Thought Leadership
Die Corona-Krise hat auch die Nachfrage nach digitalen Dienstleistungen in die Höhe schnellen lassen – besonders deutlich spürbar etwa im boomenden Onlinehandel. IAM (Identity and Access Management) und CIAM (Customer Identity and Access Management) helfen hier, Nutzer sicher zu authentifizieren und Daten vor unbefugtem Zugriff zu schützen.
Gleichzeitig ist das digitale Identitätsmanagement ein Feld, das sich rasant weiterentwickelt – immer im Spannungsfeld zwischen Sicherheitserwägungen und den Erwartungen der Nutzer an eine bequeme Bedienbarkeit. Nevis, ein Schweizer Unternehmen für Identity and Access Management, erklärt, welche digitalen Trends uns rund um das Thema CIAM in 2021 beschäftigen werden.
Auch im Identitätsmanagement gilt: Lösungen, die wir noch vor ein paar Jahren genutzt haben, funktionieren heute eventuell nicht mehr oder müssen komplett überarbeitet werden, um mit gesetzlichen Anforderungen und neuen Sicherheitsarchitekturen Schritt zu halten. Gleichzeitig haben sich die User an eine reibungslose Digital Customer Experience gewöhnt. So hat es etwa ein Onlineshop schwer, bei dem Login und Nutzerauthentifizierung mit zu vielen Hindernissen gespickt sind.
Hinzu kommt: Die Nutzer von heute erwarten, dass Unternehmen ihre persönlichen Daten wirkungsvoll schützen – und zwar so, dass die Nutzung der Services nicht gestört wird. Daher reicht es nicht mehr aus, Kunden nur mit Benutzernamen und Passwort zu authentifizieren. Unternehmen müssen (C)IAM-Maßnahmen einsetzen, die ebenso sicher wie einfach zu bedienen sind und ein angenehmes Nutzererlebnis schaffen. Dabei zeichnen sich einige Trends ab, die 2021 und darüber hinaus wichtig werden.
CIAM als SaaS wird zum Marktstandard
Die meisten mittelständischen und kleinen Unternehmen verfügen nicht über das innerbetriebliche Know-how, die Zeit und die Bereitschaft, eigene CIAM-Lösungen zu implementieren. Auch wenn der Aufbau eines eigenen Identitätsmanagementsystems machbar erscheint, besteht ein erhebliches Risiko, dass der Aufwand unterschätzt wird, zu wenig Finanzmittel bereitgestellt werden und langfristig nicht genügend interne Ressourcen und Fachkenntnisse vorhanden sind. Mit der einmaligen Entwicklung ist es nicht getan, denn die Lösung muss anschließend unterstützt, gewartet und im Hinblick auf sich ändernde Marktanforderungen und Kundenerwartungen weiterentwickelt werden.
Kommerzielle CIAM-Anbieter können demgegenüber mit den von Technologie, Verbrauchern, Märkten und Regulierungsbehörden vorgegebenen Änderungen eher Schritt halten – sie sind ganz einfach dazu gezwungen, ihre Dienstleistungen weiterzuentwickeln, damit ihre Angebote wettbewerbsfähig und relevant bleiben.
Identitätsmanagement und IoT
Um auch in Zeiten der Industrie 4.0 Sicherheit zu gewähren und Angriffe abzuwehren, muss die Identität sichergestellt und Zugänge kontrolliert werden: In der vernetzten Fabrik hat jede Maschine und jedes Gerät eine eigene Identität und wird separat abgesichert. Weil Maschinen und Geräte Daten übermitteln und empfangen, müssen sie untereinander bekannt gemacht werden, denn sie müssen vertrauenswürdig sein, bevor und während sie miteinander interagieren.
Heute gibt es noch keine allgemein anerkannten Standards für die Authentifizierung und Verwaltung von IoT-Geräten, was jedes IAM/CIAM-Projekt, das IoT integriert, zu einem einmaligen Projekt ohne wiederholbaren Charakter macht. Sobald sich im IoT-Bereich Standards für verschiedene Geräteklassen herausbilden werden, wird die Integration mit IAM- und CIAM-Systemen rasch zunehmen.
Identitätsnachweis mithilfe amtlicher Dokumente
Eine weitere Technologie wird an Zugkraft gewinnen, aber bis zur Massenanwendung dürfte es noch etwas länger dauern als ein Jahr. Es handelt sich um den Identitätsnachweis auf der Grundlage nationaler Dokumente, entweder über die Videoidentifizierung oder durch die einfache automatisierte Erkennung von Dokumenten wie Personalausweisen oder Reisepässen. Der Einsatz dieser Techniken nimmt zu – in Deutschland können Bürger sich mit der Online-Ausweisfunktion des Personalausweises auch im Internet oder an Automaten und Bürgerterminals eindeutig ausweisen. Dies wird aber immer noch durch einen sehr fragmentierten Markt behindert, der sich sowohl an den Branchen als auch an den nationalen Vorschriften orientiert. Dies verlangsamt die Einführung erheblich.
Datenschutz-
In Europa wird das Datenschutz- und Einwilligungsmanagement in Verbindung mit dem DSGVO-Gesetz ein wichtiges Thema bleiben. Wir werden DSGVO-Lösungen sehen, die leichter in CIAM-Systeme integriert werden können, und auch mehr Integrationen in spezialisierte Zustimmungs- und Datenschutzmanagementlösungen für Kunden, die anspruchsvollere Datenschutzinstrumente in ihrer gesamten IT-Infrastruktur benötigen.
Der Aufbau einer standardisierten, vorgelagerten CIAM-Lösung in Kombination mit einer Web Application Firewall ist der logische Schritt, um alle personenbezogenen Daten zu verwalten und zu schützen. So kann die Datenverarbeitung schon vorab zentral gesteuert werden und Identitäten sind bereits vorgelagert geschützt.
Industriestandards für Authentifizierung
Auf der technischen Seite werden wir eine Konvergenz fast aller Lösungen zu drei technischen Standards sehen. FIDO, in seinen verschiedenen Formen für die Authentifizierungsbedürfnisse (Herstellung einer sicheren Verbindung), OpenID Connect für die Föderation und OAuth 2.0 für die Autorisierungsteile. Auch wenn es weiterhin notwendig sein wird, ältere Protokolle wie SAML für bestimmte Anwendungsfälle zu unterstützen, werden diese drei Standards das Rückgrat moderner CIAM-Systeme bilden.
„Die Corona-Pandemie hat die digitale Transformation stark beschleunigt. Gerade für den Onlinehandel ist ein zuverlässiges Identitätsmanagement entscheidend, um Kunden mit einem guten Nutzererlebnis und höchsten Sicherheitsstandards zu überzeugen und an sich zu binden“, sagt Stephan Schweizer, CEO von Nevis. „Aber auch in Branchen wie Healthcare oder Industrie ist eine Absicherung sensibler Daten unumgänglich. Hier kommt es darauf an, die gesetzlichen Regelungen besser in der Praxis umzusetzen, indem vermehrt auf herstellerunabhängige Standards statt auf Insellösungen gesetzt wird.“
https://www.nevis.net/
