(Customer) Identity & Access Management

Wenn Mickey Mouse sein Passwort notiert

22.06.2021
Von 
Iris Lindner ist freiberufliche Journalistin für Elektronik und Automatisierung.
Wer Identitäten und Zugänge von Kunden oder Mitarbeitern verwalten möchte, muss Sicherheit, Flexibilität und Einfachheit unter einen Hut bringen.

Welche Faktoren haben das Customer Identity & Access Management - kurz CIAM - im letzten Jahr vorangetrieben?

Gernot Bekk-Huber, Product Marketing Manager Security Products bei Ergon Informatik: COVID-19 hat den Trend zum Customer Identity & Access Management sicherlich beschleunigt. Sukzessive löst nun ein nach außen gerichtetes IAM das klassische Enterprise IAM ab, damit auch Mitarbeiter von außen verstärkt auf Applikationen zugreifen können.

Gerhard Zehethofer, Vice President IOT & Manufacturing bei ForgeRock: Die Awareness hat zugenommen: Zum einen, dass auch vernetzte Dinge vernünftig gemanagt werden müssen und nicht in einem individuellen IoT-Silo leben können. Zum anderen, dass die Identity-and-Access-Management-Plattform über die reine Zugangskontrolle mit Username und Passwort weit hinaus gehen muss. Darüber hinaus gilt es, das Datenmuster von Geräten sowie das Verhaltensmuster von Mitarbeitern zu berücksichtigen.

Michael Stückl, Major Account Manager bei LogMeIn: Work from Anywhere ist eines der großen und treibenden Themen, mit denen sich Unternehmen im Jahr 2021 beschäftigen. Das hat auch den Fokus des IAM verändert: Haben sich früher hauptsächlich Security-Buyer mit IAM beschäftigt, werden IAM-Projekte heute vermehrt aus dem Modern Workplace heraus vorangetrieben. Bei dieser Transformation der Art und Weise, wie wir arbeiten, spielt IAM natürlich eine wichtige Rolle. Die große Frage, die sich Unternehmen hier stellen müssen, ist: Wie bleibe ich sicher, flexibel, geografisch unabhängig und manage meine (sensiblen) Daten effizient?

Usability ist Trumpf

IDG: Wie wird ein IAM zu einem ausgewachsenen Customer IAM?

John Thomson, Global GTM Lead Customer Solutions bei SAP: Die Experience des Kunden muss im Vordergrund stehen. Ein Mitarbeiter, der IAM nutzt, wird nicht gleich den Arbeitgeber wechseln, wenn es ein paar Klicks mehr braucht. Ist es aber für den Endkunden zu umständlich oder zu langsam, wechselt er sofort zur Konkurrenz. Ein weiterer Unterschied zwischen IAM und CIAM ist die Skalierbarkeit. Millionen von Daten erfordern eine entsprechende Leistung des Systems.

Zehethofer: Man verliert nicht einfach nur Kunden, man sieht sie erst gar nicht. Potenzielle Neukunden, die einen schwierigen Onboarding-Prozess durchmachen müssen, brechen ab und sind weg. Wenn jemand sich als Mickey Mouse einloggen will, dann soll er das am Anfang machen. Natürlich reicht das nicht, um ein Bankkonto zu eröffnen oder Waren zu kaufen. Aber man kann entlang der Onboarding-Reise die Daten abfragen, die man als Anbieter an entsprechender Stelle benötigt. Und damit macht man es dem Kunden einfach.

Bekk-Huber: Onboarding sollte nahtlos und einfach passieren. Beginnend bei einem Social-Media-Login für die erste Kontaktaufnahme bis hin zur vollständigen digitalen Kontoeröffnung, die an einige Compliance-Anforderungen gebunden ist: CIAM sollte den ganzen Customer Lifecycle vollständig abbilden können. Wegen des Datenschuzurechts sind auch die Sicherheitsanforderungen eines nach außen gerichteten IAM viel höher als bei einer einfachen IAM-Lösung.

Studie "IAM 2021": Sie können sich noch beteiligen!

Zum Thema IAM führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 384), René Krießan (rkriessan@idg.de, Telefon: 089 36086 322) und Bastian Wehner (bwehner@idg.de, Telefon: 089 36086 169) gerne weiter. Informationen zur der Studie IAM finden Sie auch hier zum Download (PDF).

Was braucht ein Unternehmen, um ein nahtloses, sicheres und datenschutzkonformes CIAM auf die Beine zu stellen?

Bekk-Huber: Im EU-Raum wird vermehrt über die eID gesprochen, die quasi die digitale Staatsidentität widerspiegelt und Banken die Kontoeröffnung deutlich erleichtern wird. Hinzu kommt, dass sich auch die Applikationen laufend verändern. Der Trend geht momentan weg von klassischen Web-Applikationen hin zu APIs (Programmierschnittstellen), speziell auch zu Microservices und Container Security. Und egal wo der Container steht - er muss das IAM sicherstellen können.

