Thought Leadership
Im „Internet of Things“ ist eine wachsende Zahl von Geräten nicht nur miteinander verbunden, sondern kommuniziert auch ständig miteinander. Aber welche dieser Identitäten sind tatsächlich vertrauenswürdig? Eine der zentralen Fragen für die Zukunft.
Sechs unterschiedliche Bereiche werden dabei eine wesentliche Rolle spielen. Unternehmen werden sich zwangsläufig für strengere Formen der Authentifizierung wie beispielsweise die Multi-Faktor-Authentifizierung entscheiden. Kontextabhängige Identitätslösungen minimieren die Risiken und tragen dazu bei, Compliance-Richtlinien einzuhalten. Aber auch die Browser-Anbieter sind gefragt, wenn es darum geht Online-Transaktionen in der veränderten Umgebung sicherer zu machen. SSL-verschlüsselte Websites und Extended Validation (also die im Browser grün angezeigte Adresszeile, die für eine vertrauenswürdige Website bürgt) werden aktiv gefördert. Ebenso wie die seit langem geforderte Transparenz, wenn es um digitale Zertifikate geht.
Identity & Access Management (IAM), das bislang primär als interner Dienst für die Mitarbeiter eines Unternehmens verstanden wurde, verschiebt sich in Richtung des sogenannten „Extended Enterprise“. Gedacht, und in Bezug auf die Infrastruktur umgesetzt, ist das als eine Art erweitertes Unternehmen, in dem nicht nur die eigenen Mitarbeiter sicher interagieren, sondern auch Kunden und Partner. Ein Unternehmensmodell, in dem deutlich mehr Geschäftsmodelle und -prozesse direkt über das Web abgewickelt werden als bisher.
Und nicht zu vergessen das Internet of Everything, in dem alle „Dinge“ vertrauenswürdige Identitäten als Teil einer zunehmend vernetzten Welt benötigen – das gilt für Intelligente Städte (Smart Cities) genauso wie für jedes einzelne intelligente Gerät (Smart Appliances). Sämtliche dieser Identitäten müssen während ihrer gesamten Laufzeit verwaltet werden. Das ist nicht ganz trivial: Prüfen der Identitäten, Validieren der Laufzeit und schließlich die Möglichkeit, die Identitäten zu widerrufen sind Bestandteile dieses Prozesses.
Wir haben insgesamt sechs Bereiche identifiziert, bei denen das Thema Identität zwangsläufig in den Mittelpunkt rücken wird:
1. Authentifizierung – endlich mehr als Benutzername und Passwort
Biometrische Daten, digitale Zertifikate, Sicherheitsfragen, Einmal-Passwörter und Geolokalisierung, alle sorgen alle für einen sicheren Zugang. Was wir in Zukunft allerdings häufiger sehen werden sind soziale Sicherheitsüberprüfungen, Claims-basierte Authentifizierung und Step-up-Authentifizierung. Administratoren müssen digitale Identitäten bedarfsgerecht bereitstellen und verwalten, verbunden mit einer möglichst einfachen Form der Authentifizierung. Über die altehrwürdigen Anmeldeinformationen Benutzername und Passwort ist das nicht mehr zu schaffen. Mit Ausnahme der grundlegendsten Zugriffsberechtigungen wird die Kombination aus Benutzernamen und Passwörtern über kurz oder lang verschwinden.
2. Online-Transaktionen werden sicherer
Nicht nur Google hat sich dafür eingesetzt, sämtliche Websites mit SSL zu sichern. Generell drängt die Branche auf wirksamere Sicherheitsüberprüfungen und Extended Validation-Zertifikate. Sie bieten derzeit die stärkste Form eine Website zu authentifizieren. Das Certificate Authority and Browser (CAB)-Forum setzt sich für zusätzliche Maßnahmen ein, die SSL sicherer machen. So sollen beispielsweise128-Bit-Zertifikate auslaufen und OCSP-Stapling sowie Certificate Transparency gefördert werden. Open-Source-Projekte, wie OpenSSL, werden inzwischen von branchenführenden Unternehmen unterstützt. Eine Reaktion auf die gravierenden Sicherheitslücken, die im letzten Jahr bekannt geworden sind. Um den Standard zu stärken, wird sich die Zusammenarbeit an dieser Stelle weiter intensivieren
3. Der Bedarf an Identitätsstandards wächst
Im Internet of Everything sind Identitäten ein Wegbereiter für bessere Zusammenarbeit. Das ist die eine Seite. Die andere sind wachsende Sicherheitsanforderungen. Das schafft neue Geschäfts-modelle für Hersteller, Dienstleister, Entwickler und Unternehmen. Man braucht also Identitäten, die in ganz verschiedenen Ökosystemen und Branchen einsetzbar sind. Menschen, Geräte, Transaktionen und Geschäftsprozesse sind betroffen. Für ein sicheres Internet of Everything sind Standards, Identity Federation und vertrauenswürdige Identitäten zentrale Bausteine.
