IAM und Datenschutz: Warum es wichtig ist, beides miteinander zu vereinbaren

Datenschutz ist mittlerweile ein in den Medien überstrapaziertes Thema. Warum es trotzdem wichtig ist, Datensicherheit an erste Stelle zu setzen, und wie sie sich mit Identity and Access Management vereinbaren lässt, erklären wir Ihnen in Folge. [...]

Das Herzstück und zugleich die Schaltzentrale der ESET Unternehmenslösungen bildet das umfassende Security Management Center. (c) Pixabay.com

Datenschutz und Datensicherheit haben in den letzten 12 Monaten eine Menge Schlagzeilen gemacht. Wo wir auch hinschauen, gibt es so gut wie jeden Tag Berichte über eine neue Datenpanne, eine erneute Aktualisierung der Datenschutzbestimmungen oder zumindest einen Kollegen, der sich mit uns über Datensicherheit unterhalten möchte. Das alles ist gerade in letzter Zeit etwas zu viel geworden, und trotzdem müssen wir uns fragen: „Ist das jetzt der Höhepunkt?“

Im Bereich des Identitätsmanagements war Datenschutz solange kein Thema, bis der Verbraucher selbst in unmittelbare Nähe rückte; und auch beim Enterprise Identity and Access Management (IAM) kam allgemeine Datensicherheit nur selten zu Sprache – und das, obwohl dabei auch mit den persönlichen Daten der eigenen Mitarbeiter hantiert wird.

Warum es wichtig ist, sich trotz Übersättigung mit Privatsphäre zu beschäftigen

Datenpannen und andere Datenschutzverletzungen können heutzutage fast als eine Art „digitales Trauma“ bezeichnet werden. Als ich zum ersten Mal von der Collective #1-Datenpanne hörte, bei der insgesamt 773 Millionen Datensätze offengelegt wurden, dachte ich nur: „Oh nein, nicht schon wieder.“ Und als ich kurz darauf HaveIBeenPwned aufrief und meine E-Mail-Adresse in der Liste der geraubten Daten entdeckte, habe ich mir nicht halb so viele Sorgen gemacht, wie ich es hätte tun sollen, einfach weil ich in den letzten Jahren ungemein desensibilisiert worden bin.

Desensibilisierung ist ein häufiges Problem bei Menschen, die ein Trauma erlitten haben. Wenn jemand zum Beispiel in seinem Leben schon mal im erhöhten Maße Gewalt ausgesetzt gewesen ist, wird er auf Gewalttaten in der Regel weniger betroffen reagieren als diejenigen, die ihr noch nie ausgesetzt gewesen sind. Wenn Sie etwas immer und immer wieder erleben, gewöhnen Sie sich unweigerlich daran. Das bedeutet jedoch nicht, dass es dann toleriert werden sollte.

In diesem Augenblick, in dem ich diesen Text verfasse, werden weitere Verstöße gegen den Datenschutz passieren, die sich auf die Sicherheit unserer persönlichen Daten auswirken werden. Die neue EU-Datenschutzrichtlinie (DSGVO) mag vielleicht dazu beitragen, die Gedanken der leitenden Organisatoren europäischer Unternehmen darauf zu fokussieren, doch sie hält Cyberkriminelle doch nicht davon ab, unsere persönlichen Daten zu stehlen. Seit dem Inkrafttreten der DSGVO hat die Anwaltskanzlei DLA Piper in Europa bereits rund 59.000 Verstöße gegen personenbezogene Daten verzeichnet.

Als Verwahrer und Verarbeiter solcher persönlichen Daten können wir die Augen nicht einfach vor dem Datenschutz verschließen. Das schadet unseren Unternehmen ebenso sehr wie dem Kunden, der auf die Privatsphäre seiner Daten verzichtet. In einem Bericht von Privitar heißt es, dass mittlerweile 90 Prozent der Verbraucher befürchten, der technologische Fortschritt stelle ein Risiko für den Datenschutz dar.

Technik und Privatsphäre: Ein schmaler Grat für IAM?

IAM-Plattformen mussten sich stets weiterentwickeln, um mit der Flutwelle an persönlichen Daten Schritt zu halten und die Kundenerfahrung weiterhin zu verbessern. Daten sind ein unglaublich nützliches Gut, das für Online-Jobs verwendet werden kann, einschließlich der Digitalisierung von Onboarding-Prozessen. Datenschutz, wie er durch die Linse des IAM-Technologie-Stacks gesehen wird, sollte über eine Plattform hinweg immanent sein.

Doch was heißt das konkret? Ist Datensicherheit letztendlich so umsetzbar, wie wir uns das vorstellen?

