Hinweis: mit "Play" wird eine Verbindung zu Podcastbude, Media On Work GmbH, Potsdam hergestellt.
In dieser Folge spricht Philipp Ebnet mit Klaus Bierschenk, Microsoft MVP und Security-Experte, über moderne Authentifizierung, Zero Trust und die Frage, wie Unternehmen Identitäten sicher verwalten. Klaus erklärt, warum Passwörter zunehmend an Bedeutung verlieren, welche Rolle FIDO-Keys und Multi-Factor-Authentication (MFA) spielen und wie sich Zugriffsrechte intelligent und zukunftssicher gestalten lassen. Außerdem gibt er praktische Einblicke in Lösungsansätze für Organisationen jeder Größe.
Diese Inhalte erwarten Sie in der Episode
Unverständliche Passwortrichtlinien überfordern Nutzer und führen zu unsicheren Notlösungen wie Zettelwirtschaft. Wichtiger als komplexe Passwörter sind sichere Anmeldeverfahren, etwa mit MFA oder sogar passwortlos über FIDO-Keys. Diese Methoden entlasten die Nutzer und erhöhen zugleich die Sicherheit.
„Ein FIDO-Key ist quasi Passwort 2.0.“
Conditional Access Policies ermöglichen eine kontextabhängige Steuerung von Zugriffsrechten. Dabei fließen Faktoren wie Gerätetyp, Standort oder Art der Authentifizierung in die Berechtigungen ein, wodurch Zugangsberechtigungen präzise definiert werden können. Zusammen mit einer Zero-Trust-Strategie lassen sich so sichere Arbeitsumgebungen schaffen. Klar ist aber auch: Sicherheit ist kein einmaliger Prozess, sondern eine Reise, die nicht endet.
„Zero Trust ist immer wichtig. Da muss man eine saubere Strategie haben!“
Soft-Deleted-Objekte lassen sich wiederherstellen, Hard-Deleted-Objekte nicht mehr — hier geht die zugehörige Objekt-ID verloren. Diese ist technisch entscheidend, etwa für Zugriffsregeln oder Conditional Access Policies. Welches Löschkonzept sich für die eigene Sicherheitsstrategie eignet, sollte jedes Unternehmen individuell erörtern.
Auch für Ein-Personen-Unternehmen kann es sinnvoll sein, Zero Trust und Conditional Access Policies einzusetzen – denn für eine wirksame Sicherheitsstrategie zählt nicht die Unternehmensgröße, sondern der Schutzbedarf der eigenen Daten.
Transkript der Folge 5
Passwortlos in die Zukunft: Die neuen Wege der IT-Sicherheit
Aber daneben gibt es auch sehr viele interne Fehlerquellen. Also, dass einfach, wenn ich etwa unsaubere Zugriffsrechte habe oder auch einfach ganz klar, was jeder User machen muss, Passwortmanagement. Und um mich da ein bisschen aufzuschlauen in dem Thema, habe ich mir heute Klaus Bierschenk ins virtuelle Studio geholt. Hi Klaus, schön, dass du da bist.
Klaus Bierschenk, CGI: Hallo Philipp, grüß dich!
Philipp Ebnet, CGI: Klaus bringt ganz viel Erfahrung aus dem Thema Identity und Security Management und war schon in ganz vielen Projekten in dem Bereich eingesetzt. Klaus ist Technologieberater bei CGI und ist außerdem auch Microsoft MVP, also Microsoft Most Valuable Professional für Security.
Insofern liegt sein Schwerpunkt auch auf hybriden IT-Infrastrukturen, aber er kennt sich natürlich auch mit Cloud und Microsoft Technologie aus, klar, als Microsoft MVP. Und er unterstützt bei Herausforderungen bei den Themen Active Directory und Microsoft Entra ID.
Darüber hinaus ist Klaus auch in der Community aktiv oder gibt sein Wissen gerne weiter. Also er ist als Sprecher auf internationalen Konferenzen aktiv und engagiert sich natürlich auch in der Microsoft Community. Und er betreibt auch einen Blog. Da komme ich auch am Ende nochmal dazu. Den verlinke ich dir auch in den Shownotes. Da publiziert Klaus ganz viele Fachartikel. Der Blog nennt sich Nothing but Cloud. Wie gesagt, das verlinke ich in den Show Notes.
Philipp Ebnet, CGI: So, Klaus, das erste Thema, das mich interessiert, ist so ein bisschen das Thema Passwortmanagement. Und wie ich als Unternehmen auch meine User dazu bekomme, sichere Passwörter zu nutzen. Also es gibt ja ganz viele Berichte, dass die beliebtesten Passwörter immer noch so simple Folgen sind, wie, keine Ahnung, eins, zwei, drei, vier, fünf, sechs, was jetzt vermutlich nicht allzu sicher ist. Insofern was kann ich als Unternehmen denn machen, wenn ich sage, ich möchte meine Mitarbeitenden dazu bekommen, sichere Passwörter zu benutzen?
