CSO
Alternatives Drucklayout:
› reiner Text
Link: https://www.csoonline.com/de/a/die-gefahrenlage-aus-sicht-einer-ciso,3673892

Interview mit Jameeka Green Aaron

Die Gefahrenlage aus Sicht einer CISO

Datum:02.05.2022
Autor(en):Silvia Hänig
Auth0-CISO Jameeka Green Aaron über aktuelle Bedrohungen, Benutzerfreundlichkeit und Berufswege in die IT-Security.

Jameeka Green Aaron ist CISO bei Auth0 und Vorstandsmitglied der Digital Brands Group.
Foto: Auth0

Jameeka Green Aaron ist CISO beim Identitätsanbieter Auth0. Sie bringt 20 Jahre Berufserfahrung aus IT-Security-Positionen mit, darunter Nike, Hurley, Lockheed Martin und die US-Marine. Sie engagiert sich für die Förderung von Frauen und "People of Color" in den Bereichen Wissenschaft, Technologie, Ingenieurwesen und Mathematik (MINT) und hat am "TechWomen"1-Programm des US-Außenministeriums sowie der "National Urban League of Young Professionals"2 teilgenommen.

Zu Green Aaarons Aufgaben als CISO3 gehört es, über die aktuelle Cyber-Gefahrenlage auf dem Laufenden zu sein und Trends frühzeitig zu erkennen. Schließlich sind sie und ihr Team bei ihrem Arbeitgeber dafür verantwortlich, die Systeme auf Sicherheitslücken und Anomalien hin zu überwachen.

Frau Green Aaron, wie beurteilen Sie die aktuellen Veränderungen in der Art der Cyberbedrohungen?

Green Aaron: Die Bedrohungen an sich ändern sich nicht so oft. Mit Ausnahme der Cloud4 sind sie seit langem dieselben: Social Engineering5, Ransomware6, DDoS7, kritische Schwachstellen in der Software von Drittanbietern und Schwachstellen im Cloud Computing. Was sich allerdings massiv verändert hat, ist die Bedrohung mit Bezug auf die Art und Weise wie wir leben und arbeiten. Das heißt: Die Firewall8 als Allzweck-Sicherheit ist verschwunden. Jetzt geht es vielmehr darum, eingesetzte Technologien entlang digitaler Zugriffe zu prüfen, und diese Zugänge entsprechend zu schützen.

Meiner Erfahrung nach hätten 95 Prozent der Sicherheitsverstöße vermieden werden können, wenn der Schutz digitaler Identitäten an den entsprechenden Zugängen geklappt hätte. Deshalb sollten Multi-Faktor-Authentifizierung (MFA)9 und adaptive Authentifizierung jetzt auf der Agenda jedes CISOs stehen.

Der Krieg in der Ukraine10 hat zu einer verstärkten Aktivität von Cyberkriminellen geführt, die kritische Infrastrukturen und größere Unternehmen, zum Beispiel Energieversorger und Regierungsbehörden, angreifen. Es scheint, als könnten sie überall und jederzeit zuschlagen. Wie können sich Unternehmen überhaupt vor dieser Art von Bedrohung schützen?

Grundsätze der IT-Sicherheit

Green Aaron: Leider gibt es kein Patentrezept für Sicherheit, aber Unternehmen können sich mit einer umfassenden Verteidigung schützen. Es gibt dafür drei Sicherheitsschichten: Technologie, Menschen und Prozesse. Aus technologischer Sicht müssen wir sicherstellen, dass Cloud-Umgebungen von Anfang bis Ende geschützt werden, von den Speicherkonfigurationen über die APIs bis hin zu den Benutzern selbst. Die Abwehr eines Brute-Force-Angriffs11 könnte zum Beispiel das Erkennen von gehackten Passwörtern12 und IP-Adressen oder MFA-Anfragen in Verbindung mit verdächtigem Verhalten umfassen.

Der Mensch wird oft als das schwächste Glied in der Sicherheit betrachtet, aber er ist auch die am besten skalierbare Verteidigung gegen Cyberangriffe. In Deutschland werden seit vielen Jahren sehr erfolgreich Awareness-Schulungen für Mitarbeiter durchgeführt. Der nächste Schritt besteht darin, den Mitarbeitern durch regelmäßiges praktisches Training wie das Schreiben von Phishing-E-Mails13 zu helfen, selbst eine Art "Hacker-Mentalität" zu entwickeln.

Bei den Prozessen werden oft die kleinen Dinge vergessen, deren Behebung Unternehmen im Nachgang viel Zeit kostet. CIOs sollten daher sicherstellen, dass das Unternehmen über ein stabiles Verfahren für die Aktualisierung von Systemen und Konfigurationen verfügen. Denn fehlerhafte Updates oder Code-Fehler sind Sicherheitslücken, die Angreifern Tür und Tor öffnen.

Wenn es um die Verringerung von Risiken geht, spielen Logins sowohl für Mitarbeitende als auch für Kunden eine zentrale Rolle. Was können beide tun, um sich bestmöglich zu schützen, zumal viele eine Vielzahl an Accounts besitzen?

