"Wir haben einen Automotive-Kunden, der verfügt über rund vier Millionen Identitäten. Eine halbe Million davon sind die Mitarbeiter", sagt Eckhard Schaumann, Sales Director bei Sailpoint. "Die anderen resultieren aus Partnerfirmen wie den angebundenen Autohäusern - angebunden aus dem externen Internet."
Das Zitat verdeutlicht, wie komplex das rollenbasierte Management von Identitäten und Zugriffsrechten (IAM) heute ist. Darüber diskutiert Schaumann Mitte Mai in den Räumen der COMPUTERWOCHE mit Amir Alsbih (Key Identity), Markus Draeger (Fujitsu) und Christian Garske (Lufthansa Industry Solutions) sowie Ruedi Hugelshofer (Airlock by Ergon).
Die engagierte Diskussion fokussierte sich auf folgende Punkte:
1. IAM wandert von der IT ins Business
Der bildhafte Vergleich von Daten - und damit Identitäten - als dem neuen Öl verändert den Stellenwert von IAM. Galt es früher als notwendiges Übel, hat es sich jetzt zum Business-Thema gemausert. Spätestens mit EU-DSGVO/GDPR, die bei Verstößen empfindliche Strafen vorsieht, ist jedem Entscheider der Wert der Daten bewusst geworden. Die Frage lautet nun: Was kostet es mich, wenn ich meine Identitäten nicht richtig manage? Neben Geldbußen geht es um Reputationsrisiken.
2. Unternehmen müssen ihre Hausaufgaben machen
"Anbieter, Mitarbeiter, Partner - alle turnen auf Kundendaten herum", seufzte Alsbih (Key Identity). Er fügt an: "Und das in verschiedenen Rollen, auf verschiedenen Systemen mal als Entwickler, mal als Admin!" Das alleine kreiert bereits verschiedene Identitäten pro Nutzer. Hinzu kommt: Das IAM soll an alle Systeme, auch Legacys, angebunden werden. Alsbih: "Viele Entscheider hoffen, ihre Legacy-Probleme zu lösen, indem sie es einem Cloud-Anbieter geben. Cloud ist allerdings eine Technologie und kein Allheilmittel!"
Eine trügerische Hoffnung, wie der Experte weiß. Viele Unternehmen hätten schlicht ihre Hausaufgaben nicht gemacht, sprich, die Frage nach dem konzeptionellen Umgang mit den Daten nicht geklärt. Sie zentralisieren ihr Daten-Management nicht. Sie verschaffen sich keine ganzheitliche Sicht auf alle Datentöpfe, alle Rollen, Berechtigungen und Identitäten.
3. Die Komplexität wächst in einer vernetzten Welt
Die Digitalisierung verlangt von allen Unternehmen, sich zu öffnen. Da ist von der Plattform-Industrie die Rede und von Ökosystemen; Partner, Lieferanten und Kunden sollen einbezogen werden. Aus Sicht der (IT-)Security heißt das: die Grenze zwischen innen und außen löst sich auf. Die Aufgabe, Identitäten und Zugriffe zu verwalten und zu managen, wird immer komplexer.
Mit dem Internet of Things (IoT) bekommen nun auch vernetzte Geräte eine Identität, die wie eine menschliche zu behandeln ist. Und das betrifft nicht nur Sensoren und intelligente Maschinen, sondern beispielsweise auch die Telefonspinne, die Video-Conferencing-Leinwand und die hippe Kaffeemaschine mit WLAN-Zugang. Mit der Zahl an Identitäten wächst die der Angriffe. Schaumann (Sailpoint) betonte: "Auch technische Identitäten müssen letztlich auf einen Menschen zurückzuführen sein, der dafür verantwortlich ist!" Einen "warm body" nennt man das in den USA. "Das ist eine Management-Aufgabe, keine technische", sagt er.
