarbeit zwischen Unternehmen fördern, Communities aufbauen und Netzwerke für verschiedene Branchen wie Finanzdienstleister oder SaaS-Anbieter schaffen, in denen sich die Beteiligten über die aktuelle Sicherheitslage austauschen können.

ist Vice President Central & Eastern Europe bei Okta.
Roger Homrich

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

2 Tagen ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

2 Tagen ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

4 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

5 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

5 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

6 Tagen ago