Klaus Bierschenk, CGI: Ja, das ist eine ganz gute Frage heutzutage, denn wir leben in einer spannenden Zeit, wo Bedrohungen immer zunehmen. Und ich will das mal so beantworten. Also, das Passwort sollte hier gar nicht mehr so sehr im Vordergrund stehen. Im Vordergrund stehen sollte die Anmeldung. Das heißt, wie melde ich mich an ein System an? Denn wenn ich mich weiter wie in den letzten Jahren auf Passwörter konzentriere und versuche, die sicherer zu machen, was ja auch Sinn macht, denn wir wollen ja unsere Umgebung sicherer machen. Aber dann mache ich eines ganz bestimmt: Ich nerve salopp gesagt die Anwender, weil wenn ich jetzt verlange ein zehnstelliges Passwort mit Sonderzeichen, Groß-, Kleinbuchstaben. Wir kennen das alle. Dann passiert Folgendes, dass die Benutzer sich das Passwort irgendwo aufschreiben oder andere Dinge. Wir sind alle Menschen. Das ist so.
Und deswegen sollte hier im Grunde genommen die Anmeldung im Vordergrund stehen. Und das ist doch das, was Microsoft erkannt hat. Und immer mehr in den Fokus rückt hier zum Beispiel passwortlose Anmeldung oder Anmeldung über andere Geräte auch, wie beispielsweise ein Fido-Key oder auch über Smartphone. All das ist möglich. Vielleicht auch in Kombination mit einem Passwort, das dann nicht mehr so wichtig ist.
Und wenn du mich fragst, was Unternehmen hier machen sollten oder wo liegen Erziehungsmaßnahmen, vorsichtiger ausgedrückt in Richtung Endanwender? Dann würde ich sagen, dass hier eigentlich im Grunde genommen die einzige Strategie, die greifbar ist, die wirklich treffend ist für mich, dass man Technologien vorbereitet, wo man über einen zweiten Faktor sich anmeldet, weil dann wird das Passwort unwichtiger. Und Leute sind nicht genervt. Die Anmeldung wird sicherer, weil wenn du dich nur mit deinem Passwort anmeldest und irgendjemand hat das Passwort, dann kann er sich anmelden. Aber an dein Smartphone oder an deinen zweiten Schlüssel oder wie auch immer kommt zu schnell keiner.
Philipp Ebnet, CGI: Ja, genau, jetzt sprichst du da schon mehrere Themen an, beziehungsweise mir fallen gleich mehrere Fragen ein. Ich will erstmal nochmal auf das Thema MFA eingehen, was du jetzt gerade am Ende erwähnt hast. Also Multi-Factor Authentication. Also ganz kurz, MFA bedeutet einfach, dass ich mehrere Verifizierungsschritte verlange, einfach um die Sicherheit zu gewährleisten, falls ein Schritt davon geknackt wird. Klassisches Beispiel: Ich melde mich mit einem Passwort an und dann muss ich noch in einem Authenticator auf meinem Smartphone eine Zahlenkombination oder so eingeben. Da wäre jetzt erstmal meine Frage: Ist es in jedem Bereich sinnvoll MFA einzusetzen oder sagst du, das ist zu aufwendig, zu ressourcenaufwendig, wenn ich das wirklich überall einsetze und es gibt aber ganz bestimmte Punkte oder in welchen Bereichen sollte ich es auf jeden Fall einsetzen?
Klaus Bierschenk, CGI: Also das hört sich ja erst mal alles ziemlich kompliziert an, wenn man über mehrere Faktoren für die Anmeldung spricht und auch auf ein Unternehmen schaut, was muss das Unternehmen machen, um eben das zu etablieren. Aber das ist rein von der Technologie her in dem Microsoft Umfeld, in dem ich tätig bin, relativ einfach, weil diese Technologien sich leicht hier quasi implementieren lassen. Und aus meiner Sicht ist es für jeden Bereich wichtig, über mehrere Faktoren zu haben, weil nämlich du überall Kompromittierung haben kannst. Es gibt natürlich Bereiche, die sind vielleicht sensibler, keine Ahnung, vielleicht im Bankenumfeld, Forschungsumfeld, all diese Dinge. Das ist definitiv der Fall. Da macht es dann nochmal richtig Schmerzen, wenn dort was quasi kompromittiert würde. Aber ich würde das jetzt nicht versuchen, zu differenzieren.
Microsoft hat das gemacht auf einer Ebene, die ich sehr sinnvoll finde, und zwar ist das die Administration. Du hast heute, wenn du zum Beispiel Microsoft Cloud Technologie administrieren möchtest, da hast Du ja administrative Konten, die lassen sich ja identifizieren und klassifizieren. Und mit denen ist zum Beispiel eine Anmeldung rein über Passwort gar nicht mehr möglich. Da hast du jetzt auf jeden Fall schon mal die Notwendigkeit, über einen zweiten Faktor dich anmelden zu müssen, sonst kommst du gar nicht auf die Plattform drauf. Das ist schon mal wichtig. Also das ist ein Bereich, bei dem unterschieden wird, macht auch Sinn, weil natürlich administrative Konten hoch privilegiert sind und natürlich einen sehr, sehr größeren Hebel haben, dann Dinge zu tun und zwar auch dann ein Schädling hier einen entsprechenden größeren Hebel hätte.
