Vernetzen Sie sich mit uns

Interviews

Howard Ting, CEO von Opal Security – Interviewreihe

mm
Veröffentlicht

Howard TingDer CEO von Opal Security ist eine erfahrene Führungskraft im Bereich Cybersicherheit und Technologie und leitet das Unternehmen seit November 2025. Zuvor war er Executive in Residence bei Greylock und über fünf Jahre bei Cyberhaven als CEO und Vorstandsmitglied tätig, wo er das Unternehmen bei seiner Mission, Daten zu schützen und sichere Innovationen zu ermöglichen, maßgeblich unterstützte. Seine berufliche Laufbahn umfasst strategische Marketing-Führungspositionen bei Redis Labs und Zscaler sowie leitende Marketing- und Produktfunktionen bei Nutanix, Palo Alto Networks, Cisco (über Securent), Microsoft und RSA Security. Zudem sammelte er erste Erfahrungen im Bereich Fusionen und Übernahmen bei Banc of America Securities. Diese Kombination aus operativer Führungskompetenz, Markteinführungsexpertise und fundierter Erfahrung im Bereich Cybersicherheit prädestiniert ihn für die Leitung einer schnell wachsenden Sicherheitsplattform.

Opal Security ist ein modernes Unternehmen für identitätszentriertes Zugriffsmanagement, das Unternehmen eine zentrale Plattform zur Verfügung stellt, um den Zugriff auf Cloud-, SaaS- und interne Systeme zu steuern und zu sichern. Die Plattform bietet einheitliche Transparenz über Identitäten und Zugriffspfade, unterstützt Self-Service- und Just-in-Time-Zugriffsworkflows und automatisiert Zugriffsprüfungen, um das Prinzip der minimalen Berechtigungen skalierbar durchzusetzen. So können Unternehmen Risiken reduzieren und die Compliance in dynamischen Umgebungen mit menschlichen Benutzern, Servicekonten und KI-Agenten verbessern.

Sie haben kürzlich die Position des CEO bei Opal Security übernommen, nachdem Sie Cyberhaven erfolgreich weiterentwickelt und Führungspositionen bei Unternehmen wie Palo Alto Networks, Nutanix, Cisco, RSA Security, Redis und Microsoft innegehabt haben. Was hat Sie in diesem Stadium Ihrer Karriere zu Opal geführt, und wie prägt Ihre bisherige Erfahrung Ihre heutige Sicht auf Zugriff, Identität und KI-basierte Sicherheit?

Die Zugriffsverwaltung wird überall schwieriger. Mehr Identitäten, mehr Maschinen, mehr Automatisierung – und der relevante Zugriff entsteht zunehmend in Entwicklungs- und Cloud-Workflows, nicht mehr in der traditionellen IT. Standard-IAM- und IGA-Tools sind für diese Anforderungen nicht ausgelegt, und identitätsbasierte Bedrohungen warten nicht darauf, dass sie nachziehen.

Genau das hat mich an Opal fasziniert. Das Ausmaß dieses Problems ist enorm, und Opal ist bereits auf die zukünftige Marktentwicklung ausgerichtet. Ich habe ähnliche Entwicklungen schon früher erlebt. Bei RSA, Palo Alto Networks und Cyberhaven konnte ich die Revolutionen im Bereich Multifaktor-Authentifizierung, Next-Generation-Firewalls und Datenherkunft live miterleben, und die Dynamik hier ist frappierend ähnlich: Ein branchenprägendes Problem entwickelt sich schneller, als die meisten Anbieter reagieren können, und das Zeitfenster für das richtige Team, um die Verantwortung zu übernehmen, ist sehr klein.

Opal verfügt über dieses Team. Die technische und produktbezogene Basis ist solide, und der durch direkte und zielgerichtete Arbeit aufgebaute Kundenstamm spricht für sich. Jedes Kundengespräch, das ich geführt habe, bestätigte dasselbe: Dieses Problem verschärft sich, und Opal bietet die Lösung.

Was ich beim Aufbau und der Skalierung von Teams in verschiedenen Unternehmen gelernt habe, ist, dass die Umsetzung deutlich einfacher wird, wenn Produktentwicklung, Engineering und Markteinführung denselben Fokus auf den Kunden haben. Wenn alle dasselbe Problem und dieselbe Chance sehen, kann man schnell und präzise agieren. Opal verfügt bereits über diese Basis. Meine Aufgabe ist es, darauf aufzubauen und sicherzustellen, dass unsere Kunden die volle Unterstützung dieses Teams spüren, während wir wachsen.

