Digitale Identitäten erleichtern digitale Transformation

Dr. Jakob Jung,
Interview
Security (Bild: Shutterstock)

Andre Priebe, CTO des Identity-Spezialisten iC Consult, schildert die Chancen im Bereich Identity and Access Management (IAM).

Wie wichtig ist Identity and Access Management (IAM) für das Homeoffice?

Die aktuelle Situation ist eine große Herausforderungen. Viele Anwender nutzen jetzt cloudbasierte Anwendungen, wie zum Beispiel Videoconferencing. Dadurch sind der sichere Zugang und der Schutz von Daten jetzt besonders wichtig.
Identitätsmanagement ist bei Unternehmen in fast allen Branchen und Größen ein Thema, nicht nur für DAX-Unternehmen. Auch kleine und mittelständische Unternehmen stehen Herausforderungen gegenüber und kämpfen mit Sicherheitslücken.

Ist es sinnvoll, eine IAM-Lösung als Eigenentwicklung zu implementieren?

Unsere Erfahrung zeigt, dass sich die Eigenentwicklung eines Identity and Access Management für viele Unternehmen, egal welcher Größe, häufig wenig sinnvoll ist. Dies hat unterschiedliche Gründe: Man kann natürlich ein Produkt statt eines Service nehmen und das in eigener Hoheit betreiben – sei es aus strategischen Gründen oder weil man sich die Kontrolle und Unabhängigkeit bewahren will. Aber in den Lösungen etablierter Anbieter stecken in Summe viele hundert Personenjahre an Softwareentwicklung und umfangreiche Erfahrung. Wer das selbst in die Hand nimmt, setzt am Anfang nur wenige Funktionen um. Mit der Anwendungslandschaft und der Zahl der Partner, die man integrieren muss, braucht man aber eine Vielzahl neuer Funktionen und Protokolle, die man unter einen Hut bekommen muss. Wir empfehlen daher sich für eine Identity as a Service-Lösung zu entscheiden, zum Beispiel für die Lösung unseres Partners Auth0, oder ein Identity and Access Management Produkt, aber nicht selbst zu entwickeln. Denn eine Eigenentwicklung würde schnell zum Millionengrab werden. Ich kann jedem nur davon abraten.

Wer gibt den Anstoß zu Projekten bei Kunden?

Das ist sehr unterschiedlich. Oft kommt der Anstoß heute aus Digitalisierungsprojekten, aus dem Produktmanagement oder vom Marketing, wo es heißt: „Wir müssen viel besser mit unseren Kunden interagieren – und das produktübergreifend.“ In einigen Fällen ist es aber auch die IT-Security und / oder die Compliance-Abteilung, die sagt, wir haben hier ein designtechnisches Sicherheitsproblem und suchen daher nach einer professionellen Lösung für digitale Identitäten.

Warum ist Identity und Access Management gerade für die digitale Transformation und den Aufbau digitaler Services relevant?

Identitätsmanagement ist oft das „Missing Piece“. Das fällt vielleicht nicht beim ersten digitalen Service auf, den man seinen Kunden bereitstellt, aber dann beim Zweiten oder Dritten. Wenn man weitere digitale Touchpoints hinzuzählt, merkt man sofort, dass man für die Kunden eine katastrophal schlechte User-Journey geschaffen hat. Mit Identity and Access Management hat man die Chance, die User Journey über alle Touchpoints hinweg sehr konsistent und benutzerfreundlich zu gestalten. Wenn man das nicht tut, wird man schnell auf Grenzen stoßen und riskieren, dass die Kundenzufriedenheit darunter leidet.

Warum kommt es dann dennoch immer wieder zu Datenpannen?

