73 Prozent aller Unternehmen und Institutionen werden wegen unsicherer Web-Applikationen gehackt. Zeit um sich Gedanken über eine smarte Benutzerverwaltung zu machen. [...]
Die Digitalisierung gilt als einer der Megatrends unsere Zeit – vergleichbar mit der Entwicklung der Eisenbahn oder der Dampfmaschine. Moderne Kundeninteraktionen erfolgen heutzutage digitalisiert, die digitale Transformation ist in aller Munde und der Begriff als solcher ist gefühlt schon ein abgedroschenes «Buzzword». Dabei stehen wir in diesem Thema noch immer fast am Anfang.
Kunden und auch Mitarbeiter erwarten den Austausch über digitale Wege, was bedeutet, dass immer mehr Dienste online zur Verfügung gestellt werden und Unternehmen neue, digitale Schnittstellen für Kundenportale, Mobile Apps und Web Services auf genau diesen Zugangsweg auslegen. Das moderne Wirtschaftsgeschehen wird massgeblich von der Digitalisierung beeinflusst, diese hat sich zu einem wichtigen Wettbewerbsvorteil entwickelt. Aus Unternehmenssicht können natürlich grossartige Fortschritte hinsichtlich Flexibilität, Unabhängigkeit und Individualität verzeichnet werden – sei es bei der Entwicklung neuer Web-Applikationen oder kundenorientierter Produkte und Services.
Sicherer Datenschutz vs. zunehmender Cyberattacken
Gleichzeitig tritt im Zusammenhang mit der Digitalisierung aber auch immer häufiger die Frage auf, wie sichergestellt ist, dass der Zugang und der Umgang mit persönlichen Daten der Benutzer geschützt ist. Denn die Digitalisierung scheint zunehmend ein Hacker-Freipass für Ransomware, Cyberattacken und missbräuchliche Nutzung von personenbezogenen Daten zu sein. 73 Prozent aller Unternehmen und Institutionen werden wegen unsicherer Web-Applikationen gehackt. Das Problem ist, dass 66 Prozent aller Cyberattacken für mehrere Monate unentdeckt bleiben. Und sollten sie doch entdeckt werden, so dauert das Beheben der Schwachstellen in Web Apps durchschnittlich 193 Tage. Keine leicht verdauliche Kost, oder?
Und genau an dieser Stelle stehen Unternehmer vor der Frage, ob Sie im Hinblick auf die Verwaltung von Benutzerdaten ausreichend geschützt sind oder ihr Identity und Access Management (IAM) genauer untersuchen müssen. Studien besagen, dass durchschnittlich jeder von uns 26 verschiedene Online-Accounts führt, aber diese nur mit fünf unterschiedlichen Passwörtern gesichert hat.
Customer & Consumer IAM leicht gemacht
Ein sicheres und gleichzeitig unkompliziertes Customer & Consumer IAM zu betreiben scheint auf den ersten Blick ein Grossprojekt zu sein. Eine moderne CIAM Lösung, deckt jedoch ganz andere Anforderungen ab als ein nach «innen» gerichtetes, traditionelles IAM: es geht darum, eine grosse Anzahl Identitäten zu verwalten, welche über ein Self-Service Portal angelegt werden. Wie geht man um mit Single Sign-On (SSO) für den Zugang zu verschiedenen Services (on premise und cloud), welche Policy d.h. welche Zugangsregelungen vergeben Sie, braucht es eine starke Authentisierung?
Customer oder Consumer – wer sind Ihre Kunden?
Ein beruhigender Gedanke kann es sein, dass niemand von uns mit dieser Problematik allein ist: Die zunehmende Digitalisierung und die sich verändernden Kundenbedürfnisse sind in allen Branchen spürbar. Und wie geht man mit den digitalen Identitäten der Benutzer um? Möglicherweise verfügt Ihr Portal über Funktionalitäten zur Erfassung und Pflege der Benutzer, vielleicht sogar User Selfservices, die es dem Benutzer erlauben einen Teil der Verwaltungsaufgaben selbst zu übernehmen. In vielen Fällen macht es jedoch keinen Sinn, die Benutzerdaten in der Portal-Applikation selbst zu speichern, sei es aus betrieblichen Gründen oder aufgrund fehlender Funktionalitäten für eine Integration mit Umsystemen.