Nachdem Sie jahrelang in den Bereichen Identitätsmanagement, Cloud-Infrastruktur und Unternehmenssicherheit gearbeitet haben, wo sehen Sie die Schwächen traditioneller Zugriffskontrollmodelle, wenn Unternehmen KI stärker einsetzen?

Die ehrliche Antwort lautet: Die meisten traditionellen Zugriffskontrollmodelle wurden zur Lösung der Authentifizierung entwickelt – und für Menschen ist dieses Problem weitgehend gelöst. Identitätsanbieter (IDPs) und moderne Authentifizierungsmethoden beantworten die Frage „Wer bist du?“ recht gut. Für nicht-menschliche Identitäten bringen API-Schlüssel und Geheimnismanagement einen Teil des Problems ans Ziel. Doch die Autorisierung – „Was darfst du tun und wie lange?“ – bleibt sowohl für Menschen als auch für Maschinen weitgehend ungelöst, und genau darin liegt das eigentliche Risiko.

Erschwerend kommt hinzu, dass Entwicklungsteams heute mit Automatisierung, Infrastruktur als Code und KI-gestützten Tools arbeiten, die im Rahmen der täglichen Entwicklung neue Berechtigungen generieren. Zugriffsrechte ändern sich nicht mehr schrittweise durch IT-Workflows – sie werden programmatisch erstellt, geändert und erweitert, oft ohne dass jemand die gerade erteilten Berechtigungen überprüft. Das Ergebnis ist eine zunehmende Verbreitung überberechtigter Konten, fragmentierter Berechtigungsverwaltungssysteme und einer Governance, die teuer, reaktiv und weitgehend blind für die tatsächlichen Vorgänge ist.

Und ich möchte noch etwas ganz offen ansprechen: Derzeit wird in diesem Markt massiv mit KI-Versprechen geworben. Anbieter versuchen verzweifelt, „KI“ an bestehende Architekturen anzuhängen, was eine entscheidende Tatsache für Käufer verschleiert: Es existiert noch immer kein praktikables und validiertes Sicherheits- und Governance-Framework für KI-Systeme. Der Hype überholt die tatsächlichen Kontrollmechanismen, und genau in dieser Lücke entsteht das größte Risiko.

Das ist der entscheidende Unterschied bei Opals Ansatz. Anstatt Governance nachträglich in Arbeitsabläufe zu integrieren, modelliert Opal den Zugriff direkt anhand der Systeme, die Ingenieure bereits nutzen, wendet Richtlinien in Echtzeit an und ermöglicht Sicherheitsteams, Autorisierungsentscheidungen reibungslos zu steuern. Wenn Governance sich nahtlos in die Entwicklungsprozesse einfügt, wird sie nicht länger zum Hindernis, sondern zu einer vertrauenswürdigen Infrastruktur.

Opal konzentriert sich darauf, zu verwalten, wer und was in modernen, Cloud-nativen Umgebungen auf sensible Systeme zugreifen kann. Welche Sicherheitsprobleme werden von Unternehmen, die mit KI-Agenten und automatisierten Arbeitsabläufen arbeiten, am häufigsten unterschätzt?

Die am meisten unterschätzten Probleme sind eigentlich nicht neu. Es sind jene, die sich im Zusammenhang mit menschlichen Identitäten über Jahre hinweg stillschweigend verschärft haben. Grundlegende Governance-Praktiken wie Prozesse für Eintritt, Versetzung und Austritt von Mitarbeitern, bedarfsgerechter Zugriff und Überprüfung von Benutzerzugriffen wurden in den meisten Organisationen lange Zeit vernachlässigt oder notdürftig behoben. Auch Compliance-Vorgaben wie SOX sind nicht verschwunden; sie sind lediglich mit zunehmender Komplexität der Umgebungen schwieriger zu erfüllen geworden. Nichts davon ist glamourös, aber genau dieses Fundament bricht zusammen, sobald KI-Systeme zum Einsatz kommen.