Eine mögliche Antwort lässt sich wiederum mit einem englischen Schlagwort umreißen: "Zero Trust". Dazu Garske (Lufthansa Industry Solutions): "Bei allen Systemen, die neu implementiert werden, sollte das Zero-Trust-Prinzip umgesetzt werden. Man kann sich nicht mehr allein auf den Perimeterschutz verlassen." Gleichzeitig wüsste aber jeder, dass es Legacy-Systeme gibt, "die uns noch zehn, zwanzig Jahre ärgern werden!"
Draeger (Fujitsu) hebt die Diskussion um Vernetzung und das IoT auf eine Meta-Ebene. "Wir werden gesellschaftliche Folgen des privaten Konsumverhaltens sehen", sagte er. Wer beispielsweise in einem Connected Car unterwegs ist und mit einem solchen kommuniziert, der muss wissen, dass sein Gegenüber der ist, für den er sich ausgibt. "Wer verwaltet all diese Identitäten?", fragt Draeger. Für Garske ganz klar ein Punkt, an dem der Verbraucher Transparenz einfordern muss.
- Rudi Hugelshofer, Business Development Lead, Airlock by Ergon
„Es gibt immer noch kleine und mittelständische Unternehmen, die haben oft kein eigenes Rechenzentrum, die betreiben ihre Systeme im Keller. Für mich stellt sich damit die Frage, wie Installation, Konfiguration und Daten der Kunden geschützt sind." - Markus Draeger, Enterprise and Cyber Security, Fujitsu
„Wir müssen die Vernetzung und das IoT auf einer Meta-Ebene diskutieren. Wir werden gesellschaftliche Folgen des privaten Konsumverhaltens sehen. Wer beispielsweise in einem Connected Car unterwegs ist und mit einem solchen kommuniziert, der muss wissen, dass sein Gegenüber der ist, für den er sich ausgibt. Wer verwaltet all diese Identitäten?“ - Eckhard Schaumann, Sales Director DACH, Nordics, CEE bei Sailpoint
„Auch technische Identitäten müssen letztlich auf einen Menschen zurückzuführen sein, der dafür verantwortlich ist. Es muss einen „warm body“ geben, wie man in den USA sagt. Das ist eine Management-Aufgabe, keine technische.“ - Christian Garske, Associate Director Lufthansa Industry Solutions
„Bei allen Systemen, die neu implementiert werden, sollte das Zero-Trust-Prinzip umgesetzt werden. Man kann sich nicht mehr allein auf den Perimeterschutz verlassen. Gleichzeitig weiß jedoch jeder, dass es Legacy-Systeme gibt, die uns noch zehn, zwanzig Jahre ärgern werden!“ - Amir Alsbih, CEO Key Identity
„Use Cases für die Blockchain gibt es nur dann, wenn drei Bedingungen gleichzeitig erfüllt sind: Man muss etwas speichern, nicht jeder Akteur mit Schreibrechten ist vertrauenswürdig, und die Akteure benötigen Lesezugriff auf die Daten. Für alle anderen Fälle gibt es auf dem Markt sinnvollere Lösungen.“
4. Die Wahl des Betriebsmodells verlangt Vorarbeit
Jede Alternative hat ihre Pluspunkte. Von On-premise versprechen sich Entscheider mehr Datenschutz und Datenhoheit. Und: On-Premise-Lösungen lassen sich auf die Bedürfnisse des Unternehmens zuschneiden. "Man darf sich auch fragen, was ein Unternehmen verlernt, wenn es sein IAM nicht mehr selbst betreibt", gibt Garske zu bedenken.
