IDG-Studie (C)IAM 2022

Kunden-Logins zukunftssicher machen

31.01.2022
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Unternehmen achten zu wenig auf die Kunden, wenn sie Anmeldeprozesse gestalten. Lesen Sie, wie sich Sicherheit und positive Kundenerfahrung verbinden lassen.
Einfache und nutzerfreundliche Login-Prozesse begeistern die Kunden.
Einfache und nutzerfreundliche Login-Prozesse begeistern die Kunden.
Foto: Undrey - shutterstock.com

Eigentlich versteht es sich von selbst: Wenn sich die Tür zu einem Ladengeschäft schlecht öffnen lässt, werden die Kunden ungern oder gar nicht eintreten. Eine klemmende oder zu schwere Tür erscheint fast so, als ob der Laden die Kunden aussperren wollte, anstatt sie einzuladen, das Geschäft zu betreten. Die Konsequenz liegt auf der Hand: Gibt es Geschäfte, die ebenfalls das gewünschte Sortiment haben und die sich bequem betreten lassen, werden diese bevorzugt.

Was im stationären Handel wie eine Binsenweisheit klingt, scheint für viele Unternehmen im Online-Handel nicht klar genug zu sein. Wie die aktuelle Studie "Customer Identity and Access Management (CIAM) 2022" von IDG Research Services in Zusammenarbeit mit Auth0 - einer Produkteinheit von Okta - zeigt, haben moderne Verfahren wie biometrische Authentifizierung nach Ansicht der Unternehmen weniger Zukunft als der Passwort-Klassiker, PINs oder Sicherheitsfragen. 52 Prozent der befragten Unternehmen glauben an die Zukunft der Passwörter, nur 26 Prozent zum Beispiel an den Erfolg von Anmeldeverfahren, die Fingerprints nutzen.

Was Kunden wollen

Befragt man aber die Kunden, wie dies in der Auth0-Studie "The Login Experience Customers Want" geschehen ist, stellt man dagegen fest: Deutsche Verbraucher würden sich eher bei einer App oder einem Online-Dienst authentifizieren, wenn sie sich mit einer Multi-Faktor-Authentifizierung (40 Prozent) anmelden können.

Knapp ein Drittel (31 Prozent) der befragten Verbraucher meldet sich zudem eher an, wenn ein Unternehmen biometrische Logins anbietet, gefolgt von passwortlosen Logins (25 Prozent).

Kevin Switala, Enterprise Account Executive bei Auth0, kommentiert dies so: "Verbraucher wollen die Wahl haben und dass die Anmeldung so bequem wie möglich ist, ohne ihre Privatsphäre oder Sicherheit zu beeinträchtigen."

CIAM braucht die Kundensicht

Die aufgezeigte Diskrepanz zwischen den Vorstellungen der Unternehmen und den Wünschen und Erwartungen der Kunden zeigt sich in den angebotenen Anmeldeverfahren bei Online-Diensten für Kunden.

Die Ursachen dafür findet man in den Strategien, die die Unternehmen für CIAM, also Customer Identity and Access Management, entwickeln.

Wie die Studie "(C)IAM 2022" offenlegt, spielen in den CIAM-Strategien der Unternehmen solche Kriterien, die insbesondere den Kunden im Fokus haben, bei weniger als 30 Prozent der Befragten eine Rolle. Compliance und Infrastruktur dominieren dagegen die CIAM-Strategien bei mehr als zwei Drittel der Unternehmen.

Sucht man die Gründe dafür, stellt man zuerst fest, dass 84 Prozent der befragten Unternehmen die IT als Entscheider bei der CIAM-Strategie sehen. Es folgt die IT-Sicherheit mit 57 Prozent. Die Entwicklung folgt auf Platz 3 mit 44 Prozent, der Kundenservice auf Platz 4 mit 42 Prozent.

Offensichtlich sind nicht die Bereiche die Entscheider, die den Kunden in den Mittelpunkt ihrer Arbeit stellen, und auch nicht die, die für die Entwicklung neuer Funktionen zuständig sind, wenn es um Projekte geht, die die Anmeldung und Berechtigungen von Kunden in Online-Applikationen implementieren sollen.

84 Prozent der befragten Unternehmen sehen die IT als Entscheider bei der CIAM-Strategie.
84 Prozent der befragten Unternehmen sehen die IT als Entscheider bei der CIAM-Strategie.

IAM und CIAM müssen unterschiedlich geplant werden

In der Studie wurde auch untersucht, wo gegenwärtig die Identitäten und Berechtigungen der Kunden und damit auch die Anmeldeverfahren verwaltet und umgesetzt werden.

So berichten 61 Prozent der Unternehmen von Zugriffen interner Beschäftigter über ein Identitätsmanagement, 41 Prozent von entsprechenden Zugriffen ihrer Kunden. Kundenzugriffe über IAM sind also keine Ausnahme.

Viele Unternehmen versuchen somit, Kundenzugriffe und CIAM aus bestehenden IAM-Projekten heraus zu entwickeln. Dabei sollte aber nicht vergessen werden, dass klassische IAM-Systeme entwickelt wurden, um die Zugänge und Zugriffe von Beschäftigten zu verwalten und abzusichern.

Kundenidentitäten und -zugriffe stellen jedoch andere Anforderungen an Anmeldeverfahren und Berechtigungssysteme als die sogenannte Workforce Identity und deren Zugriffe.