Eine gute UI / UX kann guten Datenschutz ermöglichen

Der Berührungspunkt zwischen dem Identity-Management-Backend und dem Benutzer selbst ist letztendlich auch der Ausgangspunkt für ordentlichen Datenschutz. Hier beginnt auch Ihre direkte Beziehung zum Kunden. Datenschutz ist ein wesentlicher Bestandteil des Vertrauens, was wiederum ein nicht zu unterschätzendes Tool zum Aufbau von B2C-Beziehungen ist. Die UX Ihrer Webseite sollte Ihre Kunden auf einen Weg führen, der ihnen die Privatsphäre ihrer Daten klar erkennbar aufzeigt und auf ein Wesentliches herunterbricht. Die Benutzeroberfläche sollte die Art und Weise Ihrer Datenverarbeitungsmechanismen auf einfache Weise widerspiegeln. Wenn Sie genau dafür sorgen, befinden Sie sich auf einem guten Weg, das Vertrauen Ihrer Kunden zu stärken, indem Sie Ihre Privatsphäre sichtbar respektieren.

Liefern Sie das, was Sie versprechen

Wenn Sie Ihren Benutzern versichern, dass Sie ihre Daten nicht für X oder Y verwenden werden, dann tun Sie es auch nicht. Wenn Sie ihnen versprechen, dass Sie ihre Daten dazu verwenden, um ihnen einen noch besseren Service bieten zu können, dann tun Sie das. Diese Art von Grundgedanken sollte nicht nur zu Beginn des Aufbaus einer neuen Servicestelle Teil des Entwurfsprozesses sein. Wenn Sie nachrüsten müssen, ist es natürlich schwieriger, aber auch nicht unmöglich. Die Verwendung einer Identitäts-API-basierten Servicearchitektur kann dazu beitragen, fehlende Funktionen hinzuzufügen, die den Datenschutz deutlich verbessern können.

Einverständnis ist nicht immer selbstverständlich

Consent Management gibt es heutzutage in vielen Formen. Sie sollten bereits ein Einverständnis eingeholt haben, als Sie zum ersten Mal mit Kundendaten in Berührung gekommen sind. Einverständnis ist jedoch nicht immer selbstverständlich und muss nicht dauerhaft bestehen bleiben – Menschen ändern ihre Meinung. Integrieren Sie eine Einverständniserklärung zum Datenschutz in Ihre System, end-to-end. Diese kann in die Transaktionsbewilligung mit eingebaut werden – OAuth 2.0 und UMA sind Beispielprotokolle, um dies möglich zu machen.

Das Consent Management kann auch in den Account-Manager des Benutzers integriert werden. Consumer IAM-Anbieter beginnen nun damit, die Verwaltung von Einverständnissen zum Datenschutz auch über Services hinweg möglich zu machen. Sogar Blockchain kann hier einen potenziellen Mehrwert schaffen. Als Layer für den Erhalt und die Prüfung von Transaktionsbewilligungen bietet sie eine unveränderliche Methode, um zu demonstrieren, dass Sie die Datenschutzanforderungen der DSGVO auch wirklich ernst nehmen.

Technologie ist der Freund der Privatsphäre

Beim Datenschutz geht es vor allem darum, individuelle Entscheidungen zu treffen; Datensicherheit dagegen wird durch die Verwendung neuster Technologie-Lösungen immer mehr erweitert und verstärkt. Indem Sie stets die bestmöglichen Sicherheitslösungen einsetzen, können sie die Datenschutz-Einstellungen Ihrer Kunden forcieren. Machen Sie dies so nahtlos wie möglich, auch wenn es in bestimmten Bereichen, in denen sich der Kunde aufhält, eine Herausforderung darstellen kann, z. B. bei der Authentifizierung. Die Welt der Authentifizierung bietet jedoch zunehmend Lösungen für Probleme mit der Benutzerfreundlichkeit und Datensicherheit. Andere Bereiche, wie z. B. Transport- und Ruhedaten, sollten grundsätzlich in jedem System gesichert werden, in dem personenbezogene Daten, egal in welcher Form, verschoben und bewegt werden.

Einen Datenschutzmonat einführen

Der ursprüngliche Datenschutztag ist mittlerweile zu einem Datenschutzmonat geworden, der bis zum 28. Februar läuft. Als Verwahrer persönlicher Daten sollten wir niemals desensibilisiert werden oder in Bezug auf den Datenschutz unzufrieden sein. Datenschutz ist der Schlüssel zu einer guten Beziehung zwischen unserem Service und unseren Kunden. Beim Datenschutz geht es nicht um das schützende Verstecken von Daten, sondern um die Verwendung der Daten mit gebührendem Respekt. Wenn Sie das nächste Mal eine RFP für einen Identitätsservice festlegen, stellen Sie sicher, dass Sie eine Anforderung hinzufügen, die standardmäßig den Schutz durch Privatsphäreeinstellungen erfordert.

*Susan Morrow hat in den letzten 20 Jahren vor allem in den Bereichen Internetsicherheit und Online-Identität gearbeitet. Heute konzentriert sie sich auf die Balance zwischen Usability und Sicherheit und versucht zu verstehen, wie der Mensch in das alles hineinpasst.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*