Zehethofer: Die Maßnahmen gehen in Richtung Zero Trust und müssen Mitarbeiter und Kunden gleichermaßen schützen. Erstere oftmals sogar besser, da diese von jedem Ort aus auf unternehmensinterne und auch weitaus mehr Applikationen zugreifen müssen als Kunden. Es gilt, die Maßnahmen dem Risikopotenzial nach entsprechend aufzusetzen. IAM-Plattformen sollten modular und offen sein, damit innovative Lösungen Dritter einfach eingebunden werden können. So haben wir bei ForgeRock ein breites Netzwerk an Technologiepartnern. Der Trend geht weg vom Passwort, deshalb muss dort, wo die gesicherte Identität notwendig ist, ein weiterer Faktor hinzugefügt werden. Menschen haben unterschiedliche Präferenzen, es kann daher sinnvoll sein, mehr als eine Variante der Multi-Faktor-Authentifizierung anzubieten.

Einfach versus Sicher

Schnittstellen, Single Sign-on, Multi-Faktor-Authentifizierung und die eID in Einklang mit der Usability zu bringen, klingt komplex und aufwendig. Welche Hürden stellen sich Unternehmen bei der Einführung von IAM in den Weg und wie lassen sich diese meistern?

Stückl: Die Mutter aller Probleme beim IAM ist das Spannungsfeld zwischen einfachem Zugang und Sicherheit. Es ist immer relativ schwer, eine gute Balance zu finden, vor allem für große Unternehmen. Besonders im DACH-Bereich gibt es in den Betrieben komplexe, oft historisch gewachsene IAM-Landschaften. Unternehmen stehen nun vor der Herausforderung, diese Architekturen auf einen gemeinsamen Nenner zu bringen. Entscheidend dabei ist, dass der Fokus nicht ausschließlich auf der Technologie liegt; sie ist letztlich nur ein Werkzeug. Vielmehr sollten sich Unternehmen auf das Zusammenspiel von Prozessen, Menschen und Technologien konzentrieren.

Zehethofer: Man darf sich von der Aufgabe nicht zu sehr abschrecken lassen! Ein Migrationsprozess braucht Zeit und gute Planung, dazu gehört auch die Auswahl einer zukunftssicheren Plattform. Lieber früher anfangen, ansonsten werden die Insellösungen noch mehr. Unsere Erfahrung zeigt, dass ein agiler Step-by-Step-Ansatz sinnvoll ist. Dabei löst man die größten Problempunkte zuerst, um dann Schritt für Schritt die weiteren Teilprojekte abzuarbeiten. Dabei kann es sinnvoll sein, alte und neue Lösungen für einen begrenzten Zeitraum parallel zu betreiben. Wichtig ist, die ersten Erfolge in der Organisation gleich publik zu machen, damit die Business Owner den Zusatznutzen erkennen können.

Thomson: Der Balanceakt zwischen Usability und Sicherheit ist sehr wichtig. Es gibt bereits Technologien, welche die Sicherheit erhöhen, wenn sie Anomalien erkennen. Zum Beispiel, wenn sich eine IP-Adresse in Berlin und fünf Minuten später in China anmeldet.

Bekk-Huber: Momentan passiert sehr viel bei der benutzerfreundlichen Gestaltung einer starken Authentifizierung. Zum Beispiel lassen sich über Ultrasound oder Geräuschkulissen des PCs oder des Handys Vergleiche anstellen, wodurch ohne Interaktion eine starke Authentifizierung möglich ist.

Andreas Rameil, Principal Consultant bei FINCON: Was mir selbst als Nutzer gut gefallen hat: Ich habe fernab meines Wohnortes eine Bestellung über meinen Provider abgegeben und daraufhin eine automatisierte Nachfrage bekommen, ob auch tatsächlich ich es bin, der diesen Umsatz tätigen möchte. Mit diesem automatisierten Zwischenschritt im Bestellprozess sind wir schon sehr weit weg von dem, wie es noch vor ein paar Jahren war: Wie stark drückt ein Kunde bei der Unterschrift den Stift auf ein Pad? Zwischen Kunde und Mitarbeiter sollte man jedoch differenzieren, da ein Mitarbeiter wesentlich mehr Berechtigungen im Hintergrund braucht. Will ein Mitarbeiter sich einloggen, muss im Hintergrund eine Logik existieren, damit auch der Aufwand im Unternehmen selbst möglichst effektiv ist. Bei einem Wechsel innerhalb des Unternehmens müssen Berechtigungen über eine Stellen-Logik angepasst werden - einen Automatismus, der rein aus der Personalie getriggert wird.

Informationen zu den Partner-Paketen der Studie IAM

Bekk-Huber: Man muss Security nicht ganz in den Hintergrund drängen, denn der Kunde schätzt gefühlte Sicherheit sehr. Dass bei außergewöhnlichen Transaktionen doppelt hingeschaut wird, ist vor allem im Bankenumfeld ein sehr wichtiger Punkt.