Philipp Ebnet, CGI: Jetzt mal nicht nur aus Unternehmenssicht, sondern auch aus Anwendersicht. Wir haben ja ganz viele unterschiedliche Accounts bei den verschiedensten Dienstleistern. Bei welchem Dienstleister sollte ich denn da als User skeptisch werden, wenn da kein MFA verlangt wird, sondern wenn ich mich da einfach nur mit einem Single-Passwort einlogge?
Klaus Bierschenk, CGI: Ich würde, wenn ich heute einen Zugriff auf eine Landschaft bekomme, ohne MFA würde ich immer skeptisch werden. Weil das ist meiner Meinung nach nicht mehr zeitgemäß. Ist auch einfach einzurichten. Schau mal, wenn du dich heute bei Google anmeldest oder überall sind Begriffe wie ein Passkey oder auch die Authenticator-App von Microsoft zum Beispiel im Spiel. Und das heutzutage zu etablieren, ist überhaupt nicht schwer. Und ich würde da im Grunde genommen nicht unterscheiden wollen. Und ich denke auch in meiner Wahrnehmung jetzt, die Bereiche, wo es um Geld geht, wo eingekauft wird, irgendwo Shopping im Internet oder was auch immer, das geht ja gar nicht mehr ohne MFA an der Stelle. Und auch Bankendienste, so Paypal oder was es da alles gibt, auch das ist definitiv ohne MFA gar nicht mehr denkbar. Und ich überlege jetzt gerade, ich rede, ob ich irgendwo noch eine Webseite habe, wo ich ohne MFA zugreife. Aber ich glaube, das ist mittlerweile vorbei meiner Meinung nach. Es mag sicherlich was geben, das ist jetzt nicht in meinem Businessbereich. Ich würde da nicht unterscheiden wollen, Philipp.
Philipp Ebnet, CGI: Würdest du dann allgemein so Password Manager empfehlen? Password Manager ist ja, dass ich ein Master Password habe und in dem Password Manager sind dann meine anderen Passwörter gespeichert. Einfach damit ich mir als User nicht so viele verschiedene, trotzdem sichere Passwörter merken muss. Ich meine, wir kennen ja alle, die ja teilweise als User sehr komplexen oder sehr schwer zu merkenden Anforderungen an sichere Passwörter. Also das muss keine Ahnung, 15 Zeichen sein mit unterschiedlichsten Symbolen, dann noch Zahlen und sonst was mit drin. Wenn ich da 20 verschiedene Dienste habe, wo ich jeweils ein eigenes Passwort brauche, ja, haben wir am Anfang schon gesagt, das kann ich mir als Nutzer irgendwann nicht mehr merken. Ja, insofern die Frage, Passwortmanager, ja oder nein?
Klaus Bierschenk, CGI: Ja, auf jeden Fall, wenn ich in einer Passwortwelt lebe. Also wenn ich jetzt viele Anmeldungen habe, ein Passwortmanager ist ein sicherer Safe, der ist verschlüsselt. Dort habe ich meine Passwörter drin für meine ganzen Anmeldungen. Den benutze ich auch. Der wird aber immer unwichtiger, je mehr ich quasi mich passwortlos anmelde.
Schau mal her, ich habe zum Beispiel so ein Fido-Key. Wenn ich mich mit dem anmelde, den stecke ich in meinen USB-Port und dann kann ich bei der Anmeldung sagen, ich möchte mich mit dem Fido-Key anmelden, wenn ich das eingerichtet habe. Dann muss ich den berühren und muss einen vierstelligen Pin eingeben. Und bin angemeldet, sehr einfach und sehr sicher. Weil der, der sich mit dem Fido-Key anmelden will, der muss erst mal den Fido-Key bekommen. Wenn der mir jetzt im Büro entwendet wird oder was auch immer, dann muss der Benutzer, der den hat, aber auch die Pin haben. Also das ist sehr, sehr viel sicherer an der Stelle. Aber solange wir Passwörter haben, solange finde ich definitiv sinnvoll, über ein Passwort safe auch zu reden.
Philipp Ebnet, CGI: Jetzt hast du schon mehrmals eben passwortlose Anmeldungen erwähnt und eben auch den Fido-Key. Ich frage mal ganz kurz für diejenigen, es nicht kennen. Magst du mir mal kurz zusammenfassen, was ein Fido-Key ist?