Green Aaron: Social Engineering ist immer noch der effektivste Weg, um einen Nutzer zu kompromittieren, sowohl bei Mitarbeitenden als auch bei Kunden. Unaufgeforderte Benachrichtigungen und E-Mails, die Nutzer dazu bringen möchten, etwas zu tun wie auf einen Link zu klicken oder eine Datei herunterzuladen, sind ein Warnsignal. Nutzer sollten daher darauf achten, nur auf E-Mails von Diensten zu reagieren, deren Herkunft sie kennen. Wird deutlich, dass der Zugriff von einem ungewöhnlichen Ort aus passiert, kann dies ein Zeichen dafür sein, dass eine nicht autorisierte Person versucht, auf ein Konto zuzugreifen.

IT-Security und Nutzerfreundlichkeit

Die IDG CIAM-Studie 202214 kommt zu dem Schluss, dass der Kunde bei der Entwicklung von CIAM-Strategien oft vergessen wird. Wie sehen Sie das?

Green Aaron: Historisch gesehen, sind IT-Manager in der DACH-Region schon so lange für die Verwaltung des Mitarbeiterzugangs und der Anmeldedaten verantwortlich, wie es Arbeitsplatzanwendungen gibt. Vor diesem Hintergrund ist es nur logisch, dass sie nun mit einer neuen Art von Identitätsmanagement, dem Customer Identity & Access Management (CIAM)15, betraut wurden. CIAM weist jedoch einige wesentliche Unterschiede auf, so dass IT-Manager nicht umhinkommen, sich mit den neuen Fähigkeiten, Anforderungen und Zielen in diesem Bereich auseinanderzusetzen.

CIAM ist deshalb spannend, weil es sich mit oder nahe an der Innovationsgeschwindigkeit bewegt und die neuesten Technologien nutzt, um Kunden vor Betrug zu schützen und ein reibungsloses Online-Erlebnis zu bieten. Drei meiner Lieblingsfunktionen, auf die diese Beschreibung zutrifft, sind die passwortlose Registrierung, die so genannte progressive Profilerstellung, und die bereits erwähnte adaptive Authentifizierung.

Sie haben eine beeindruckende Karriere in der Cybersicherheit gemacht. Welchen Rat würden Sie jüngeren Frauen geben, die denselben Weg einschlagen wollen? Welche Fähigkeiten sind am wichtigsten?

Green Aaron: Meiner Erfahrung nach müssen sich Frauen gegenseitig helfen, wenn sie im Tech-Umfeld vorankommen und erfolgreich sein möchten. Wenn ich an die kritischen Karrierepunkte meiner Laufbahn zurückdenke, hatte ich immer starke weibliche Mentorinnen oder Förderer an meiner Seite. In meiner beruflichen Karriere habe ich nach jeder Gelegenheit gesucht, mich weiterzuentwickeln und zu lernen. Heute ist mein branchenübergreifendes Wissen zu meinem Trumpf als vielseitiger CISO und CIO geworden.

Das empfehle ich allen Interessierten: Bleibt am Ball. Nach meinem Bachelor of Science in Information Technology habe ich bei der Navy im Marine Corps Internet Command Center begonnen. Dort war ich für die Integration der Marinenetzwerke zuständig. Später arbeitete ich im Security Operations Center und habe dort die Drucker der Navy gepatcht. Es hat gedauert, bis ich mich zur Informationssicherheits-Spezialistin hochgearbeitet hatte. Aber es hat sich gelohnt: Rund 20 Jahre später bin ich immer noch im Geschäft.

Links im Artikel:

1 https://www.techwomen.org/
2 https://nulyp.iamempowered.com/
3 https://www.csoonline.com/de/a/10-fakten-ueber-den-job-eines-ciso,3671911
4 https://www.computerwoche.de/a/was-sie-ueber-die-cloud-wissen-muessen,2504589
5 https://www.csoonline.com/de/a/was-ist-social-engineering,3671904
6 https://www.cio.de/a/was-sie-ueber-erpressersoftware-wissen-muessen,3549246
7 https://www.computerwoche.de/a/was-ist-ein-ddos-angriff,3552606
8 https://www.computerwoche.de/a/was-kann-welche-firewall,3546133
9 https://www.csoonline.com/de/a/die-groessten-luecken-im-mfa-schutz,3671913
10 https://www.csoonline.com/de/a/chronik-eines-cyber-kriegs,3673728
11 https://www.computerwoche.de/a/was-sie-ueber-hacker-gewaltakte-wissen-muessen,3549299
12 https://www.csoonline.com/de/a/passwoerter-richtig-schuetzen,3671951
13 https://www.csoonline.com/de/a/so-phishen-sie-richtig,3671947
14 https://www.computerwoche.de/a/kunden-logins-zukunftssicher-machen,3552411
15 https://www.computerwoche.de/a/iam-vs-ciam-vom-besucher-zum-bekannten-kunden,3331316

IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.