Rückblick auf den Heise IT-Sicherheitstag in Mainz

Am 6. Mai trafen sich auf dem Campus der Hochschule Mainz rund hundert IT-Sicherheitsverantwortliche zu einer Frage, die einfach klingt und in der Praxis trotzdem die meisten Organisationen überfordert. Wie sichert man eine Wertschöpfungskette ab, die man nur zur Hälfte kontrolliert?

Der Heise IT-Sicherheitstag stand dieses Jahr unter dem Leitthema „Supply Chain Security“. Ein Tag, neun Vorträge, Referentinnen und Referenten aus Banken, Forschung, Pentesting, Produktsicherheit und Identity Management. Wer eine Veranstaltung voller Tool-Demos und Produktpitches erwartet hatte, wurde enttäuscht, im besten Sinne. Der rote Faden des Tages war kein technischer, sondern ein organisatorischer. Wer ein Werkzeug anfasst, muss vorher wissen, was er eigentlich schützen will.

Neun Vorträge, ein roter Faden

Die Bandbreite machte den Tag besonders. Am Vormittag ging es um Cybersecurity im Finanzsektor, betrachtet aus Angreifer- und Verteidigerperspektive gleichzeitig, um auditierbare Systemhärtung in der Lieferkette und um die Frage, was Cyber-Resilienz von der Fehlerkultur der Luftfahrt lernen kann. Am Nachmittag folgten Forschungsergebnisse zu externen Kollaborationen während Cyberkrisen, ein tiefer Blick auf FIDO-Authentifizierung als Schutz gegen Software-Supply-Chain-Angriffe und die Rolle des CERT@VDE beim Cyber Resilience Act. Den Schlusspunkt setzte ein Incident Responder mit dem vielleicht ehrlichsten Vortragstitel des Tages: „hope is not a strategy“. Schonungslos, unterhaltsam, mit einem klaren Appell: Aufräumen. Jetzt.

So unterschiedlich die Perspektiven waren, das Muster wiederholte sich. Wer seine Infrastruktur nicht kennt, kann sie nicht schützen. Wer Prozesse nicht definiert hat, dem hilft auch das beste Tool nicht weiter.

Warum IAM auf einem Supply-Chain-Event?

IAM gehört nicht nur in den Konzern

Sarah zeigte, wo Identity and Access Management heute tatsächlich eingesetzt wird und wo nicht. Banken und Konzerne betreiben IAM seit Jahren, getrieben durch regulatorische Anforderungen und schiere Komplexität. Hochschulen, Verwaltungen, gemeinnützige Organisationen dagegen fallen durch das Raster, obwohl die Herausforderungen dort nicht kleiner sind. Drei Dinge kommen zusammen: schlanke Personalstrukturen mit wenig dediziertem IT-Personal, knappe Budgets mit langen Genehmigungswegen und lange Zeit kein regulatorischer Druck, der zum Handeln gezwungen hätte.

Das ändert sich gerade schneller als viele dieser Organisationen reagieren können.

Von der Einstellung bis zur Exmatrikulation

Wie komplex ein Identitäts-Lifecycle wirklich ist, machte Sarah am Hochschulbeispiel greifbar. Das Grundprinzip klingt simpel: Joiner, Mover, Leaver. Jemand kommt in die Organisation, bekommt Zugänge. Jemand wechselt die Rolle, die Berechtigungen müssen mitwachsen. Jemand geht, die Zugänge werden gesperrt. Drei Situationen, die als eigene drei Prozesse beherrschbar klingen.

Nur hat eine Hochschule eben nicht nur Mitarbeitende. Studierende durchlaufen Immatrikulation, Semesterwechsel, Studiengangswechsel und irgendwann Exmatrikulation, wobei jeder dieser Schritte die Zugriffsrechte verändert. Dazu kommen externe Dienstleister mit eigenem On- und Offboarding, besondere Beauftragte wie Senatsmitglieder mit befristeten Sonderrollen und Forschungspartner aus anderen Institutionen, die über Federation angebunden werden. Wer das manuell verwaltet, verliert den Überblick. Wer den Überblick verliert, hat vergessene Zugänge, was einer der häufigsten Einfallsvektoren für Angreifer darstellt.