Unternehmen integrieren KI, um Arbeitsabläufe zu optimieren und Routineaufgaben zu eliminieren. Dabei führen sie jedoch nicht-menschliche Identitäten ein, die Zugriffsbeziehungen in einem Ausmaß vervielfachen, für das bestehende Tools nie ausgelegt waren. Das Ergebnis ist ein unübersichtliches Geflecht, in dem menschliche Zugriffe bereits unzureichend kontrolliert waren und maschinelle Zugriffe nun mit noch weniger Transparenz zunehmen. Zugriffsentscheidungen müssen nachvollziehbar, zeitlich begrenzt, an die tatsächliche Nutzung gekoppelt und kontinuierlich überwacht sein. Die meisten Teams verlassen sich jedoch weiterhin auf statische, standardisierte Systeme, die all dies nicht leisten können. Gleichzeitig generieren und implementieren Programmierer Code mit eingebetteten Berechtigungen, interagieren direkt mit der Infrastruktur und operieren mit Zugriffsrechten, die niemand mit herkömmlichen Sicherheitskriterien überprüft – ein Compliance- und Sicherheitsrisiko, dessen Ausmaß die meisten Unternehmen noch nicht einmal ansatzweise erfasst haben.

Unternehmen, die mit KI-Agenten arbeiten, konzentrieren sich oft auf die Neuartigkeit der Technologie und unterschätzen dabei, wie schnell sich unkontrollierte Zugriffe und unsichtbare Berechtigungen zu einer ernsthaften Belastung entwickeln – insbesondere dann, wenn die Grundlage der menschlichen Identität bereits fragil ist.

Sie haben die Entwicklung der Sicherheit über mehrere Generationen von Infrastrukturen hinweg miterlebt. Was ändert sich grundlegend, wenn Maschinenidentitäten und KI-Agenten die menschlichen Nutzer zahlenmäßig übertreffen?

Wenn Maschinenidentitäten die Anzahl menschlicher Nutzer übersteigen, wird es zunehmend schwieriger zu überwachen, wer worauf Zugriff hat. Traditionelles IAM ist für diese Realität nicht ausgelegt, und die meisten HR- und IAM-Plattformen bieten nur teilweise Transparenz, insbesondere wenn die Identitätsverwaltung über ein einzelnes Team hinausgeht. Um diese Art von Identitäten erfolgreich zu überwachen, müssen KI-Agenten von Anfang an klare Zuständigkeiten, abgegrenzte Berechtigungen und vollständige Auditierbarkeit erhalten. Opal Security löst dieses Problem, indem es Menschen, Dienste und Agenten in einem einzigen Framework modelliert, anstatt sie als separate Entitäten zu behandeln.

Prüfer erwarten nun, bei der Analyse von Zugriffsüberprüfungen das Verhalten von Menschen und Agenten parallel zu betrachten. Agenten erben üblicherweise die Berechtigungen der Benutzer, die sie einsetzen. In bestimmten Anwendungsfällen sind jedoch Agenten erforderlich, die sich als Dienstkonten mit benutzerdefinierten (in der Regel eingeschränkten) Berechtigungen identifizieren.

Künstliche Intelligenz (KI) wird zunehmend sowohl zu einer Angriffsfläche als auch zu einem Verteidigungsinstrument. Wo verbessert KI Ihrer Meinung nach heute die Sicherheitslage sinnvoll, und wo birgt sie noch neue Risiken?

Künstliche Intelligenz (KI) ist ein immens leistungsstarkes Werkzeug und die Grundlage unseres Produkts. Opal Security nutzt KI, um unregelmäßige Zugriffe organisationsweit zu überwachen, zu erkennen und zu verhindern. KI verändert auch die Identitätssicherheit, da sie Akteure einführt, die nicht nur authentifizieren und Aufgaben ausführen – sie denken, passen sich an und handeln autonom. Traditionelle Identitätssysteme wurden für Personen und statische Servicekonten entwickelt, bei denen sich Zugriffe nur langsam änderten und die Absichten relativ vorhersehbar waren.

KI-Agenten durchbrechen dieses Modell jedoch. Das Risiko besteht in einem Verlust von Transparenz und Verantwortlichkeit. Agenten können dynamisch gestartet und gestoppt werden, Berechtigungen systemübergreifend verketten und im Namen von Nutzern, anderen Agenten oder sich selbst handeln. Geschützte Ressourcen werden möglicherweise nicht „kompromittiert“, dennoch können sensible Aktionen durchgeführt werden, da technisch alles autorisiert war. Das ist die neue Angriffsfläche. Die Lösung liegt in einer einheitlichen, intelligenten Plattform, die alle Entitätstypen durch Kontext, Verhalten und kontinuierliche Anpassung versteht und schützt.

Diese ganzheitliche Sichtweise bildet die Grundlage für Sicherheit – man kann nur schützen, was man sieht oder versteht. Wir bei Opal glauben daran, jede Beziehung zu verstehen. Es genügt nicht zu wissen, wer zum System gehört. Man muss wissen, wer mit wem verbunden ist und warum.

