Liebe Industrie,
‍

Von der Bewachung zur Leitplanke: Umstellung der Cybersicherheit von Erkennung auf Prävention

Al Lakhani, Gründer & CEO, IDEE

Der Anbruch des digitalen Zeitalters hat die Art und Weise, wie wir leben, arbeiten und kommunizieren, grundlegend verändert, so dass jeder Einzelne und jedes Unternehmen beim Navigieren in der digitalen Landschaft Schutz suchen muss. Infolgedessen ist die Cybersicherheit ein fester Bestandteil des Lebens von Verbrauchern und Unternehmen geworden. Mein Weg in diesem Sektor begann vor mehr als zwei Jahrzehnten. In einer Zeit, in der die Computerleistung von Gigaflops zu Exaflops springt und einst für unüberwindbar gehaltene Grenzen sprengt, verharrt die Cybersicherheitsbranche in einem Paradoxon des Fortschritts. Trotz der enormen technologischen Fortschritte, die unsere digitale Welt neu gestaltet haben, stagniert unser Ansatz für die Cybersicherheit - insbesondere bei der Verhinderung von Kontoübernahmen - auf peinliche Weise. In den letzten fünf Jahren haben sich die Vorfälle von Kontoübernahmen hartnäckig um die 80 %-Marke herum bewegt - ein eklatantes Zeugnis für die mangelnde Trägheit unserer Branche. Während unsere Rechenkapazitäten in Bereiche vorgestoßen sind, die einst als Science-Fiction galten, sind unsere Strategien zum Schutz digitaler Identitäten in Methoden verstrickt, die im Vergleich dazu fast mittelalterlich erscheinen. Dieser krasse Gegensatz verdeutlicht nicht nur, dass wir uns nicht weiterentwickelt haben, sondern ist auch ein klarer Aufruf zu einem grundlegenden Wandel in unserem Cybersicherheitsethos: von der Erkennung zur vollständigen Prävention.
‍

Über vergangene Fehler nachdenken

Lassen Sie uns einen Schritt zurückgehen. In den Anfängen der Computernutzung wurde Antivirensoftware zur ersten Verteidigungslinie gegen Cyber-Bedrohungen, und die Hersteller entschieden sich schließlich dafür, auf neuen Computern automatisch Antiviren-Erkennungssysteme zu installieren. Dieser Ansatz erwies sich jedoch als unzureichend, da sich die Angriffstechniken schnell weiterentwickelten und die Erkennungsfähigkeiten der vorinstallierten Antiviren-Software übertrafen. Dies ist ein nützliches Beispiel für die Herausforderung, mit der wir heute konfrontiert sind, wenn auch mit einer anderen Technologie: der Multi-Faktor-Authentifizierung (MFA 1.0). Ihre Einführung war ein Fortschritt, der zu Recht darauf abzielte, Angriffe zur Übernahme von Konten (ATO) zu begrenzen. Die Technologie ist jedoch immer noch nicht in der Lage, die Ursachen für diese Cyberverletzungen zu bekämpfen. Und anstatt die Mängel zu beheben, sind wir nach wie vor darauf fixiert, durch diese Schwachstellen verursachte Verstöße zu erkennen, anstatt sie gänzlich zu verhindern. Dieser peinlich primitive und reaktive Ansatz hat unsere Sicherheitslandschaft in eine Umgebung verwandelt, in der Angriffe zur Übernahme von Konten (ATO) nicht die Ausnahme, sondern die Regel sind. Darüber hinaus ist das Beharren auf der Verwendung von zwei Geräten für die Multifaktor-Authentifizierung (MFA 1.0) ein Beispiel für die drastische Verschlechterung der Benutzererfahrung - vergleichbar damit, dass man jedes Mal zwei Schlüssel benötigt, um sein Auto zu entriegeln. Infolgedessen hat der Ansatz der Branche nicht nur unsere Sicherheit gefährdet, sondern auch das Benutzererlebnis erheblich verschlechtert und die Vision einer sicheren digitalen Zukunft in eine Fantasie verwandelt. Die Milliarden-Dollar-Frage lautet also: Warum ist die Branche so besessen von einem reaktiven Ansatz, der sich auf die Erkennung konzentriert, auf Kosten der Prävention?
‍