Ich glaube, es gibt mehrere Gründe für Datenpannen. Zum einen haben sich die Kunden oft nicht mit dem Thema Identity and Access Management beschäftigt, digitale Identitäten liegen deshalb dupliziert, ohne zentrale Kontrolle in verschiedenen Systemen. Damit steigt auch die Wahrscheinlichkeit, dass eines dieser Systeme die Daten unbeabsichtigt exponiert. Wer IAM zentral betreibt, hat den Vorteil, die Zahl der möglichen bedrohten Systeme, aus denen potenziell Benutzerdaten abfließen, einfach limitieren zu können.
Zum anderen gilt dies auch für die Stellen, an welchen sich die Benutzer anmelden, ihr Passwort eingeben und ihre Daten pflegen. Mit einem zentralen Ansatz, also einem zentralen Login wird die exponierte Fläche signifikant verkleinert. Außerdem erleben wir gerade einen Paradigmenwechsel weg von langer Planung und Entwicklung, bis etwas nach Monaten beim Kunden landet. Heute sind wir alle agil und rollen die sichtbaren Anwendungen für die Kunden fast im Zweiwochenrhythmus, teils sogar täglich neu aus. Dabei steigt natürlich auch die Wahrscheinlichkeit, dass Fehler passieren. Das heißt, man muss viel schneller sein als früher. Wer heute zu langsam ist, verliert Marktanteile und Reputation. Man muss nicht alles neu entwickeln und selbst machen. Vielmehr empfiehlt sich, bei Identity and Access Management mit etablierten Anbietern wie Auth0 und Beratungsunternehmen wie iC Consult zusammenzuarbeiten, um das Thema zu beschleunigen.

Immer öfter wird auch Identitätsmanagement als Cloud-Service angeboten. Gibt es da nicht auch Vorbehalte auf Kundenseite?

Der Trend geht tatsächlich mehr und mehr in die Cloud. Anbieter mit einem starken Identity as a Service-Angebot profitieren davon und werden es künftig noch mehr tun. Auf der anderen Seite gibt es auch Anbieter, die gut in hybriden Szenarien unterwegs sind. Gemeint sind Cloud-Provider, die auch den On-Prem-Betrieb optimal unterstützen. Gegen die Cloud oder Identity as a Service gibt es natürlich auch Vorbehalte. Manche Kunden sagen: „Da liegen die Daten ja nicht mehr im eigenen Datacenter und arbeiten wir potenziell mit Personen zusammen, die wir gar nicht kennen. Ist das nicht viel unsicherer?“

Emotional ist das vielleicht nachvollziehbar. Aber wenn man die Probe aufs Exempel macht und sieht, wie die eigenen Daten im Rechenzentrum geschützt werden und welchen Aufwand professionelle Anbieter betreiben, muss mancher Kunde auch offen zugeben, dass die Daten bei einem Identity as a Service-Anbieter professioneller und besser geschützt sind. Entsprechend wächst die Nachfrage nach Cloud-Diensten. Dabei sehen wir in der Praxis zwei Wege: Entweder man entscheidet sich für einen Public-Cloud-Provider, der jedem Kunden einen Mandanten in seinem System bereitstellt, oder für einen Anbieter, der für den Kunden eine Private Instance bereitstellt, in dem nur seine Daten liegen.

In welcher Rolle ist Ihr Unternehmen in dem Markt unterwegs? Werden Sie in der Regel wegen Technik- oder Business-Themen ins Boot geholt?

Wir haben uns als IT-Berater auf das Thema digitale Identitäten spezialisiert und decken mit unserem Tochterunternehmen xdi360 aber auch die Business-Seite ab. Häufig treten wir als Integrator für Identitätsmanagement-Lösungen in Erscheinung und kümmern uns um die Implementierung und die Einbindung der Systeme unserer Kunden. Dabei stehen die Bedürfnisse unserer Kunden im Vordergrund. Heute bedienen wir mit über 300 Consultants und unseren Tochterunternehmen weltweit viele Großunternehmen und in Deutschland über die Hälfte aller DAX-Unternehmen, darunter Allianz und Siemens. Dabei achten wir darauf, dass jede Lösung genau auf das Bedürfnis des Kunden abgestimmt ist. Das muss strukturiert und konsequent angegangen werden und ist Voraussetzung für eine gute Implementierung.