4. Identity Relationship & Access-Management für das Extended Enterprise
IAM ist traditionell mit dem Personalwesen und der IT verknüpft. Es ging in erster Linie darum, dass Mitarbeiter produktiver zusammenarbeiten und Compliance-Richtlinien eingehalten werden. Heute wird Identity Relationship & Access Management (IRAM) von den Bedürfnissen der Unternehmensbereiche angetrieben. In erster Linie, um neue E-Dienste/Dienstleistungen und Geschäftsmodelle umzusetzen. CRM-Integration, soziale Sicherheitsüberprüfung und Identity Federation erweitern die traditionellen Unternehmensstrukturen. Das gesamte Geschäftsumfeld aus Subunternehmern, Kunden, Partnern und Interessengruppen soll davon profitieren. Im Idealfall sind die dafür notwendigen Transaktionen benutzerfreundlich und dennoch authentifiziert. Will man tatsächlich neue Erlösquellen erschließen, mit Kunden besser interagieren und Identitäten im IoE besser verwalten sollten diese Voraussetzungen erfüllt sein.
5. Sicherheit und Identität? Beim „Thing Design“ zu wenig berücksichtigt
Infolgedessen ist es leider nur zu wahrscheinlich, dass die Angriffe auf solche Plattformen zunehmen, solange die Anbieter nicht berücksichtigen, dass es ohne vertrauenswürdige Identitäten nicht geht.
6. Identity-Services verschieben sich in die Cloud
Der Bedarf nach Identitäten und nach mehr Sicherheit nehmen gleichermaßen zu, unabhängig von der Größe eines Unternehmens. Folglich werden mehr und häufiger Cloud-basierte Identitätsdienste angeboten. Sie vereinfachen es Herstellern und Unternehmen, Identitäten sowohl in der eigenen Firma als auch in erweiterten Kunden- und Partnernetzwerken zu implementieren und zu verwalten.
Standards in der Diskussion
Der Ruf nach einheitlichen Identity-Standards kommt aus verschiedenen Richtungen. Besonders natürlich von den Unternehmen und Branchen, die IoE bereits aktiv umsetzen. Branchenvereinigungen, bestehende Standard-Gremien und Forschungsabteilungen arbeiten mit Hochdruck daran, Standards für Identity zu definieren und weiterzuentwickeln.
Vereinigungen wie die IETF (gemeinsam mit der ACE-Arbeitsgruppe) und die Kantara Initiative (mit einer Arbeitsgruppe zu Identities of Things) bemühen sich derzeit um IoE-Fallbeispiele, die als Richtschnur dienen sollen. Ein Versuch, den Grundstein für zukünftige Standards zu legen, bei dem sowohl die sich noch entwickelnden Systeme als auch die bereits existierenden Technologien berücksichtigt werden. Aus der Erfahrung lässt sich sagen, dass der erfolgreichste Ansatz meistens darin besteht, bewährte Standards zu nutzen oder sie an die veränderten Gegebenheiten anzupassen.
Wenn das alles nichts hilft, müssen gänzlich neue Standards entwickelt werden. Das verläuft in der Regel nicht ohne Probleme, da selbige Standards vorher nie getestet werden konnten und sich selten branchenweit anwenden lassen. Im Falle des IoT/IoE empfiehlt es sich auf bestehende Standards zu setzen und diese anzupassen. Zur bereits erwähnten Kantara Initiative gehört eine Gruppe, die sich besonders mit der Positionierung und Entwicklung von Identity im Internet of Everything befasst. Ziel ist es, dem IEEE einen entsprechenden Entwurf vorzulegen. Ein Blick auf die bestehenden Standards zeigt, dass sich eine Reihe von ihnen gegebenenfalls für das IoE eignet. Besonders vielversprechende Kandidaten sind OAuth, OpenID und traditionelle PKI-Standards. Wir votieren dafür, offene Standards zu nutzen und zu entwickeln. Darum bemühen sich derzeit besonders die IETF und das CA/B-Forum.
Joan Lockhart
