Erfahrung mit der Allianz für Cybersicherheit
Wir sind der Allianz für Cybersicherheit Mitte Juli als Mitglied beigetreten und haben dann unser Onboarding als Partner Ende August abgeschlossen. In diesem kurzen Blog wollen wir über unsere ersten Erfahrungen mit der Allianz für Cybersicherheit und unseren Partnerbeiträgen berichten.
Als kurzen Exkurs, was macht die Allianz für Cybersicherheit (Auszug aus der Website der ACS):
„Mit der 2012 gegründeten Allianz für Cyber-Sicherheit verfolgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Ziel, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken.
Aktuell gehören der Initiative 4548 Unternehmen und Institutionen an – und jeden Tag kommen weitere Teilnehmer dazu.
IT-Dienstleistungs- und -Beratungsunternehmen sowie IT-Hersteller sind gleichermaßen im Netzwerk vertreten wie Anwenderunternehmen aller Größen und Branchen. Diese Vielfalt ist ein wichtiger Garant für einen reichhaltigen Austausch von IT-Expertise und Anwendungserfahrungen, von dem alle Beteiligten profitieren.
148 Partner und 99 Multiplikatoren engagieren sich im Rahmen der Initiative und leisten so einen wertvollen Beitrag für mehr Cyber-Sicherheit am Wirtschaftsstandort Deutschland.“
Als Cloud Identity & Access Management (cidaas) Provider bieten wir eine IT Security Lösung an, und haben in diesem Zusammenhang tagtäglich mit unterschiedlichsten Anforderungen in diesem Umfeld zu tun. Darüber hinaus sehen wir mit cidaas als Identity & Access Management eine zentrale Komponente in der Digitalisierung von Unternehmen. Die Verknüpfung von Sicherheit mit Digitalisierung, Innovation und schlussendlich auch dem Nutzerkomfort ist eines unserer Ziele. Dies zum Anlass genommen haben wir unsere ersten Partnerbeiträge für die Allianz für Cybersicherheit designed und eine Webinarreihe aufgelegt, die zeigt wie moderne Authentifizierung sicher und komfortabel ablaufen kann und sollte.
Welche Themen haben wir in den Webinaren behandelt:
- Bruteforce Attacken und was man dagegen tun kann
- FIDO2 und passwortlose Authentifizierung einfach erklärt
Bruteforce Attacken und was man dagegen tun kann
Attacken – bei denen der Angreifer versucht durch Ausprobieren/Erraten von Passwörtern Zugang zu erhalten – ist eines der häufigsten Angriffspattern in der digitalen Welt und ist in den letzten Jahren zu einer großen Bedrohung geworden. Diese Art von Angriff ist nicht neu, doch bereitet heute mehr denn je Kopfzerbrechen. Denn fast alle gängigen Ansätze zur Abwehr bringen andere Probleme mit sich, die für Unternehmen teilweise schwerwiegender sein können als der Bruteforce Angriff selbst. Denn die klassischen Brute Force Abwehrmechanismen schützen nicht nur vor Angriffen, sondern schließen auch echte Nutzer aus oder schränken den Nutzerkomfort massiv ein. In diesem Webinar haben wir unterschiedliche Formen des Bruteforce Angriffs und gängige Abwehrmechanismen gezeigt. Mit dabei sind klassische Abwehrmechanismen, die Bruteforce Protection via Device Cookies von OWASP, und auch die Multi-Faktor-Authentifizierung. Als Überleitung zum nächsten Webinar haben wir einen kurzen Ausblick auf die Welt nach dem Passwort gegeben.
FIDO2 und passwortlose Authentifizierung einfach erklärt
Eine Welt ohne Passwörter ist die Zukunft! In diesem Webinar sind wir auf den FIDO2 Standard mit seinen Protokollen WebAuthn (W3C) und Client To Authenticator Protocol (FIDO) eingegangen. Wir betrachteten dabei zuerst die aktuelle Situation um das Passwort und die damit einhergehenden Nachteile und fokussierten uns dann auf die technische Spezifikation des FIDO2-Sicherheitsschlüssels. Zum Abschluss berichteten wir über erste Erfahrungen und Use Cases mit dem FIDO2-Webauthn und weiterer passwortloser Authentifizierung Verfahren. Dabei haben wir auch den Transitionspfad aufgezeigt mit dem Nutzer an die passwortlose Authentifizierung herangeführt werden können oder geräteübergreifende Szenarien und wie man diese handhaben kann.
So nun zu unserer Erfahrung:
Die Teilnehmer:
Wir führen regelmäßig Webinare durch, sowohl selbstorganisiert als auch in Kooperation mit anderen Netzwerken, z.B. nun im Oktober im Zuge des European Cyber Security Month. Als kleine Randnotiz hierzu, wir waren am Anfang sehr skeptisch, ob eigene Webinare sinnvoll sind, und überhaupt die notwendige Reichweite erreichen konnten. Aber wir sind mit unseren bisherigen Webinaren und den Teilnehmerzahlen sowie dem Feedback sehr zufrieden. Da unsere Webinare für die Allianz für Cybersicherheit geschlossen und nur einem begrenzten Teilnehmerkreis zugänglich waren, haben wir auch mit geringeren Teilnehmerzahlen gerechnet. Nachdem wir die Webinare geplant und über die Allianz für Cybersicherheit angekündigt haben, waren wir überrascht wie schnell die Anmeldezahlen gestiegen sind. Sodass diese beiden Webinare mit zu unseren bestbesuchten Events zählen.
Noch viel wichtiger ist aber, dass der Teilnehmerkreis zu den Aktivsten zählt, den wir in unseren bisherigen Webinaren verzeichnet haben. Das hat uns besonders gefreut, denn gerade der Austausch macht die Allianz für Cybersicherheit so wertvoll!
Die Zusammenarbeit mit dem Kollegen bei der Allianz für Cybersicherheit:
Die Zusammenarbeit war sehr toll. Unsere Anfrage wurde sehr schnell bearbeitet, gemeinsam haben wir unsere ersten Partnerbeiträge konzipiert.
Wir sind schon gespannt auf unsere nächsten Partnerbeiträge und freuen uns, dass es ein solches Netzwerk organisiert vom BSI in Deutschland gibt. Weiter so!