Die Lücke zwischen Wunsch und Wirklichkeit ist im IAM seit der Verbreitung des Internets nicht kleiner geworden. Schwächen in den Authentifizierungsverfahren, ungenügende Prozesse und schlechte Usability sind häufige Ursachen für Sicherheitsvorfälle und Benutzerfrust.
Jetzt reinhören!
Zum Nachlesen
Identity & Access Management in einem Satz zusammengefasst – geht das überhaupt?
Man könnte es versuchen und sagen: IAM bedeutet, dafür zu sorgen, dass der richtige Nutzer – und nur dieser – zu jedem Zeitpunkt zum richtigen Objekt Zugriff hat.
Rainer, Du bist seit über 20 Jahren beruflich im IAM-Bereich tätig. IAM damals und heute? Da liegen wohl Welten dazwischen.
Es ist kein Stein auf dem anderen geblieben, richtig. Damals ging es um Passwörter, die länger als sechs Zeichen sein müssen, und diverse Zugriffsregelungen. Heute spielt der Identitätsschutz eine zentrale Rolle bei der Verteidigung der Infrastruktur eines jeden Unternehmens. Die COVID-19-Pandemie hat aufgrund der zahlreichen Remote-Arbeitsplätze eine alte Gefahr zur Neuen gemacht: fehlendes oder mangelhaftes IAM. Viele Unternehmen waren auf das Ausmaß der letzten Monate organisatorisch nicht vorbereitet.
Warum kann IAM heutzutage nur mehr zentral gemanagt werden?
Die Vernetzung innerhalb eines Unternehmens, aber auch mit Drittparteien, steigt täglich. Vor 20 Jahren gab es quasi keine digitale Zusammenarbeit zwischen Organisationen. Ein Mitarbeiter in einer Bank oder Versicherung hatte damals vielleicht 15 Webapplikationen zur Auswahl, heute befinden wir uns im Bereich von tausenden, wenn man den Zugriff aller Mitarbeiter in einem Unternehmen summiert. Ein dezentraler Ansatz im IAM ist daher weder mach- noch tragbar oder gar kontrollierbar. Heute braucht es eine unternehmensweite IT-Architektur und ein gesamtheitlich gedachtes zentrales IT-Management, das sich holistisch mit dem Thema Identitätsmanagement auseinandersetzt.
Dass immer mehr User nicht nur auf einem Gerät unterwegs sind, erschwert die Arbeit im IAM-Bereich, oder? Denken wir etwa an das Thema „Seamless Authentication“.
Der Mix aus Tablet, Laptop und Handy ist aus IAM-Sicht Fluch und Segen zugleich: Einerseits müssen beim IAM immer mehr Geräte berücksichtigt werden, andererseits vereinfachen eben diese Geräte eine deutlich sicherere Multifaktor-Authentifizierung wesentlich. Sie geht komfortabler und sicherer vonstatten als mit Hardware-Token und SMS-TAN. Die Forderung nach einem geräteübergreifenden Identity-Prozess kommt klar aus dem Customer Identity Management-Bereich (Anmerkung: bspw. Zugriffe auf Deine Bank-Applikation via Handy/Desktop). Natürlich will man für die Kunden so wenige Zugriffshürden wie möglich erschaffen. Aber auch den eigenen Mitarbeitern will man die die Nutzung keinesfalls komplizierter machen als notwendig. Doch Sicherheitsaspekte dürfen niemals zu kurz kommen.
Es geht also im IAM-Bereich immer um den Konflikt „User-Freundlichkeit versus Security-Aspekte“. Wer zieht den Kürzeren?
Was der Enduser will, ist letztendlich nur einer von vielen Faktoren. Im B2C-Bereich zählt der Enduserwunsch natürlich mehr, weil die Dropout-Rate (Anmerkung: Abbruch einer Transaktion aufgrund umständlichen Interfaces und dahingehendem Wechsel von Anbietern) entscheidend für Umsatz und Gewinn ist. Hier adaptieren Unternehmen verständlicherweise wesentlich schneller. Verbesserte Usability kann aber nicht immer im Vordergrund stehen. Das Management ist von Sicherheits- und Compliance-Anforderungen getrieben. Denn ein schwerer Sicherheitsvorfall schmerzt viel mehr als ein Benutzer, der einen etwas komplizierten Workflow hat. Vieles dreht sich um die Agilität: Wie können User rasch auf neue Applikationen innerhalb einer Gruppe, innerhalb eines Partnernetzwerkes zugreifen? Das ist aus Business-Sicht oftmals wichtiger als die hundert prozentige Zufriedenheit.
In vielen Unternehmen gibt es technische Altlasten. Bleiben diese oder werden Unternehmen Geld in die Hand nehmen, um „aufzuräumen“?
Historisch gewachsene Unternehmen haben oft eine uneinheitliche IT-Architektur. Das betrifft viele große Unternehmen, die etwa M&As hinter sich haben – unterschiedliche Verzeichnisse, Access Management-Systeme und vieles mehr. Es gilt, Redundanzen zu identifizieren, wenn man eine neue Security Policy aufsetzen möchte. Hier liegt enormes Optimierungspotenzial. Fest steht aber auch: Es gilt in vielen Unternehmen nicht als sehr „schick“, derartige Infrastrukturprojekte anzugehen, die keinen direkten Kundennutzen haben.
