Mit der neuen Lösung Identity Intelligence will Cisco ein weit verbreitetes Security-Problem angehen: Cyberkriminelle müssen sich nicht mehr zwingend in Systeme hacken, sie könnten sich auch anders, manchmal bedeutend einfacher, Zugang in Systeme verschaffen. "Die Angreifer kommen schlicht zur Vordertür ein", sagte Jeetu Patel, Ciscos EVP & GM Security & Collaboration, während seiner Keynote an der Cisco Live in Amsterdam.

Zugangsdaten könnten im Darkweb erworben, Multifaktor-Authentifizierungen umgangen werden. Erschwerend hinzu kommt, dass User häufig zu viele und zu hohe Rechte hätten, so der Manager. Haben sich Angreifer einen Zugang verschafft, können sie sich weiter in einem Unternehmen ausbreiten.

Für Firmen werde es zunehmend schwieriger, den Überblick über Zugriffsrechte zu behalten. Dies habe unter anderem damit zu tun, dass in der Rechteverwaltung verschiedene Abteilungen involviert seien. Teamleader vergeben die Rechte, IT-Verantwortliche sollten sie verwalten. Hinzu komme die starke Fragmentierung der Security-Landschaften. Immer wenn eine neue Gefahr auftauchte, habe es in der Folge Dutzende neuer Tools gegeben. So könne es nicht weitergehen, so der Security-Verantwortliche von Cisco.

Mehr als ein Viertel aller Incident Response-Einsätze von Cisco Talos im Jahr 2023 hätten Vorfälle betroffen, in denen Cyberkriminelle gestohlene Anmeldedaten für gültige Konten verwendeten, heisst es vom Unternehmen.

Es reiche nicht, einen User einmal zu authentifizieren und zu fragen, ob er Zugang haben darf. Man müsse kontinuierlich bewerten können, ob ein User in der Lage sein sollte, das zu tun, was er tut, nachdem er authentifiziert ist, so Patel.

Als jüngstes Beispiel dieses Problems dient der Angriff auf Microsoft. Cyberkriminellen war es gelungen, E-Mail-Konten zu kompromittieren. Der erste Zugriff erfolgte wohl über alte Test-Accounts, die über Admin-Rechte verfügten.

Diese Probleme will Cisco mit Identity Intelligence angehen. Dabei handelt es sich um eine Erweiterung von Cisco Security Cloud, die ab Juli 2024 verfügbar sein soll.

Cisco-Vertreter betonten vor Journalistinnen und Journalisten, dass es sich bei der Lösung nicht um eine Konkurrenz zu bestehenden Authentifizierungs-Tools wie Auth0 oder Okta handle, sondern mit diesen zusammenarbeite.

Ein Analytics-Layer könne Daten aus den Drittanbieter-Quellen abrufen und so Identitäten und Zugänge verwalten. Mit KI-basierten Verhaltensanalysen könnten Anomalien erkannt und unterschiedliche Massnahmen ergriffen werden. Etwa könnten Sitzungen beendet oder eine Identität unter Quarantäne gestellt werden.

Das gelte nicht nur für User-Konten, sondern auch für Devices, führte Patel auf der Bühne im Amsterdam aus. Identity Intelligence erkennt beispielsweise Geräte, die nicht mehr verwendet werden, und entziehe ihnen das Vertrauen.