Digitale Souveränität zurückerobern am Beispiel digitaler Identitäten

Transcript

1. Digitale Souveränität zurückerobern am Beispiel digitaler Identitäten Alexander Schwartz |

   Principal Software Engineer | IBM Dennis Kniep | Principal Architect Identity and Access Management | Merck KGaA IT Summit | München (DE) | 2025-11-12

2. Bausteine digitale Souveränität Daten Anwendungen Identitäten

3. Kontrolle vs. Vertrauen

4. https://heise.de/-10387368 “… Microsoft habe seine Dienste für den Strafgerichtshof insgesamt

   "zu keinem Zeitpunkt eingestellt oder ausgesetzt".” Fehlende Kontrolle über Dienstverfügbarkeit

5. https://heise.de/-10494684 “… bei korrekten Anfragen müsse Microsoft auf jeden Fall

   seiner Verpflichtung nachkommen und die angefragten Daten weitergeben. Der Konzern wolle ferner die betroffenen Kunden hierüber informieren, müsse bei den US-Behörden jedoch erst um eine Erlaubnis hierzu bitten.” Fehlende Kontrolle über Daten

6. https://heise.de/-9297240.html “Mit dem gestohlenen Schlüssel ließen sich offenbar Zugangstoken und

   Benutzerkonten für nahezu alle Microsoft-Cloud-Dienste erstellen” Fehlende Kontrolle über die Architektur

7. Fehlende Kontrolle durch Multi-Tenancy https://www.heise.de/-10518817.html “Da Microsoft sein EntraID als

   universelles Login auch über verschiedene Tenants ermöglicht und das Password weiterhin als Klartext übermittelt…”

8. https://heise.de/-10662375.html “...als Admin für beliebige Tenants ausgeben...keine Spuren in Logs

   hinterlässt” Fehlende Kontrolle über Audit-Logs

9. https://www.microsoft.com/ “...discovered an active and successful device code phishing campaign

   by a threat actor we track as Storm-2372” Fehlende Kontrolle über (Security) Features, Policies, Roadmap & Prios

10. https://heise.de/-10662375.html “... Kundendienstabteilung kompromittiert wurde” Fehlende Kontrolle über (Fremd-) Zugriffe

11. Identity and Access Management selber hosten Volle Kontrolle über: •

    Vertraulichkeit • Integrität • Verfügbarkeit • APIs und Funktionen • Regeln • Audit-Logs Volle Verantwortung für: • Vertraulichkeit • Integrität • Verfügbarkeit • APIs und Funktionen • Regeln • Audit-Logs

12. IAM als Datenbank Speichert: • Benutzer-ID • Vorname, Nachname, …

    • E-Mail-Adresse • Berechtigungen (Rollen, Gruppen, …) • Credentials (Passwörter, 2FA, …) Herausforderungen: • Verfügbarkeit • Software-Updates • Backup und Restore • Vertraulichkeit

13. IAM ist aus dem Internet erreichbar Erreichbar für: • Kunden

    • Mitarbeiter • Partnerunternehmen • OSINT • Angreifer Herausforderungen: • Härten • Auditing • Monitoring und Gegenmaßnahmen • Denial of Service

14. IAM als Speicherort für Credentials Speichert und aktualisiert: • Passwörter

    • 2FA Tokens • Passkeys Herausforderungen: • Prozesse für Credential Rotation • Onboarding/Offboarding • Rollout von Passkeys • Verlorene Credentials • Passkeys als Lösung und Herausforderung • Standards, die sich weiterentwickeln

15. IAM als Integrationsplattform Integriert mit: • Personalwirtschaft • Partnerunternehmen •

    BundID Herausforderungen: • Automatisierung • Konsistenz und Aktualität • Audit-Logs • Standards zur Integration die sich weiterentwickeln

16. Keycloak ist eine Open Source Identity und Access Management Lösung

    🎂 Erster Commit 2013-07-02 🏆 Cloud Native Computing Foundation Incubating project seit April 2023 📜 Apache License, Version 2.0 ⭐ 31k GitHub stars

17. Keycloak standalone betreiben Login Request Verify token < Token >

    API Cloud Services

18. Erster Kontakt mit Keycloak

19. Verwaltung für Admins Keycloak über We- UI, REST oder CLI

    verwalten

20. Selbstverwaltung für Benutzer Benutzerdaten, Passwort, 2FA

21. Keycloak an LDAP anbinden LDAP • Read-Only? • Benutzer importieren?

    • Caching? • Für Authentifikation verwenden? • Synchronisieren? • Kerberos?

22. Keycloak an andere Identity Provider anbinden SAML OpenID Connect OAuth

    2.0 SAML OpenID Connect OAuth 2.0 • Welche Claims und Attribute? • Lokale Credentials erlauben?

23. Case Studies Hitachi Ltd. nutzt Keycloak um Security für FinTechs

    zu vereinfachen OpenTalk erreicht flexible Integration von Identitäten mit Keycloak BRZ migrierte das Business Service Portal mit 2M+ Nutzern zu Keycloak https://www.keycloak.org/case-studies

24. “Authentifiziert wird zu Hause”

25. Ausschließlich Passkeys • FIDO erzwingen, Convenience vs. Security (kein Downgrade)

    Konsequenz: Es muss überall funktionieren (legacy, special cases,...) ◦ Detached Authentication als Lösung für legacy Webviews ◦ Identity Proxy • Dedizierter FIDO-Server für verschiedene Szenarien • Passkeys an Geräte koppeln

26. Ein funktionierendes Identity Management erfordert ein individuell anpassbares Ecosystem

27. Credential Portal • Onboarding • FIDO management • Recovery •

    … …self-service ist entscheidend

28. Realtime ITDR Threat detection & risk evaluation • Machine Learning

    • Entity Behavior Analysis (User, Endpoint, etc.) • Anomaly Detection • Algorithmic Rules / Signatures (via FlinkSQL) • Verschiedene Datenquellen miteinander verbinden (IdentityFabric, ThreadIntel etc.) Automation • Automatische response • Threat resolutions via workflow engine

29. • Zentraler Antrieb für IAM sollte Security sein - Konsequenz

    ist Compliance • Seine “Haupteingangstür” sollte man selber kontrollieren • Stop duct-taping - start integrating! • Investiert in Mitarbeiter, nicht in Lizenzen • Höhere Automatisierung durch Self-Service schafft Zeit für strategische Themen • Adaptiert Passkeys! IAM Hosting mit Open Source ist möglich

30. 2025 ist ein großartiges Jahr 󰭈 um sein eigenes SSO/IAM/IdP

    zu hosten. Lasst uns Keycloak In die breite Community bringen 📣 !

31. • Keycloak https://www.keycloak.org/ • Case Studies https://www.keycloak.org/case-studies Links Folien:

32. Alexander Schwartz Principal Software Engineer [email protected] https://www.ahus1.de @ahus1.de @[email protected] Kontakt

    Dennis Kniep Identity and Access Management Architect [email protected] https://denniskniep.github.io @dennis_kniep