Doch Cloud-Anbieter ermöglichen einen Standard, den kaum ein Unternehmen im heimischen Rechenzentrum leisten kann, weiß die Runde. Denn der Markt treibt sie ständig zu Verbesserung und Erneuerung an. So bietet AWS ein hohes Level an Effizienz - auch, wenn das Bauchgefühl manchen deutschen Managers grummeln mag. "Es gibt immer noch kleine und mittelständische Unternehmen, die haben oft kein eigenes Rechenzentrum", beobachtet Hugelshofer (Ergon), "die betreiben ihre Systeme im Keller." Für ihn stellt sich damit die Frage, wie Installation, Konfiguration und Daten der Kunden geschützt sind. Doch die Bedenken gegen die Cloud kann er nachvollziehen: Hugelshofer zitiert die alternative amerikanische Definition der Cloud, die da lautet: "Claryfying lawful overseas use of data". In der Runde Zustimmung, begleitet von bitterem Lachen.
„Zum Thema Identity Access Management as a Service führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) gerne weiter. Informationen zur Identity Access Management as a Service Studie finden Sie auch hier zum Download.“ |
Stichwort Outsourcing: Nicht selten treffen die Diskussionsteilnehmer auf Entscheider, die ihr IAM genau so, wie sie es jetzt betreiben, "nach draußen" geben wollen. Hier mag es sich um Managed Services handeln, die möglicherweise aus der Cloud bezogen werden - Cloud im eigentlichen Sinn ist das nicht. Echte Cloud-Nutzung setzt voraus, dass das Unternehmen bereit ist, die eigenen Prozesse dem Standard anzupassen, den die Cloud-Lösung vorgibt.
Damit setzt eine Entscheidung das Klären vieler Fragen voraus: Über wie viele Legacys verfügt das Unternehmen? Hat es eine Cloud-Strategie entwickelt? Wie sehen Rollen und Berechtigungen aus? Passt die Lebenswelt zu dem angebotenen Standard?
Generell gilt: Access-Management (das Regeln von Zugriffsrechten) lässt sich leichter aus der Cloud beziehen als das Management der Identitäten, erklärte Alsbih (Key Identity). So kann man AM zum Beispiel mit dem Scope der Cloud-Systeme einführen und erhält einen Mehrwert. VPN-Tunnel oder Zugänge in Rechenzentren entfallen in einem reinen Cloud Scope. Auch kann man AM schrittweise integrieren und bereits ab dem zweiten System eine Arbeitserleichterung erzielen.
Dagegen entsteht ein echter Mehrwert von Identity Management erst, wenn alle Identitäten aus allen Systemen im System konsolidiert wurden. Insbesondere aus dem Mix von Cloud und On-Premise ergeben sich dabei alleine schon Herausforderungen bei der Konnektivität, da beispielsweise VPN-Tunnel benötigt werden, Firewalls angepasst werden müssen und Weiteres. Sail-Point-Manager Schaumann beziffert die Zahl der Unternehmen, die ihr IAM komplett als Cloud-Service betreiben, in Deutschland auf unter fünf Prozent. Beim Access-Management seien es mehr, Identity-Management hinke hinterher.
Informationen zu den Partnerpaketen für die IAMaaS-2018-Studie
5. Mit den Buzzwords Blockchain und KI lassen sich Produkte besser verkaufen
Keine Diskussion ohne Blockchain und Künstliche Intelligenz (KI). Die Experten wissen um die Strahlkraft dieser Buzzwords. Um die Ernüchterung, wenn der Goldstaub verflogen ist, auch. So entpuppten sich KI-Lösungen oft auch nur als Regeln, sobald man "unter die Motorhaube guckt". In Sachen Blockchain stellt Alsbih fest: "Use Cases gibt es nur dann, wenn drei Bedingungen gleichzeitig erfüllt sind: Man muss etwas speichern, nicht jeder Akteur mit Schreibrechten ist vertrauenswürdig, und die Akteure benötigen Lesezugriff auf die Daten." Für alle anderen Fälle gebe es auf dem Markt sinnvollere Lösungen.
Die Runde weiß, dass sich manches Produkt und mancher Service einfacher verkaufen lässt, wenn der Hersteller auf die bekannten Buzzwords hinweist. Alsbih: "Wieder eine Technologie, von der man sich ein Allheilmittel verspricht…" (mb)