False Positives sind hier aber ein großes Problem, wenn zum Beispiel ein Gerät ausgetauscht wird oder der Mitarbeiter die Abteilung wechselt. Wie lassen sich die darunter liegenden Logiken automatisieren, so dass es funktioniert und gleichzeitig verwaltungsarm ist?

Rameil: Die Geräteindentifizierung ist sehr differenziert. Die einen haben dafür einen Online-Automatismus, bei anderen ist beim Gerätewechsel ein Brief per Post mit Passwörtern erforderlich. Die eine Lösung gibt es nicht, darum glaube ich auch nicht, dass in Zukunft bei einem Wechsel eines iPhones automatisch alle Banken-Apps wieder funktionieren werden, nachdem mich Apple über Face Recognition identifiziert hat.

Zehethofer: Das gilt auch für vergessene Passwörter. Wenn ich für die Routine zur Änderung des Passworts ein Callcenter bemühen muss, dann skaliert das in Zeiten von Corona nicht. Und drei Tage auf den Brief zu warten ist weder zeitgemäß noch notwendig. Man muss die Prozesse komplett digitalisieren, damit sie von jedem Teil der Welt durchlaufen werden können. Was das Berechtigungsmanagement für Mitarbeiter und Kunden angeht, so sehe ich die Kunden nicht mehr als homogene Masse. Versicherungen haben zum Beispiel mehrstufige Vertriebskanäle und da muss eine bestimmte Business-Hygiene berücksichtigt werden. Der Versicherungsagent, der gleichzeitig Kunde ist, sollte eben nicht seinen eigenen Schaden regulieren können.

Stichwort mehrstufige Vertriebskanäle: Was sind die speziellen Herausforderungen im Bereich B2B und Supply Chain und wie löst man sie?

Zehethofer: Die Plattform muss in der Lage sein, Nutzergruppen entsprechend abzubilden. Früher war der Händler der Kunde des Automobilherstellers. Heute ist der Hersteller in der Lage, über Connected Car Services direkt mit dem Endkunden in Verbindung zu treten. Im Idealfall konfiguriert der Kunde sich ein Auto mit seiner Identität auf der Homepage des Herstellers. Diese Identität ist mit ihm und dem Auto verknüpft, solange er das Auto besitzt. Über diese Identity kann der Kunde auch mit der Versicherung bestimmte Daten teilen. Und fährt er in die Werkstatt, weiß man dort bereits, was kaputt ist.

Thomson: Das Szenario geht noch weiter, denn auch die Zulieferer des Automobilherstellers müssen auf Applikationen zugreifen. Es gibt bereits Systeme am Markt, die den Zugang mit entsprechenden Rollenberechtigungen ermöglichen. Aus externer Kundensicht ist hier die Einwilligung unglaublich wichtig und nicht zuletzt wegen der DSGVO unabdingbar. Auch um Datenhaltungsregularien müssen Unternehmen sich Gedanken machen.

Das Passwort bleibt

Notwendige Datenhaltung vs. Datensparsamkeit: Welche Rolle spielt Auditierbarkeit bei IAM im Finanzsektor?

Rameil: Es gibt gesetzliche Vorgaben, welche Daten zu ermitteln sind, um die Identity abzusichern. In den vergangenen Jahren kam die Regelung hinzu, dass man die Daten nach einer gewissen Zeit auch wieder löschen muss. Deshalb wurden archivierte Unterlagen digitalisiert. Allerdings gibt es für unterschiedliche Dokumententypen unterschiedliche Aufbewahrungsfristen. Solange das Dokument existiert, muss auch die entsprechende Identität vorgehalten werden. Mittlerweile ist dies ein automatisierter Prozess.

Welchen Herausforderungen begegnet IAM in der Zukunft?

Thomson: Bei unseren zukünftigen Lösungen müssen wir berücksichtigen, dass unsere Kinder die Next Generation Consumers sind. Und die sind sowohl Digital Natives als auch datenschutzbewusst. Das heißt, neben den Anforderungen wächst auch das Bewusstsein über die Datenerhebung und ihre Digital Identity.

Stückl: Nach wie vor ist das stupide alte Passwort das schwächste Glied in der Kette, weshalb es sehr wichtig ist, dass sich sowohl Personen als auch Firmen ihres Passwortverhaltens bewusst werden. Noch immer verwenden Leute Post-its oder andere, unsichere Mittel als Merkhilfe. Auch ist es ein Irrglaube, dass Passwörter in den nächsten Jahren aussterben werden, dafür sind sie einfach zu praktisch. Solange Passwörter vernachlässigt oder nicht richtig gemanagt werden, stellen sie insbesondere heutzutage ein enormes Risiko dar. Bevor wir als Gesellschaft, als Individuen, als Consumer oder im Workforce-IAM eine oversophisticated IAM-Infrastruktur zusammenspinnen, sollten wir uns lieber Gedanken machen, wie wir das einfache Passwort zuerst unter Kontrolle bekommen.

Informationen zu den Partner-Paketen der Studie IAM