Klaus Bierschenk, CGI: Das ist kleines Gerät, das wird in den USB-Port gesteckt und dort sind Credentials gespeichert. Also meine Anmeldeinformationen sind darauf gespeichert. Und wenn ich beispielsweise, ich melde mich jetzt bei meiner Webseite, Microsoft an und sage, okay, bei meinem Benutzerkonto, ich möchte jetzt quasi eine Anmeldung mit eben diesem Fido-Key, mit diesem Hardware-Schlüssel oder Token erstellen, dann wird eine Verbindung hergestellt von der Webseite mit meiner Benutzerinformation zu diesem Fido-Key und wird gespeichert im Hintergrund auf der Seite.
Und das ist dann quasi wie Passwort 2.0, will ich mal salopp sagen. Das ist kein Passwort, aber man kann das so sagen. Es ist eine Verbindung von diesem Hardware-Teil zu meiner Anmeldung. Gibt es von verschiedenen Herstellern, kosten keine Ahnung, 20, 30 Euro ungefähr. Gibt es auch teurere, gibt es in allen Ausprägungen auch mit Funk und so weiter. Eine gängige Variante ist eben die, dass man die in den USB-Port steckt.
Und das hat eine große Zukunft, weil das eben ja nicht abgegriffen werden kann. Also phishing-resistent ist der Begriff hier. Ein Passwort kann man ja abfischen, wenn man aufs Netzwerk horcht. Und beim Fido-Key geht das halt eben entsprechend nicht. Und deswegen sehr wichtig und sehr zukunftswichtig.
Philipp Ebnet, CGI: Wie ist dann da der Unterschied für Unternehmen in der Einrichtung? Ist das wie viel aufwendiger oder wie ist der Aufwand im Vergleich zu normalen Passwörtern oder eben solche passwortlose Einmeldungen anzurichten für die Mitarbeitenden? Wie schätzt du da den Arbeitsaufwand ein im Vergleich?
Klaus Bierschenk, CGI: Ja, irgendwie müssen ja die Anmeldeinformationen von dem Benutzer, der diesen Key benutzt, die müssen auf den Key drauf. Und da hast Du zwei Möglichkeiten. Also entweder neuer Mitarbeiter kommt ins Unternehmen und muss sich erstmalig anmelden. Dann wird er aufgefordert, den Key, der ihm schon vorher auf den Postweg zugeschickt wurde, dementsprechend einzurichten. Das ist das eine.
Aber wenn du jetzt beispielsweise eine Umgebung hast, wo das nicht geht, ja ich habe zum Beispiel auch Kunden im Schülerumfeld, zum Beispiel Schulumfeld. Und dort habe ich einfach auch dann, ich sage mal, Benutzergruppen, die willst du damit gar nicht belästigen. Das muss automatisch von der IT-Abteilung passieren. Und dann kannst du das auch machen, kannst dann quasi die Key vor-provisionieren, sagt man. Und dann hat der Benutzer, Meier, Müller, Schmidt oder wer auch immer, hat dann quasi die Information auf diesem Schlüssel drauf und dann wird der verschickt mit einer PIN und der ist dann fertig einzusetzen.
Also das lässt sich ganz individuell und ganz variabel einrichten, je nach Szenario. Du kannst es auch mischen. Du kannst es in die Benutzerhände legen oder eben auch das für ihn tun.
Philipp Ebnet, CGI: Mir fällt jetzt als erstes die Sorge ein, dass ich den Key dann verlieren würde, wenn ich keine Ahnung mit dem Zug ins Büro fahre oder sonst was. Welche Maßnahmen kann ich dann ergreifen, dass meine Mitarbeitenden eben den nicht verlieren, sondern den irgendwie sicher aufbewahren, sicher mitnehmen? Was gibt es da an Best Practices?
Klaus Bierschenk, CGI: Ja, der kann natürlich überall sein. Der Key nur nicht da, wo er sein soll, wenn du montags morgens ins Büro gehst. Der ist irgendwo im Auto noch oder zu Hause oder oder oder oder. Also, das ist natürlich dann Frage der Architektur, der Planung, also wie designst du sowas?
Es gibt natürlich nicht nur eine Tür, um sich anzumelden, eben diesen Fido Key. Es sollte ja mehrere geben. Vielleicht gibt es einen zweiten Key. Du kannst an so einem Benutzerkonto auch mehrere Keys hängen. Oder du hast halt die Möglichkeit, auch das über dein Smartphone zu machen, also dein Smartphone lässt du wahrscheinlich weniger zu Hause wie so ein Fido-key. Das hast Du immer irgendwie auf dem Tisch liegen. Es gibt auch die Möglichkeit, quasi temporär, sich Zugriff zu verschaffen über den Helpdesk. Dass du den Helpdesk anrufst und der sagt, pass mal auf, ja, ich kann mich jetzt hier nicht anmelden, kannst du mir so ein temporäres Passwort geben. Dann wird das für dieses Benutzerkonto ausgestellt und damit ist dann eine Anmeldung möglich. Einmalig oder für ein Zeitfenster von zwölf Stunden oder das lässt sich beliebig einrichten.
Aber das sind natürlich Sachen, die werden wichtig, wenn ich mir hier konzeptionell Gedanken mache über so eine Implementierung.
