Georg Gann, Yubico: Ich muss heutzutage phishingresistent sein!
November 2022 von Manuel Langhans, Global Security Mag
Gespräch auf der it-sa 2022. Yubico, Hersteller von Hardwaresecuritykeys, sieht einen dynamischen Markt und einen hohen Bedarf für phishingresistente Authentifizierung
Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor
Yubico wurde ursprünglich 2007 von Stina Ehrensvärd gegründet. Sie hatte die Idee, nachdem sie mit ihrer Bank gesprochen hat, denn sie wollte ein Medium haben, mit dem man sich überall sicher authentisieren kann. Im Internet war damals hauptsächlich Online-Banking im Fokus und Stinas Mann sagte, er könne die Bankseite leicht hacken. Gemeinsam haben die beiden dann einen Security-Key entwickelt. Anfangs nur in Europa, dann auch in den USA, wo mit Google der erste große Kunde gewonnen wurde. Mit Google zusammen hat Yubico die FIDO Alliance gegründet und den FIDO U2F Standard entwickelt. Auch FIDO 2 haben wir zusammen mit Microsoft maßgeblich mitentwickelt und sind weiterhin Boardmember bei FIDO. Auf der anderen Seite kann der Key natürlich auch Legacy-Systeme mit Smartcard oder mit Zertifikat absichern. Und so sind wir zum weltweiten Marktführer im Bereich sichere Authentifizierung mit Hardware-Securitykeys geworden. Die letzten Jahre hat das Thema noch an Dynamik gewonnen und Yubico hat heute knapp 400 Mitarbeiter. DACH und Osteuropa wachsen bei uns stark, weltweit ist das Wachstum teilweise mehr als dreistellig. Dazu hat sicherlich auch die Pandemie beigetragen und – Stichwort Homeoffice – die Notwendigkeit Remotezugänge absichern. Durch den Krieg in der Ukraine kam noch mehr Unsicherheit in den Markt.
Yubico betreibt von Anfang an die Initiative Secure it Forward, um die Pressefreiheit zu unterstützen. Keys werden kostenlos an gefährdete Reporter in aller Welt verteilt. Auch überall sonst, wo Leute aus verschiedensten Gründen diskriminiert werden, versuchen wir diese abzusichern. Aktuell gab es z.B. eine große Key-Spende an die Ukraine.
GSM:Was stellen Sie auf der it-sa vor?
Wir haben 3 Stände bei unseren Großhändlern (Allnet, Sysob, Infinigate), auf denen wir unser klassisches Portfolio vorstellen, hauptsächlich natürlich unsere Keys. Diese werden permanent weiterentwickelt, die Firmware wird geupdatet. Letztes Jahr im Oktober haben wir auch einen Biometriekey gelauncht. Das Thema MFA wird extrem wichtig momentan. Unsere Stände werden sehr gut besucht.
GSM:Was sind die Stärken Ihres Produkts?
Kein Wettbewerber hat einen FIDO Key, der mit unserer Qualität vergleichbar ist. Die Verarbeitung auf der Platine ist sehr hochwertig. Der Kunststoff besteht nicht aus zwei Hälften, sondern wird um die Platine gegossen. Es gibt keine Batterie, keine Bruchstellen. Unsere Keys sind dadurch sehr robust. Wir hören immer wieder Geschichten: mit dem Auto drüber gefahren, mitgewaschen, etc., und der Key funktioniert immer noch.
Ein weiterer Vorteil ist, dass wir in Schweden und in den USA produzieren. Für den deutschen Markt ist die Produktion in Europa. Das macht viel aus.
Wir haben Zertifizierungen, die andere teilweise nicht haben, sowie Fips 140-2 für den amerikanischen Markt und die CSPN-Zertifizierung der französischen ANSSI. Durch das Abkommen zwischen ANSSI und BSI wird diese Zertifizierung auch vom BSI anerkannt.
Außerdem haben wir eine sehr gute und verlässliche Partnercommunity und damit einen guten Marktzugang.
