VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen


IdentityIm „Internet of Things“ ist eine wachsende Zahl von Geräten nicht nur miteinander verbunden, sondern kommuniziert auch ständig miteinander. Aber welche dieser Identitäten sind tatsächlich vertrauenswürdig? Eine der zentralen Fragen für die Zukunft. 

Sechs unterschiedliche Bereiche werden dabei eine wesentliche Rolle spielen. Unternehmen werden sich zwangsläufig für strengere Formen der Authentifizierung wie beispielsweise die Multi-Faktor-Authentifizierung entscheiden. Kontextabhängige Identitätslösungen minimieren die Risiken und tragen dazu bei, Compliance-Richtlinien einzuhalten. Aber auch die Browser-Anbieter sind gefragt, wenn es darum geht Online-Transaktionen in der veränderten Umgebung sicherer zu machen. SSL-verschlüsselte Websites und Extended Validation (also die im Browser grün angezeigte Adresszeile, die für eine vertrauenswürdige Website bürgt) werden aktiv gefördert. Ebenso wie die seit langem geforderte Transparenz, wenn es um digitale Zertifikate geht.

Identity & Access Management (IAM), das bislang primär als interner Dienst für die Mitarbeiter eines Unternehmens verstanden wurde, verschiebt sich in Richtung des sogenannten „Extended Enterprise“. Gedacht, und in Bezug auf die Infrastruktur umgesetzt, ist das als eine Art erweitertes Unternehmen, in dem nicht nur die eigenen Mitarbeiter sicher interagieren, sondern auch Kunden und Partner. Ein Unternehmensmodell, in dem deutlich mehr Geschäftsmodelle und -prozesse direkt über das Web abgewickelt werden als bisher.

Und nicht zu vergessen das Internet of Everything, in dem alle „Dinge“ vertrauenswürdige Identitäten als Teil einer zunehmend vernetzten Welt benötigen – das gilt für Intelligente Städte (Smart Cities) genauso wie für jedes einzelne intelligente Gerät (Smart Appliances). Sämtliche dieser Identitäten müssen während ihrer gesamten Laufzeit verwaltet werden. Das ist nicht ganz trivial: Prüfen der Identitäten, Validieren der Laufzeit und schließlich die Möglichkeit, die Identitäten zu widerrufen sind Bestandteile dieses Prozesses.

Wir haben insgesamt sechs Bereiche identifiziert, bei denen das Thema Identität zwangsläufig in den Mittelpunkt rücken wird:

1. Authentifizierung - endlich mehr als Benutzername und Passwort
 

Biometrische Daten, digitale Zertifikate, Sicherheitsfragen, Einmal-Passwörter und Geolokalisierung, alle sorgen alle für einen sicheren Zugang. Was wir in Zukunft allerdings häufiger sehen werden sind soziale Sicherheitsüberprüfungen, Claims-basierte Authentifizierung und Step-up-Authentifizierung. Administratoren müssen digitale Identitäten bedarfsgerecht bereitstellen und verwalten, verbunden mit einer möglichst einfachen Form der Authentifizierung. Über die altehrwürdigen Anmeldeinformationen Benutzername und Passwort ist das nicht mehr zu schaffen. Mit Ausnahme der grundlegendsten Zugriffsberechtigungen wird die Kombination aus Benutzernamen und Passwörtern über kurz oder lang verschwinden.

2. Online-Transaktionen werden sicherer
 

Nicht nur Google hat sich dafür eingesetzt, sämtliche Websites mit SSL zu sichern. Generell drängt die Branche auf wirksamere Sicherheitsüberprüfungen und Extended Validation-Zertifikate. Sie bieten derzeit die stärkste Form eine Website zu authentifizieren. Das Certificate Authority and Browser (CAB)-Forum setzt sich für zusätzliche Maßnahmen ein, die SSL sicherer machen. So sollen beispielsweise128-Bit-Zertifikate auslaufen und OCSP-Stapling sowie Certificate Transparency gefördert werden. Open-Source-Projekte, wie OpenSSL, werden inzwischen von branchenführenden Unternehmen unterstützt. Eine Reaktion auf die gravierenden Sicherheitslücken, die im letzten Jahr bekannt geworden sind. Um den Standard zu stärken, wird sich die Zusammenarbeit an dieser Stelle weiter intensivieren

3. Der Bedarf an Identitätsstandards wächst
 

Im Internet of Everything sind Identitäten ein Wegbereiter für bessere Zusammenarbeit. Das ist die eine Seite. Die andere sind wachsende Sicherheitsanforderungen. Das schafft neue Geschäfts-modelle für Hersteller, Dienstleister, Entwickler und Unternehmen. Man braucht also Identitäten, die in ganz verschiedenen Ökosystemen und Branchen einsetzbar sind. Menschen, Geräte, Transaktionen und Geschäftsprozesse sind betroffen. Für ein sicheres Internet of Everything sind Standards, Identity Federation und vertrauenswürdige Identitäten zentrale Bausteine.