Philipp Ebnet, CGI: Spannendes Thema und auch wirklich interessant, dass die passwortlose Anmeldung wichtiger wird oder an Verbreitung gewinnt. Das ist tatsächlich mega spannend und ein zweites Thema, an das ich jetzt noch bisschen einsteigen würde, ist das Thema Zugriffsrechte.
Also ich kenne es aus meinem Arbeitsalltag, dass klar nicht alle Dateien, die ich mit meinem Team bearbeiten will, da hat natürlich nicht jeder aus meinem Unternehmen Zugriff drauf. Ist ja logisch, es müssen nicht 5000 Leute auf meine eine PowerPoint-Präsentation zugreifen, so ungefähr, sondern da langt es mir, wenn mein kleines Team da drauf zugreift.
Aber bei diesen Zugriffsrechten, wie stelle ich da denn sicher oder welche Bereiche, wenn ich jetzt aus Unternehmenssicht denke, welche Bereiche sollte ich überhaupt so aufsetzen, dass ich sage, okay, da können gar nicht alle Leute zugreifen, sondern da sollen die Leute selber entscheiden können, wem sie Zugriff geben und wem nicht. Wie empfiehlt sich da die Architektur einfach? Was ist da so deine Erfahrung?
Klaus Bierschenk, CGI: Das ist sehr spannendes Thema, das ist eigentlich eines meiner Lieblingsthemen. Du hast ja vorhin schon Entra ID genannt einsteigend. Das ist ja der Ort, wo ganze Benutzerkonten und Rechte und so weiter in der Microsoft Cloud gespeichert werden. In Entra ID gibt es eine Technologie, das sind die Conditional Access Policies. Über die kannst du die Zugriffe regeln. Und das ist ziemlich großes Kino, also besonders für jemanden, der von der On-Premises-Welt, also von Active Directory Seite kommt, aus dem Rechenzentrum. Da gab es sowas nämlich noch nicht.
Das heißt, wenn ich mich heute an die Microsoft Cloud anmelde, dann habe ich so ein Paket an Informationen, das wird mitgeschickt. Das ist so in der Signalverarbeitung. Teil dieser Signale ist zum Beispiel, mit welchem Computer arbeite ich. Ist das ein Mac, ist das ein Windows, ist der compliant, ist der nicht compliant? Von wo arbeite ich? Habe ich mich mit MFA angemeldet oder mit einem Fido-Key oder mit was auch immer? All das sind Informationen, die werden mitgeschickt.
Und das coole hierbei ist, dass aufgrund dieser Informationen Zugriffsentscheidungen getroffen werden können in diesen Conditional Access Policies. Ich kann jetzt zum Beispiel sagen, okay, ich habe eine administrative Webseite, wo ich Passwörter zurücksetze für Benutzer. Das soll derjenige, der das macht, aber nicht von seinem Smartphone aus machen. Ich will, dass der das am Firmenstandort macht, im Helpdesk an seinem Arbeitsplatz, wo er arbeitet. Nur da soll er das machen. Das kann ich zum Beispiel regeln.
Und du kannst alle Applikationen, in der Microsoft Cloud sind, es müssen nicht Microsoft Applikationen sein, das kann auch irgendwas anderes sein, von Adobe, von Google, was auch immer. Die kannst du damit absichern und kannst jeden Zugriff auf jeder Applikation hierüber absichern und kannst Zugriffsentscheidungen treffen und kannst sagen, okay, der darf zum Beispiel zugreifen mit einem Passwort. HR-Abteilung zum Beispiel, wenn es Personalinformation geht, da muss ich oder möchte ich sicherstellen, dass der Zugriff über den Fido-Key zum Beispiel geschieht. Also das ist sich maximal elegant absichern heutzutage. Conditional Access Policies ist das Schlagwort hier.
Philipp Ebnet, CGI: Ich habe natürlich in Vorbereitung auf unser Gespräch auch mal auf dein Blog geschaut und da hast du ja auch einen schönen Beitrag zu dem Thema. Und in dem Beitrag erwähnst du zum Beispiel auch das Stichwort Zero Trust. Würdest du mir mal ganz kurz erklären, was sich hinter diesem Begriff Zero Trust verbirgt?
Klaus Bierschenk, CGI: Übersetzt heißt es ja erstmal kein Vertrauen, also wenig Vertrauen. Und im Grunde genommen auf unsere IT-Welt übertragen, kann man sagen, das ist ein Architekturprinzip. Es ist jetzt keine Technologie oder irgendwas, sondern eher so eine Strategie, eine Herangehensweise. Wie sichere ich quasi heute meine Landschaft ab?