GSM: Was ist Ihre Message an unsere Leser?
In einem Report, den Microsoft veröffentlicht hat, wurde betrachtet, wieviele erfolgreiche Phishing-Angriffe es innerhalb von 8 Monaten in Unternehmen gab, die Azure MFA aktiviert hatten. Das Resultat: etwa 10.000 erfolgreiche Angriffe trotz Azure MFA. Das heißt, dort wurde SMS-Push oder OTP genutzt. Wir haben jetzt gerade beim Uber-Breach gesehen, wie relativ einfach ein OTP abgephisht wurde. Meine Message an alle die heute MFA nutzen wollen: Nutzt Protokolle, die phishingresistent sind. Entweder Smartcard oder Zertifikat, für alles was On-Premise oder Legacy ist, für alles was in der Cloud ist, so wie Azure AD oder aws, immer Fido 2. Alles andere ist inzwischen phishbar. OTP ist 30 Jahre alt. Wenn ich heute sicher sein will, brauche ich phishingresistente Authentifizierung, denn 80% aller erfolgreichen Angriffe geht Stand heute immer noch über das Phishing von Identitäten. Bei ganz vielen, auch großen Unternehmen, werden initial immer noch Passwort oder OTP oder Push verwendet. Diese Art der MFAs funktioniert heute nicht mehr. Die Welt hat sich im letzten halben Jahr so schnell geändert, dass ich heutzutage phishingresistent sein muss. Und phishingresistent heißt FIDO oder Smartcard. Meiner Meinung nach muss das passieren.
Übrigens hat die Biden-Regierung letztes Jahr eine Executive Order herausgegeben, die besagt, dass alle Behörden in den USA, von der Schulbehörde in Tuscaloosa bis zum FBI, bis Ende nächsten Jahres phishingresistente Authentifizierungsmethoden nutzen müssen, und das auch sicherstellen müssen für alle, die mit diesen Behörden zu tun hat. Das passiert in den USA und wir merken, dass das auch hier auf den Märkten ankommt.
- Paul Bauer, Illumio : Never trust, always verify! Das ist das Leitmotto von Zero Trust
- Uwe Gries, Stormshield: Spagat der CISOs zwischen schrumpfenden Budgets und gesteigertem Bedarf an adäquatem Schutz
- Jörg Vollmer, Qualys: Risikobasierte Priorisierung gegen schneller und effizienter agierenden Cyberangreifer
- Valentin Boussin, Tixeo: Unsere Videokonferenzlösung ist die sicherste auf dem Markt
- Phil Leatham, YesWeHack: Veränderte Rahmenbedingungen stellen Sicherheitsverantwortliche vor neue Herausforderungen
- Stefan Henke, Cloudflare: Jeder soll sich wie ein CISO fühlen
- Airlock: Secure Access Hub mit Anomaly Shield und Continuous Adaptive Trust
- Nils Karn, Mitigant: Sicherheit ist etwas, das ich kontinuierlich betreiben muss
- Jens Sabitzer, Venafi: Viele Securityteams sind nicht in der Lage, auf Augenhöhe mit ihren eigenen Kollegen zu sprechen
- Ramon Mörl, itWatch: Der europäische Cybersecurity-Markt kann nur durch Zusammenarbeit wachsen
- Roland Stritt, SentinelOne : Die Cybersecurity-Community muss zusammenarbeiten
- Will Stefan Roth, Nozomi: Zwischen OT und IT findet oft kein regulärer Austausch statt
- Jutta Cymanek, Omada: Identity Management ist eine extrem wichtige Basiskomponente
- SailPoint : "Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann."
- Jelle Wieringa: "Wir wollen niemanden zwingen, ein Cybersecurity Training zu machen, wir wollen sie befähigen und motivieren, es selbst zu tun!"
- Armin Simon, Thales: Secure the Breach, sei vorbereitet, dass etwas passieren wird, du kannst schon davon ausgehen