Da KI-Programmieragenten und automatisierte Systeme innerhalb von Organisationen immer umfassendere Berechtigungen erhalten, stellt sich die Frage, wie Sicherheitsteams das Prinzip der minimalen Berechtigungen in der Praxis und nicht nur in der Theorie überdenken sollten.

Moderne Zugriffsverwaltungssysteme müssen menschliche und maschinelle Identitäten gleich behandeln, damit Unternehmen die nötige Transparenz, Automatisierung und das Vertrauen erhalten, um im KI-Zeitalter sicher zu wachsen. In der Praxis bedeutet dies, Berechtigungen nur bei Bedarf zu erteilen und den Zugriff kontinuierlich zu überprüfen und anzupassen, wenn sich Aufgaben oder Rollen ändern. Automatisierte Überwachung und risikobasierte Kontrollen sind unerlässlich, um sicherzustellen, dass KI-Tools effizient arbeiten können, ohne unnötige Sicherheitsrisiken zu schaffen.

Es ist hilfreich, JIT standardmäßig für Agenten zu aktivieren, aber gestalten Sie es reibungslos: Genehmigen Sie gegebenenfalls automatisch bestimmte Ressourcen, oder beschränken Sie die Nutzung auf isolierte VMs, wenn der Benutzer in einer Umgebung arbeitet, in der alle Daten sensibel sind.

Obwohl neue Einschränkungen bei der Nutzung von Agenten Endnutzer potenziell verärgern und verlangsamen könnten, ist es wichtig, die Bedürfnisse der Nutzer zu berücksichtigen. Mit Opal bedeutet dies, dass Zugriffsanfragen in Slack eingereicht und genehmigt werden können und IaaC-Strategien, einschließlich Terraform, zur Automatisierung von Zugriffsrechten (Erteilung, Entzug und zeitlich begrenzte Zugriffe) eingesetzt werden können.

Welche Anzeichen deuten Ihrer Erfahrung nach bei der Skalierung von Sicherheitsunternehmen darauf hin, dass die Zugriffskontrollen einer Organisation nicht mehr mit den tatsächlichen Geschäftsabläufen übereinstimmen?

Organisationen erkennen, dass ihre Zugriffskontrollen nicht mehr zeitgemäß sind, wenn die tatsächlichen Zugriffsrechte nicht mehr gegeben sind. Dies kann sich in übermäßigen oder veralteten Berechtigungen, manuellen Engpässen durch Altsysteme oder der Einführung von KI-Systemen ohne aktualisierte Richtlinien zur Nachverfolgung nicht-menschlicher Identitäten äußern. Ein weiteres Indiz sind vermehrt auftretende Sicherheitsvorfälle oder Beinahe-Unfälle, bei denen überprivilegierte Konten oder unzureichend verwaltete Identitäten die Ursache sind.

Komplexe SailPoint-Implementierungen, die auf ein Beraterteam angewiesen waren, und die Zugriffsverwaltung in Tabellenkalkulationen waren vor der Ära der Agenten ineffizient. Dieser veraltete Ansatz wird angesichts der Geschwindigkeit und Komplexität von Agenten ohnehin nicht mehr funktionieren. Opal bietet eine zentrale Plattform, die Sicherheit gewährleistet, die IT-Abteilung entlastet und Auditoren alle benötigten Informationen liefert. Wir haben festgestellt, dass rollenbasierte Zugriffskontrolle (RBAC) fehleranfällig und selten dauerhaft ist. Erfolgreiche Teams beginnen daher mit Just-in-Time-Zugriff und gehen dann zu benutzerbasierter Zugriffskontrolle über (mit Flexibilität und Nachverfolgbarkeit im Zeitverlauf), sodass Terraform-Konfigurationen versioniert, bereitgestellt oder bei Bedarf zurückgesetzt werden können.

Wie lässt sich aus Führungssicht die Innovationsgeschwindigkeit mit der Disziplin in Einklang bringen, die erforderlich ist, um Vertrauen in Sicherheitsprodukte aufzubauen?