Und das Wichtige oder das Entscheidende hierbei ist, dass wir heutzutage in einer sehr spannenden, aber auch herausfordernden Welt leben. Denn wir leben im öffentlichen Internet mit unseren Identitäten. Das heißt, Anmeldinformationen werden übers Internet transportiert. Und da kommen Prinzipien von Zero Trust in den Vordergrund. Wir haben hier zum Beispiel Kontrollmechanismen, über die wir gerade gesprochen haben, also Multifaktor-Authentifizierung oder auch geringstmögliche Berechtigungen. Das heißt, ich statte den Administrator nur mit den Berechtigungen aus, die er für seine Arbeit, die er jetzt hier machen möchte, braucht und nicht mehr. Und Zero-Trust, das sollte man vielleicht einleitend noch erwähnen, ist ja dieses Architekturprinzip, kannst du auf alle Bereiche anwenden. Mein Bereich ist Identity, Security. Du hast aber noch mehr Bereiche, wo du auch diesen Zero Trust Gedanken leben solltest. Computer zum Beispiel oder Rechenzentrumssicherheit. All das sind Bereiche, wo du mit diesen Prinzipien arbeiten kannst.
Aber aus meiner Sicht, der für mich jetzt spannendste Aspekt ist, eben Identitäten. Weil hier arbeiten Menschen, hier werkeln Menschen. Menschen machen Fehler, Menschen arbeiten fahrlässig. Und genau deswegen ist es da wichtig, eben nach Zero Trust zu agieren. Und da gibt es gute Dokumente auch bei Microsoft, um die Technologien abzusichern. Aber ein wichtiger Aspekt an der Stelle noch, bevor ich es vergesse, ist, Microsoft sagt, Zero Trust ist eine Reise, die nicht endet. Und das ist auch wichtig. Die Anforderung für ein Unternehmen ist es, das immer wieder auf den Prüfstand zu stellen. Gibt es neue Technologien, die meine Landschaft noch sicherer machen? Gibt es Veraltetes, von dem ich mich vielleicht trennen muss? Also da ist eine kontinuierliche dynamische Bewegung drin. Das umschreibt Zero Trust an der Stelle. Sehr spannendes Thema und sehr wichtiges heutzutage.
Philipp Ebnet, CGI: Ja, wie du schon sagst, ich glaube auch, da gibt es einfach immer Neues zu lernen. Also da kann man nichts sagen man ruht sich auf dem Wissen aus, dass man keine Ahnung, sich in seinem Studium angeeignet hat, sondern da muss man, wie du das ja vorlebst, vorbildlich sich in der Community engagieren und eben sich weiterbilden. Das ist nur so am Rande, was mir gerade als du das gesagt hast so eingefallen ist.
Ein weiteres Thema oder ein weiterer Punkt bei dem Thema, du hast ja gerade auch genannt, dass man die Identitäten vergeben kann oder irgendwie muss ich die auch abspeichern. Also wer wo Zugriff hat. Und wenn dann einer meiner Mitarbeitenden zum Beispiel mein Unternehmen verlässt, dann muss ich ja die Identität auch wieder löschen. Klar, ich will ja die Rechte nicht ewig da haben.
Und in dem Zusammenhang bin ich auch auf die Begriffe Soft und Hard Deletion gestoßen. Könntest du mir vielleicht da auch erstmal ein bisschen helfen und mir mal ganz kurz erklären, was da der Unterschied zwischen Soft und Hard Deletion ist oder was sich hinter den Begriffen verbirgt?
Klaus Bierschenk, CGI: Genau, also soft deleted ist ein Objekt in Entra, das gelöscht ist, aber nicht so wirklich weg ist. Das ist erst mal nur ein Papierkorb. Und wenn ein Objekt hard deleted ist, dann ist es wirklich weg.
Das ist wichtig zu unterscheiden. Denn wenn ich jetzt beispielsweise das Benutzerkonto Klaus Bierschenk lösche, dann landet das erst mal im Papierkorb. Und ich kann das aus dem Papierkorb soft deleted wieder herausholen oder ich kann es im Papierkorb permanent löschen. Dann ist es hard deleted.
Standardmäßig in Entra ist es so, dass ein Objekt, soft deleted ist, also das im Papierkorb ist, dass das nach 30 Tagen dann endgültig gelöscht ist. Und das ist alles Aufgabe des User Lifecycle-Managements, hier zu definieren, was macht Sinn. Mitarbeiter sind mal eine Zeit lang nicht da, die machen Sabbatical oder haben Elternzeit oder was auch immer und dann liegt das Konto halt mal ein halbes Jahr brach und da muss man halt aufpassen, dass das nicht verschwindet.
Denn das Wichtige dabei ist, wenn man über Soft- und Hard-Delete redet, ist, dass das Wichtige an einem Benutzerkonto ist nicht der Name oder die E-Mail-Adresse oder irgendwas anderes, das ist die Objekt-ID. Und wenn ich jetzt das Konto im Papierkorb bewege und es wieder raushole, ist die Objekt-ID noch die alte. Habe ich aber das Konto hard deleted und ich sage, ach, ist ja nicht so schlimm, ich habe ein Excel-File, wo ich die ganzen Informationen drin habe, dann kann ich den Benutzer wieder anlegen, dann hat er aber eine neue Objekt-ID. Aus technischer Sicht ist das ein neuer Benutzer. Das ist nicht mehr der alte.