Den IAM-Standardablauf beschrieb Sarah in drei Bausteinen: Quellsysteme wie Personalverwaltung oder Campus-Management liefern die Daten. Eine Prozess-Engine steuert Freigaben, Regelwerke und Genehmigungen. Am Ende steht die automatisierte Provisionierung in die Zielsysteme, also Verzeichnisdienste, Fachanwendungen, Cloud-Services. Was sich durch den gesamten Ablauf zieht: klar definierte Zustände, nachvollziehbare Übergänge, auditierbare Protokolle.

Oder, wie es auf einer Folie stand: IAM ist der „Logistik-Backbone“, es regelt, wer wann welchen Zugriff bekommt.

Wenn es ernst wird: IAM im Security Incident

Der vielleicht spannenste Teil des Vortrags war der Anwendungsfall Security Incident. Sarah begleitet aktuell den Wiederaufbau einer Hochschul-IT nach einem Sicherheitsvorfall, und das merkt man den Folien an. Was passiert, wenn der Verzeichnisdienst korrumpiert ist und Tausende Accounts neu aufgesetzt werden müssen? Wenn externe Incident-Responder kurzfristig Zugang brauchen, dieser aber kontrolliert und zeitlich begrenzt sein muss? Wenn kompromittierte Applikationen durch neue ersetzt werden und die bestehenden Berechtigungskonzepte trotzdem übertragbar bleiben sollen?

Ohne IAM heißt das: Excel-Listen, unklare Zuständigkeiten, die ständige Frage, ob wirklich alle Altlasten bereinigt sind. Mit IAM lässt sich die Neuprovisionierung weitgehend automatisiert fahren. Rollenmodelle lassen sich auf neue Zielsysteme adaptieren, statt von Grund auf neu aufgebaut zu werden. Für externe Helfende gibt es geregelte Workflows mit klarem Verfallsdatum.

Wer bei Supply Chain Security nur an die Softwarelieferkette denkt, übersieht diesen Punkt. Im Ernstfall ist es die Identitätsinfrastruktur, die darüber entscheidet, wie schnell eine Organisation wieder arbeitsfähig wird.

Digitale Souveränität beginnt bei der Identität

Zum Schluss nahm sich Sarah das Thema digitale Souveränität vor. Ihre These: Souveränität heißt, selbstbestimmt handlungsfähig zu bleiben. Wenn Prozesse klar definiert und dokumentiert sind, hängt die Organisation nicht mehr am impliziten Know-how einzelner Personen. Offene Schnittstellen und Standardisierung erleichtern den Anbieterwechsel, weil sich die Organisation eben nicht in ein proprietäres System einschließen muss. Der Betriebsort bleibt frei wählbar, ob on-premises, in der Cloud oder hybrid. Und es gibt inzwischen reife europäische Open-Source-Alternativen, die produktiv einsetzbar sind.

Gerade der letzte Punkt trifft bei Organisationen der öffentlichen Hand einen Nerv. Wir erleben in Projekten regelmäßig, dass die Frage „Welche Abhängigkeiten können wir uns leisten?“ erst dann gestellt wird, wenn der Wechsel bereits schmerzhaft teuer wäre.

Das eigentliche Fazit des Tages

Wenn neun Vorträge aus völlig unterschiedlichen Perspektiven ein gemeinsames Fazit zulassen, dann dieses: Nur wer seine Infrastruktur, seine Lieferketten und seine Assets kennt, kann sie schützen. Das gilt für die Softwarelieferkette genauso wie für Identitäten und Berechtigungen, für Banken genauso wie für Hochschulen und KRITIS-Betreiber.

Die Technik dafür existiert, die regulatorischen Anforderungen sind formuliert. Was in vielen Organisationen fehlt, ist der Schritt davor. Hinschauen, aufräumen, Prozesse definieren. Dann erst automatisieren.

Wer nach dem Vortrag noch Fragen hat oder wissen möchte, wie ein IAM-Projekt in der eigenen Organisation aussehen könnte, erreicht uns über Kontaktformular oder einem direkten Anruf unter +49 6131 4811 100.