Bei 41 Prozent der Unternehmen greifen Kunden auf das Identitätsmanagement zu
Bei 41 Prozent der Unternehmen greifen Kunden auf das Identitätsmanagement zu

Die IT hat einen eingeschränkten Blick auf CIAM

Es ist der IT-Abteilung in vielen Fällen bewusst, dass sie nicht die Kernkompetenz für CIAM-Projekte besitzt. Demnach befürchten die IT-Bereiche zu 46 Prozent einen Know-how-Mangel bei CIAM-Projekten, so die IDG-Studie "(C)IAM 2022".

Entsprechende Befürchtungen haben das Marketing und die Entwicklung dagegen nicht. Sie mahnen dagegen fehlende kundenzentrierte Dienste oder knappe IT-Budgets an.

Ein Ausweg und damit ein besserer Weg für CIAM-Projekte wäre es also, das Know-how der Kundenbereiche und der Entwicklungsabteilung zu nutzen und die notwendigen Budgets seitens der IT bereitzustellen. Wenn die erforderlichen Entwickler-Ressourcen und das Wissen um die Kundenwünsche verfügbar sind, kann der IT-Bereich seine Sorgen wegen eines Know-how-Mangels bei CIAM aufgeben.

Nutzerfreundlichkeit und Sicherheit müssen verbunden werden

In der IT-Sicherheit bestehen bekanntlich häufig Bedenken, den Komfort einer Lösung für den Nutzer zu erhöhen, da sich dadurch die Sicherheit reduzieren könnte.

Laut der Studie halten 86 Prozent der Unternehmen die Absicherung digitaler Geschäftsprozesse gegen Daten- oder Identitätsdiebstahl für wichtig. Deshalb muss man aber nicht auf die Erfüllung der Kundenerwartungen bei Anmeldeverfahren verzichten - im Gegenteil. Die von den Unternehmen in den Mittelpunkt gestellten Passwörter, PINs und Sicherheitsfragen entsprechen weder den Kundenwünschen für Anmeldemöglichkeiten, noch sind die klassischen Passwörter sicher genug, wenn sie zu schwach gewählt werden.

Komplexe Passwörter zu fordern, erschwert den Kunden aber den Zugang, wie es eine klemmende Tür im Ladenlokal macht. Deshalb wird die notwendige Passwortsicherheit zu häufig unterlaufen, Identitätsdiebstahl und -missbrauch nehmen dadurch zu.

Wie die Verbraucherstudie von Auth0 zeigt, hat die Datensicherheit auch für den Endkunden eine sehr hohe Relevanz, genau wie bei den Unternehmen.

Zufriedenere Kunden, mehr Sicherheit

Die Auth0-Studie zeigt, dass zwei von drei deutschen Verbrauchern (65 Prozent) von Unternehmen, die sie für Online-Dienste nutzen, erwarten, dass diese ihre persönlichen Daten sicher behandeln. Die Sicherheit für die Kundenidentitäten steigt, wenn sichere und nutzerfreundliche Verfahren angeboten werden, mit denen sich die Kunden anmelden können. Wer also moderne Anmeldeverfahren anbietet und die speziellen Kundenbedürfnisse in der CIAM-Lösung berücksichtigt, erhöht die Kundenzufriedenheit und die Datensicherheit.

Beide Faktoren, die Sicherheit und die Erfüllung der Kundenwünsche, entscheiden über den Erfolg eines Online-Angebotes. Wer nur die Sicherheit betont und nicht die Kundenerwartungen erfüllt, kann keinen Online-Erfolg erwarten.

Selbst bei der Sicherheit kann es zu Einschränkungen kommen, wenn die IT-Abteilung versucht, ihr bestehendes IAM-Projekt auf den Kunden auszuweiten, anstatt wirkliches CIAM anzugehen.

Anzeichen für Angriffe

Kundenzugriffe sind von Natur aus anderen Risiken ausgesetzt als die Zugriffe der internen Beschäftigten und erfordern deshalb auch spezielle Schutzmaßnahmen, die die CIAM-Lösung der Wahl bieten sollte.

Dazu gehört zum Beispiel die Erkennung von Anzeichen für Attacken, die bei Angriffen auf Kundenzugänge anders sein können als bei Attacken auf die Zugänge von internen Beschäftigten.

So kann beispielsweise ein ungewöhnlicher Standort beim Zugangsversuch eines Beschäftigten ein Hinweis auf einen möglichen Angriff sein, bei Kunden jedoch kann man nicht ohne Weiteres die Anmeldung aus einem bestimmten Land als mögliches Angriffszeichen werten, wenn man seine Online-Angebote weltweit offeriert.

CIAM setzt deshalb eigene Sichtweisen und Funktionen voraus, um Sicherheit und Nutzerfreundlichkeit zu gewährleisten. Die IT-Abteilung tut also gut daran, andere Bereiche wie Marketing und Entwicklung einzubeziehen, wenn Kundenidentitäten und Berechtigungen verwaltet und abgesichert werden sollen.

Die Studie "(C)IAM 2022" in Zusammenarbeit mit Auth0.
Die Studie "(C)IAM 2022" in Zusammenarbeit mit Auth0.
Foto: shutterstock.com / LuckyStep

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Exklusiver Studienpartner: Auth0, eine Produkteinheit von Okta

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der DACH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG sowie zur Erfüllung von Quotenvorgaben über externe Online-Access-Panels; persönliche E-Mail-Einladungen zur Umfrage

Gesamtstichprobe: 288 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 23. bis 29. September 2021

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit Auth0

Durchführung: IDG Research Services