Ich habe gelernt, dass erfolgreiche Unternehmen auch bei schnellem Wachstum die grundlegenden Prinzipien konsequent verfolgen. Dazu gehören klare Prioritäten, transparente Kommunikation und die Bereitschaft, schwierige Entscheidungen zu treffen. Innovation ist weiterhin wichtig, muss aber auf soliden Prinzipien basieren: klare Standardeinstellungen, durchdachte Bedrohungsanalysen und die Übernahme von Verantwortung für die Ergebnisse. Diese bewussten Entscheidungen ermöglichen es, schnell zu handeln, ohne das Vertrauen zu gefährden, und mit der Zeit wird diese Disziplin zu einem echten Wettbewerbsvorteil.

Was glauben Sie, was Sicherheitsverantwortliche am meisten missverstehen, wenn es um die Vorbereitung auf eine Zukunft geht, die von autonomen Systemen und nicht von menschengesteuertem Zugriff dominiert wird?

Was Sicherheitsverantwortliche am häufigsten unterschätzen, ist die Komplexität der Verwaltung verschiedener Identitätstypen. Unternehmen sind so bestrebt, technologisch führend zu sein und stets auf dem neuesten Stand zu bleiben, dass Sicherheitsmaßnahmen oft vernachlässigt werden. KI-gestützte Arbeitsabläufe werden häufig ohne klare Verantwortlichkeiten eingeführt, wodurch Organisationen Schwachstellen aufweisen, in denen nicht-menschliche Identitäten unbemerkt Zugriffsrechte erlangen, außerhalb traditioneller Kontrollen agieren und neue Möglichkeiten für kostspielige Fehler oder Bedrohungen schaffen. Die Vorbereitung auf diese Zukunft erfordert, Identität als dynamische, kontinuierlich verwaltete Ebene zu betrachten.

Mit dem Wachstum von Unternehmen sollten Sicherheitsteams die Richtlinien für die Nutzung von Agenten verantworten und festlegen, wie, ob und wo der Agentenzugriff für den aufrufenden Benutzer eingeschränkt wird. Prozesse, die bisher die Mitarbeiter zusätzlich belastet haben, werden angesichts des Umfangs und der Kurzlebigkeit der Agenten nicht mehr praktikabel sein: Automatisierung ist die einzige Möglichkeit, das Anfragevolumen zu bewältigen.

Wie sieht in Zukunft eine „gute Sicherheitshygiene“ in einer Umgebung aus, in der KI-Systeme ständig selbstständig Daten erstellen, verändern und Zugriffsrechte anfordern?

Gute Sicherheitshygiene bedeutet, KI zur Skalierung der Sicherheit zu nutzen und gleichzeitig durch ausreichende Überwachung und Disziplin sicherzustellen, dass keine Sicherheitslücken entstehen. KI ist aus unserem Alltag nicht mehr wegzudenken. Unternehmen müssen daher – unabhängig davon, ob sie einen Anbieter wie Opal nutzen oder die Sicherheitsverwaltung intern übernehmen – akzeptieren, dass Zugriffsrechte nicht mehr statisch sind. Da KI-Systeme ständig Zugriffsrechte erstellen, ändern und anfordern, muss sich die Sicherheit von einmaligen Genehmigungen hin zu kontinuierlicher Überwachung entwickeln. Das bedeutet, Zugriffe als kontinuierlichen Lebenszyklus und nicht als einmalige Überprüfung zu betrachten.

Unternehmen müssen KI aktiv in ihre Sicherheitsmaßnahmen einbeziehen. Automatisierung kann Teams helfen, mit dem Umfang und der Geschwindigkeit von Zugriffsänderungen Schritt zu halten. Sie muss jedoch mit klaren Leitplanken, Transparenz der Delegierungsketten und menschlicher Verantwortlichkeit bei Fehlern einhergehen. Es ist wichtig, Erklärbarkeitssignale sichtbar zu machen: Shapley-Werte und Merkmalskoeffizienten für traditionelle ML-Modelle sowie zusätzlichen Kontext oder detaillierte Begründungen von LLMs. Ohne diese Nuancen ist es äußerst schwierig, Vertrauen in den Zugriff auf sensible Geschäftsressourcen zu schaffen.

Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Opal Security.

Verwandte Themen:
mm

Antoine ist ein visionärer Leiter und Gründungspartner von Unite.AI, angetrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft ebenso umwälzend sein wird wie Elektrizität, und schwärmt oft vom Potenzial disruptiver Technologien und AGI.

Als Futuristwidmet er sich der Erforschung, wie diese Innovationen unsere Welt prägen werden. Darüber hinaus ist er der Gründer von Wertpapiere.io, eine Plattform, deren Schwerpunkt auf Investitionen in Spitzentechnologien liegt, die die Zukunft neu definieren und ganze Branchen umgestalten.