Und das ist wichtig im Zusammenhang mit den Conditional Access Policies, die ich gerade erklärt habe. Denn wenn ich dort sage, ich habe eine Conditional Access Policy für diesen oder für jeden Benutzer oder Gruppe, dann ist zwar der Name da drin in der Policy, aber unter der Haube wird hier die Objekt-ID referenziert. Und das ist das kritische daran, was man wissen muss, wenn man sagt, okay, von hart deleted kann ich was wieder herstellen, aber das ist nicht mehr das gleiche Objekt, das ist wichtig an der Stelle.
Philipp Ebnet, CGI: Welche Daten würdest du dann empfehlen, erst mal auf Soft Delete zu lassen? Und welche Daten würdest du sofort hard deleten?
Klaus Bierschenk, CGI: Benutzerinformation meinst du oder Gruppenobjekte oder was meinst Du?
Philipp Ebnet, CGI: Ja, oder allgemein. Wenn du jetzt Kunden hast, die du berätst, welche Daten würdest du dann sagen, die könnt ihr hard deleten, einfach auch um vielleicht auch Speicherplatz freizuräumen, und welche Daten würdest du sagen, da lieber erstmal auf Soft Delete setzen?
Klaus Bierschenk, CGI: Ja, also das ist natürlich Konzeptfrage, je nachdem, was für ein Unternehmen das ist. Und es gibt die Möglichkeit, gibt Technologien. Purview zum Beispiel ist eine Technologie, damit kann ich Daten klassifizieren. Intern, vertraulich, public, was auch immer. Und aufgrund dieser Klassifizierungsmerkmale kann ich dann sagen, was passiert, wenn das Element gelöscht wird, ist es endgültig weg oder landet es erstmal in so einem temporären Bereich.
Also das lässt sich je nach Unternehmen, Kultur oder nach Notwendigkeit einstellen. Aber das kann man nicht so pauschal beantworten, denn jedes Unternehmen hat natürlich Daten, die sind wichtiger oder weniger wichtig. Oder wenn jemand diese Daten löscht, will er vielleicht sagen, ich will das die hier wirklich weg sind, weil ich will nicht, dass irgendein Admin oder wer auch immer die wieder herholt.
Philipp Ebnet, CGI: Was mich noch interessiert ist, du hast vorhin schon gesagt, klar soft delete, dann sind die Daten erstmal im Papierkorb und hard delete, dann sind die Daten wirklich weg. Aber gibt es trotzdem Möglichkeiten, diese hard deleted Daten wiederherzustellen, die nicht IT-affine Menschen vielleicht nicht kennen? Oder sind die wirklich einfach komplett hinüber?
Klaus Bierschenk, CGI: Ich mache seit über 20 Jahren IT. Ich bin immer vorsichtig mit so endgültigen Aussagen. Aber ich sage mal so, Fakt ist, dass diese Objekt-ID, die ich jetzt gerade angesprochen habe, das ist ein Read-Only-Attribut in Entra. Das kannst du nicht beschreiben. Das heißt, du kannst das eigentlich mit der alten Sichtbarkeit technisch nicht wieder herstellen.
Dass es da aber nicht irgendwo Umwege und Möglichkeiten gibt, die ich jetzt vielleicht nicht auf dem Schirm habe, das will ich jetzt mal nicht hundertprozentig ausschließen, aber ich will es so sagen, dass das sehr, sehr schwer ist.
Philipp Ebnet, CGI: Was mich noch interessieren würde, so Richtung Ende, wenn ich auf die Zeit schaue, diese ganzen Thema Access Policy und auch wie gebe ich meinen Nutzern Zugriff, eben Anmeldung über Passwort oder eben Anmeldung ohne Passwörter. Was würdest du denn sagen aus Unternehmenssicht? Ab welcher Größe ist es denn sinnvoll, dass ich mir solche Themen Gedanken mache? Mache ich mir da schon Gedanken darüber, wenn ich einfach selbstständig bin mit nur mir als Mitarbeiter oder soll ich mir da Gedanken darüber machen, wenn ich zehn Mitarbeiter habe oder ab welcher Größe ist es sinnvoll, in dieses Thema einzusteigen? Klaus Bierschenk, CGI: Das ist bestimmt eine Frage, sich viele Unternehmen stellen. Würde ich jetzt gar nicht mal so sehr an die Größe des Unternehmens tackern wollen. Ich würde das daran festmachen, was das Unternehmen macht. Ich habe kleine, in Anführungszeichen Unternehmen, kleine Implementierungen mit 10, 15 Leuten, die machen Softwareentwicklung für die Forschung. Das ist hochkritisch. Und dann gibt es auch große Unternehmen wie, was weiß ich, Automobil oder was auch immer. Es gibt ganz viele Bereiche, sind kritisch, weniger kritisch. Trennen würde ich mich hier beim Gedanken von der Größe des Unternehmens, dass man sagt, 10.000 größer ist nur ganz wichtig.