4. Identity Relationship & Access-Management für das Extended Enterprise
 

IAM ist traditionell mit dem Personalwesen und der IT verknüpft. Es ging in erster Linie darum, dass Mitarbeiter produktiver zusammenarbeiten und Compliance-Richtlinien eingehalten werden. Heute wird Identity Relationship & Access Management (IRAM) von den Bedürfnissen der Unternehmensbereiche angetrieben. In erster Linie, um neue E-Dienste/Dienstleistungen und Geschäftsmodelle umzusetzen. CRM-Integration, soziale Sicherheitsüberprüfung und Identity Federation erweitern die traditionellen Unternehmensstrukturen. Das gesamte Geschäftsumfeld aus Subunternehmern, Kunden, Partnern und Interessengruppen soll davon profitieren. Im Idealfall sind die dafür notwendigen Transaktionen benutzerfreundlich und dennoch authentifiziert. Will man tatsächlich neue Erlösquellen erschließen, mit Kunden besser interagieren und Identitäten im IoE besser verwalten sollten diese Voraussetzungen erfüllt sein.

5. Sicherheit und Identität? Beim „Thing Design“ zu wenig berücksichtigt
 

Infolgedessen ist es leider nur zu wahrscheinlich, dass die Angriffe auf solche Plattformen zunehmen, solange die Anbieter nicht berücksichtigen, dass es ohne vertrauenswürdige Identitäten nicht geht.

6. Identity-Services verschieben sich in die Cloud
 

Der Bedarf nach Identitäten und nach mehr Sicherheit nehmen gleichermaßen zu, unabhängig von der Größe eines Unternehmens. Folglich werden mehr und häufiger Cloud-basierte Identitätsdienste angeboten. Sie vereinfachen es Herstellern und Unternehmen, Identitäten sowohl in der eigenen Firma als auch in erweiterten Kunden- und Partnernetzwerken zu implementieren und zu verwalten.

Standards in der Diskussion
 

Der Ruf nach einheitlichen Identity-Standards kommt aus verschiedenen Richtungen. Besonders natürlich von den Unternehmen und Branchen, die IoE bereits aktiv umsetzen. Branchenvereinigungen, bestehende Standard-Gremien und Forschungsabteilungen arbeiten mit Hochdruck daran, Standards für Identity zu definieren und weiterzuentwickeln.

Vereinigungen wie die IETF (gemeinsam mit der ACE-Arbeitsgruppe) und die Kantara Initiative (mit einer Arbeitsgruppe zu Identities of Things) bemühen sich derzeit um IoE-Fallbeispiele, die als Richtschnur dienen sollen. Ein Versuch, den Grundstein für zukünftige Standards zu legen, bei dem sowohl die sich noch entwickelnden Systeme als auch die bereits existierenden Technologien berücksichtigt werden. Aus der Erfahrung lässt sich sagen, dass der erfolgreichste Ansatz meistens darin besteht, bewährte Standards zu nutzen oder sie an die veränderten Gegebenheiten anzupassen.

Wenn das alles nichts hilft, müssen gänzlich neue Standards entwickelt werden. Das verläuft in der Regel nicht ohne Probleme, da selbige Standards vorher nie getestet werden konnten und sich selten branchenweit anwenden lassen. Im Falle des IoT/IoE empfiehlt es sich auf bestehende Standards zu setzen und diese anzupassen. Zur bereits erwähnten Kantara Initiative gehört eine Gruppe, die sich besonders mit der Positionierung und Entwicklung von Identity im Internet of Everything befasst. Ziel ist es, dem IEEE einen entsprechenden Entwurf vorzulegen. Ein Blick auf die bestehenden Standards zeigt, dass sich eine Reihe von ihnen gegebenenfalls für das IoE eignet. Besonders vielversprechende Kandidaten sind OAuth, OpenID und traditionelle PKI-Standards. Wir votieren dafür, offene Standards zu nutzen und zu entwickeln. Darum bemühen sich derzeit besonders die IETF und das CA/B-Forum.

Joan LockartJoan Lockhart

www.globalsign.de

 
GRID LIST
Leitfaden IAM-Projekte erfolgreich umsetzen

Praxis-Leitfaden zur erfolgreichen Umsetzung von IAM-Projekten

Airlock veröffentlicht zusammen mit seinen Partnern Beta Systems, KPMG und TIMETOACT den…
Tb W190 H80 Crop Int 49b8aad2435603d564c50d2760b776ff

Privileged Access-Management die Basis für IAM

Viele der in letzter Zeit bekannt gewordenen Cyberangriffe und Datenverstöße haben eines…
Rubik Würfel

Ganzheitliche Applikationssicherheit dank kombinierter Disziplinen

Durch die Digitalisierung steigen die Cyber-Attacken auf Applikationen und Webservices…
MFA

Modernisierte Multi-Faktor-Authentifizierung für die Cloud

MobileIron gibt heute die Erweiterung seiner Cloud-Sicherheitslösung MobileIron Access…
Supply Chain

Sichere Supply Chain erfordert strikte Regelungen zu privilegierten Zugriffen

Die Sicherung von Systemen und Daten in der Supply Chain zählt zu den größten…
Flugzeug

Transavia hebt ab mit One Identity

Niederländische Fluggesellschaft reduziert Provisionierungsaufwand für saisonal…
Smarte News aus der IT-Welt