Aufdeckung ist besser fürs Geschäft

Nennen Sie mich pessimistisch, aber ich fürchte, das liegt daran, dass die Erkennung ein milliardenschweres Geschäft ist. Es wird erwartet, dass der Umsatz auf dem heutigen Cybersicherheitsmarkt im Jahr 2024 183,1 Milliarden Dollar erreichen wird und bis 2028 auf 273,6 Milliarden Dollar ansteigt. Der Löwenanteil dieses Marktes entfällt auf detektionsbasierte Sicherheitsunternehmen, die sich durch laufende Abonnements, Beratungsgebühren und Gebühren für digitale Audits auszeichnen. Daher würde jeder Schritt hin zur Implementierung einer Technologie, die kompromittierte Anmeldedaten effektiv auslöscht und ATO gänzlich verhindert, die Einnahmeströme unterbrechen, die detektionsbasierte Software generieren kann. Dies sollte Anlass sein, die Praktiken der Branche kritisch zu überprüfen. Das Zögern, präventive Maßnahmen zu ergreifen, trotz ihres Potenzials, die Sicherheit zu erhöhen, spiegelt einen grundlegend fehlerhaften Cybersicherheitssektor wider - einen Sektor, der aus seinem anhaltenden Schlummer geschockt werden muss.
‍

Prävention ist möglich

Die Verwirklichung des Wunschtraums einer ATO-freien Welt ist in der Tat keine unüberwindbare Herausforderung. Ja, es erfordert eine kühne Neukonzeption der Cybersicherheit, aber es ist durchaus möglich, die Prävention zur Grundlage unserer Arbeit zu machen - und nicht nur zu einem Merkmal. Es geht darum, die Ursachen von ATO-Angriffen an der Wurzel zu packen und sie zu beseitigen. Die Technologie zur Beseitigung von ATO ist heute vorhanden; die Branche muss lediglich einen aufgeschlossenen Ansatz verfolgen und das Wort "unmöglich" aus ihrem Wortschatz streichen, so wie die Menschheit einst das "Unmögliche" verwarf und einen Mann auf den Mond brachte. Die einzigen Hindernisse für eine Zukunft ohne Kontenübernahmen sind die Grenzen, die wir unserer Vorstellungskraft und Entschlossenheit auferlegen. Diese Werte stehen im Mittelpunkt der Arbeit der IDEE. Unsere Systeme beruhen auf den Grundsätzen des unveränderlichen Anmeldedaten und des transitiven Vertrauens, die sicherstellen, dass der Zugriff auf die Konten und Daten einer Person oder eines Unternehmens nur auf vertrauenswürdigen Geräten, durch vertrauenswürdige Benutzer und unter der vollständigen Kontrolle der Benutzer möglich ist. Im Gegensatz zu den allgegenwärtigen Sicherheitsmaßnahmen bedeutet dies, dass wir die mit Passwörtern, Codes, Push-Benachrichtigungen und QR-Codes verbundenen Schwachstellen beseitigt haben und eine vollständig - und ich meine vollständig - phish-sichere Lösung bieten. Darüber hinaus ist Anmeldedaten von Natur aus dezentralisiert und wird lokal auf vertrauenswürdigen Geräten in sicherer Hardware gespeichert. Ohne zentrale Datenbanken und mit transitivem Vertrauen und starkem Identitätsnachweis haben wir einen Weg gefunden, ATO-Angriffe zu einem Relikt der Vergangenheit zu machen. Viele Leute glauben uns nicht, wenn wir ihnen das sagen, aber es ist wahr. Ich lade die Branche ein, sich unsere Lösungen anzusehen und zu erfahren, was IDEE leisten kann - kommen Sie einfach vorbei und schauen Sie sich um.
‍

Es ist an der Zeit, den Status quo in Frage zu stellen

Der nächste Schritt in der Entwicklung unserer Branche besteht darin, sich ein Beispiel an jenen zu nehmen, die es gewagt haben, vom Mond zu träumen, die sich für eine Aufgabe entschieden haben, nicht weil sie einfach war, sondern weil sie ein Beweis für ihr grenzenloses Potenzial war. Heute stehen wir vor einer ähnlichen Entscheidung: den Status quo zu akzeptieren oder die Zukunft der Cybersicherheit neu zu definieren. echt Als ich in diese Branche kam, wusste ich, dass ein grundlegender Wandel notwendig war, um Einzelpersonen und Unternehmen online zu schützen. Natürlich habe ich auf dem Weg dorthin auch Fehler gemacht. Zuerst haben wir versucht, ein B2C-Wearable zu entwickeln, was kommerziell gescheitert ist. Dann versuchten wir es mit digitalen B2B2C-Identitäten, was wiederum kommerziell scheiterte. Ich habe nie aufgegeben, und unsere aktuelle B2B-MFA-2.0-Lösung ist auf dem Markt gut angekommen. Aber das Ziel dieser Lösungen war immer dasselbe: ATO zu verhindern. Das Vermächtnis unserer Branche, das, was wir gemeinsam erreichen können, wird davon abhängen, ob wir diese eine Sache erreichen können. Wenn wir uns dafür entscheiden, können wir digitale Identitäten schützen und der Online-Welt endlich Vertrauen einflößen. Gemeinsam können wir eine neue Ära der Cybersicherheit einläuten und ein Erbe antreten, das dem digitalen Zeitalter würdig ist. Ich lade Sie ein, mich auf dieser Reise zu begleiten.