Kostensenkung, Zeitersparnis, hohe BenutzerfreundlichkeitIdentity und Access Management klärt Zuständigkeiten
6. September 2019Im Zuge der Digitalisierung sind mehr und mehr Vorgänge und Datensätze sowohl innerhalb, als auch außerhalb eines Unternehmens verschiedenen Parteien zugänglich. Kunden, Partner, Lieferanten und Maschinen, also Dinge, können und müssen Zugriff bekommen. Die Datenmenge aber erreicht eine unübersichtliche Größe. Zugriffsrechte und Sichtbarkeit der Daten müssen darum zur Sicherheit des Unternehmens genau bestimmt werden. Typischerweise kommt eine Identity und Access Management (IAM)-Lösung zum Einsatz. Dabei wird den zugreifenden Personen eine klare Rolle und Identität zugewiesen.
Diese Entwicklung ruft das Thema Compliance auf den Plan, muss eine hier wirkende Sicherheitslösung doch auf immer komplexer werdende und sich schnell ändernde Datenschutzbestimmungen flexibel reagieren können, um die privaten Daten der Personen zu schützen.
Entsprechend wird IAM anhand der Zielgruppen in zwei Ausprägungen unterteilt: internes und externes IAM. Letzteres wird gerne als Customer/Consumer Identity and Access Management (cIAM) bezeichnet.
Nutzerfreundlichkeit und Sicherheit
Eine der wesentlichen Aufgaben eines Identitätsmanagements ist die Zugangskontrolle. Schließlich sind Applikationen, Services, Daten und Identitäten noch immer das große Ziel der Cyber-Kriminellen. Eine sichere Authentifizierung schafft Abhilfe, geht aber schnell zu Lasten der Nutzerfreundlichkeit: Zwei Faktoren werden oft als mühsam empfunden, können beim Zugriff auf sensible Daten aber unerlässlich sein.
Eine nutzerfreundliche Lösung ist die risikobasierte Authentifizierung. Hier wird nicht bei jeder Anmeldung ein zweiter Faktor abgefragt, sondern der Kontext des Zugriffs analysiert. Meldet sich der Nutzer beispielsweise immer vom gleichen Ort und um die gleiche Uhrzeit an, steigt die Verlässlichkeit und auf den zweiten Faktor wird verzichtet.
Eine Vereinfachung für den Kunden bietet auch die Möglichkeit des Single-Sign-on: Statt sich für verschiedene Dienste des gleichen Anbieters einzeln anmelden zu müssen, erhält der Benutzer einfachen Zugriff auf alle genutzten Services. So funktioniert beispielsweise die Anmeldung mit der SwissID im Bankwesen, wo Airlock IAM, ein Teil des Komplettschutzes Airlock Secure Access Hub, bereits zum Einsatz kommt und sich derzeit bewährt.
Aspekte einer Zwei-Faktor-Authentifizierung
Entscheidet sich ein Unternehmen, für gewisse Inhalte die Zwei-Faktor-Authentifizierung (2FA) vorauszusetzen, sind neben den Sicherheitsbestimmungen verschiedene, weitere Aspekte zu beachten, um die Nutzerfreundlichkeit nicht einzuschränken:
- Online/Offline: Muss das Verfahren auch funktionieren, wenn der Benutzer keine Datenverbindung hat?
- Zusätzliches Gerät: Darf der Nutzer für den eigentlichen Zugriff und den zweiten Faktor das gleiche Gerät verwenden? Kann man von seinem Kunden verlangen, ein dediziertes 2FA-Gerät zu verwenden? Darf es nur dessen eigenes Smartphone sein?
- Aktionsbestätigung: Soll der zweite Faktor verwendet werden, um eine Aktion zu bestätigen, wie die Signierung einer Transaktion im E-Banking? In diesem Fall muss es möglich sein, die Zahlungsdaten auf einem zweiten, sicheren Kanal zu übermitteln.
Ausrichtung der Bedienbarkeit auf die Zielgruppe
Die Interaktion mit dem Benutzer entscheidet über den Erfolg von Digitalisierungsprojekten. Das beginnt schon bei der Registrierung: Je mehr der Benutzer über sich preisgeben muss, desto größer ist die Gefahr, dass er abspringt. Social Login und Social Registration können Abhilfe schaffen. Für den Kunden bietet das den Vorteil, dass er seine Daten nicht mehrfach eingeben muss, während das Unternehmen schnell und unkompliziert anonyme Besucher in bekannte Identitäten wandeln kann.
Ein Unternehmen hat zudem gewisse Qualitätsmerkmale, die von seinen Kunden besonders geschätzt werden. Diese Faktoren sollten den Verantwortlichen bewusst sein, um auch in der digitalen Kundenbeziehung davon zu profitieren. Zur Nutzerfreundlichkeit gehört schließlich auch eine klare Ausrichtung auf die Zielgruppe. Sollen die Endkunden oder die gesamte Öffentlichkeit auf die Dienste zugreifen können, oder spricht man Fachkräfte der Geschäftskunden an?
Online-Selbstbedienung spart Zeit und Geld
Kunden möchten heutzutage viele Dinge selbst und sofort erledigen, nicht erst einen Helpdesk kontaktieren. Durch einen im IAM integrierten User-Self-Service können sie Accounts erstellen und entsperren oder ihr Passwort zurücksetzen. Der Dienst spart Anbietern viel Zeit und Geld, vergisst doch laut den Marktforschern von Gartner ein Benutzer 1,8-mal pro Jahr sein Passwort.
Zudem müssen Benutzer ihre optimale Arbeitsumgebung selbst wählen können – sei es der Desktop-PC, ein Tablet oder Smartphone. Das macht ein Responsive Design der Services zwingend. Für Mobile-Anwendungen eignen sich am besten dedizierte Mobile-Apps oder Single Page Applications.
Abstimmung des IAM mit einer Web Application Firewall
Applikationen und Services müssen zeitnah angeboten werden, ohne die Sicherheit und Benutzerfreundlichkeit zu beeinträchtigen. Besonders hilfreich ist es, 2FA, Benutzerverwaltung oder Profilmanagement zentral und einmalig zu implementieren, um sie danach als Dienst den Applikationen zur Verfügung zu stellen. Das gewährleistet die Funktionalität und die IT-Sicherheit wird in den verschiedenen Anwendungen einheitlich umgesetzt.
Eine abgestimmte Kombination mit einer vorgelagerten Web Application Firewall (WAF), wie Airlock WAF, die ebenfalls Teil des Airlock Secure Access Hub ist, schützt die Applikationen gegen die bekannten Top-10-Gefahren gemäss dem Open Web Application Security Project (OWASP). Schwachstellen lassen sich so zeitnah und vorgelagert beheben.
Im Dienst der Web-Applikationen
Gutes IAM ist nie bloßer Selbstzweck, sondern steht im Dienst der integrierten Anwendungen. Der Fokus liegt darauf, die gewünschte Funktionalität so zur Verfügung zu stellen, dass Applikationen nicht angepasst werden müssen.
Die schnelle Einsatzbereitschaft führt zu Kosten- und Zeiteinsparungen. Besonders zum Tragen kommt das dort, wo nicht alle angebotenen Dienste von Grund auf neu entwickelt und auf Federation-Protokolle wie OpenID Connect oder SAML ausgelegt werden. Unternehmen müssen sicherstellen, dass für ihre Anwendungen die geeigneten Identity-Propagation-Methoden angeboten werden, damit diese alle notwendigen Informationen zum aktuellen Benutzer erhalten.
Marc Bütikofer