Also der Content entscheidet meiner Meinung nach heutzutage. Und geistiges Eigentum ist ja auch so ein Begriff hier an der Stelle. Wenn man heute irgendwie, keine Ahnung, Journalist bist oder ein Buch schreibst oder was auch immer und da wirklich viel, viel Herzblut reinsteckst in deine Arbeit, dann ist das wahrscheinlich materiell oder anderweitig gar nicht aufzuwiegen. Und das ist natürlich sehr kritisch. Und das mache ich alleine. Und wenn das jetzt irgendjemand in seine Hände bekommt, dann wäre der Schaden für mich natürlich sehr, sehr groß, obwohl ich nur ein Ein-Mann-Unternehmen bin. Das würde ich eher so an den Inhalten festmachen wollen.
Philipp Ebnet, CGI: Die Absicherung ist ja auch immer eine Frage der Ressourcen, vor allem der finanziellen Ressourcen, die mir zur Verfügung stehen. Ja, ich frage einfach mal, wie teuer ist denn eine gute Absicherung? Was würdest du sagen?
Klaus Bierschenk, CGI: Ja, sagen wir mal Salopp, also Microsoft lässt sich das natürlich bezahlen. Und da gibt es auch ein sehr ausgeklügeltes Abonnement und Subscription Modell bei Microsoft Cloud Technologien. Und das ist gestaffelt. Und du hast hier, was die Absicherung betrifft, eines Benutzerkontos zum Beispiel, verschiedene Möglichkeiten, Conditional Access Policies zum Beispiel, die gerade besprochen habe, die sind in jeder Lizenzierung dabei. Das ist eine Sicherheit, die ist wichtig.
Aber wenn du dann zum Beispiel andere Technologien hast wie Schutz von Identitäten, dass du Signale überwachst zum Beispiel, ja du meldest dich jeden Morgen von München aus an und dann kommen auf einmal 30 Anmeldungen aus Singapur oder aus wo auch immer her, untypisch, dann kannst du Reaktionen quasi an den Start bringen. Aber das ist eine Technologie, musst du extra bezahlen. Das sind dann diese P-Lizenzen von Microsoft, da gibt es verschiedene und nicht nur das. Je nach Kunde hast du auch andere Verträge mit Microsoft. Und da kostet eben so eine Lizenz nicht mehr für den Benutzerkonto 7 Euro, sondern nur 4 Euro oder 20 Euro oder was auch immer. Und das kann sehr schnell ziemlich teuer bei großen Umgebungen. Da muss man sich schon gut überlegen, was man da macht.
Philipp Ebnet, CGI: Dann wären wir so langsam am Ende von der Zeit. Eine Frage würde ich dir gerne noch stellen. Was ist dein Thema für 2026? Was ist dein Thema, das du auf dem Schirm hast, wo du sagst, das wird wichtig werden noch?
Klaus Bierschenk, CGI: Also nach wie vor Zero Trust, ist immer wichtig. Also da muss man als IT-Entscheider am Ball bleiben. Da muss man eine saubere Strategie haben. Nicht jeden auf jeden Zug aufspringen ist auch wichtig. Aber Zero Trust Strategie zu etablieren ist wichtig. Das heißt, wie kümmere ich mich die maximale Absicherung von meinen Benutzerkonten? Das heißt, hier weiterhin neue Technologien zu etablieren, weggehen von Passwörtern. Schauen, wie mache ich das Leben meiner Anwender einfacher und sicherer? Das ist was, wo mir denke, was sicherlich viele Entscheider auf dem Schirm haben. Und das ist so das, würde ich sagen, das Maßgebliche.
Philipp Ebnet, CGI: Alles klar. Danke dir für die ganzen Antworten, Klaus, für die ganzen Informationen und Einblicke. Vielen, vielen Dank, dass du da warst. Ich hoffe, dir hat es auch gefallen.
Klaus Bierschenk, CGI: Vielen Dank, dass ich hier sein durfte. Vielen Dank.
Philipp Ebnet, CGI: Immer gerne. Und natürlich auch ein großes Dankeschön an dich, dass du zugehört hast. Wenn es dir gefallen hat, dann like und subscribe den Podcast gerne, damit du keine Folge verpasst. Wie ich anfangs schon erwähnt habe, wenn du mehr über Klaus' Arbeit wissen willst oder über die Themen dich da tiefer einlesen willst, dann schau gerne auf Klaus' Blog vorbei. Den Link dazu findest du in den Show Notes. Und ansonsten kann ich nur sagen, ich freue mich auf die nächste Folge und bis dahin sage ich, ciao, wir hören uns.
Wenn Sie Fragen, Anmerkungen oder Themenwünsche für den CGI Podcasts Digitalwandler haben, dann schreiben Sie gerne eine E-Mail an den Host Philipp Ebnet. Gerne können Sie sich auch mit ihm auf LinkedIn vernetzen.