Dies führt innerhalb von Unternehmen häufig dazu, dass mit der Einführung unterschiedlicher Anwendungen, Kundendaten auf mehrere Applikationen und Benutzerverzeichnisse verteilt sind und eine effiziente Bewirtschaftung dieser Daten kaum mehr möglich ist. Wie sollte also vorgegangen werden, wenn die Speicherung der Benutzerdaten zum Thema wird? Grundsätzlich sind zwei Benutzer-Typen zu unterscheiden – Kunden und Konsumenten. Deren Erfassung, Verwaltung und Benutzerdatenpflege kann sehr unterschiedlich sein und hat damit einen direkten Einfluss auf das Design und die Sicherheits-Architektur Ihrer IT-Projekte. Während Kunden einen engen Kontakt zum Anbieter pflegen, ist der Beziehungskontext zum Konsumenten losgelöster, lockerer. Dies spiegelt sich auch in der Art der Benutzerdaten wieder: während Kundendaten hochsensibel und schützenswert sind, weiss ein Anbieter meist wenig Detailliertes über seinen Konsumenten. Konsumentendaten sind daher nicht weniger sensibel, die Risiken für diese sind aber weniger hoch einzuschätzen.
Um ein effizientes CIAM betreiben zu können sind Unternehmen gezwungen sich mit der Frage auseinanderzusetzen, welche Art Kunde in diesem verwaltet werden soll. Nur so kann sichergestellt werden, dass die digitalen Identitäten mit den richtigen Funktionalitäten, und Sicherheitsanforderungen verarbeitet werden.
Anforderungen an ein modernes Webportal
Die Digitalisierung zwingt Unternehmen dazu, offen und immer vernetzter zu agieren. Nur so können Sie den Anforderungen, die Kunden stellen, gerecht werden. Von welchen Anforderungen sprechen wir konkret: digitale Interaktion mit der Partnerfirma, Self-Registrierungsmöglichkeiten, unkomplizierte Account Verwaltung, Passwort Reset oder Single Sign-on für verschiedene Services sind nur einige der Themen, die für ein zufriedenes Benutzererlebnis stehen.
Aber auch aus Sicht des Anbieters gibt es Herausforderungen und Ansprüche, die moderne Webportale erfüllen sollen – beispielsweise das Management von digitalen Identitäten aus einer Hand, das heisst das Speichern, Verwalten und Verwenden von Identitäten von Drittparteien für diverse bestehende und neue digitale Schnittstellen. Unternehmen wünschen sich zudem einen kontrollierten und sicheren Zugriff auf hybride Cloud-basierte Angebote für Mitarbeiter und / oder Dritte. Aber auch eine serviceorientierte, interoperable Architektur, die in der Lage ist, hybride Multi-Cloud-Umgebung zu unterstützen und gleichzeitig die Agilitätserwartungen des Unternehmens und die Komfort-Erwartungen der Benutzer zu erfüllen, ist wichtig.
Clevere Tipps für eine smarte Benutzerverwaltung – Ihr CIAM
Jede diese Anforderungen hat ihre Daseinsberechtigung – die finale Lösung der Benutzerverwaltung muss daher sowohl Benutzer– als auch Unternehmensanforderungen genügen. An dieser Stelle werden Sie mit dem Problem der konkreten Umsetzung konfrontiert – wie funktioniert die effiziente Implementierung der Benutzerverwaltung in Ihre Unternehmung? Die Benutzerverwaltung ist keine Hexerei aber es macht Sinn, sich bereits vorab einige Überlegungen zu machen, beispielsweise eventuelle Funktionalitäten zur Auslagerung der Verwaltung der Benutzer an die Kunden (delegated Admin). Oder die Frage danach wie man Self-Services für die autonome Registrierung der Benutzer oder für den Passwort Reset aufbaut. Dies sind Funktionen, die dem Internetnutzer bestens vertraut sind und bei einem modernen Portal entsprechend erwartet werden.
Folgende Überlegungen sind empfehlenswert, um zu einer idealen Lösung zu kommen:
- Festlegung der Art des Portals: Kunden, Konsumenten oder eine Mischform
- Trennung externer und interner Benutzer da digitale Identitäten immer Sicherheitsfragen unterliegen
- Implementierung einer einfachen Benutzerverwaltung mit ergänzenden Sicherheitssystemen wie einer Web Application Firewall (WAF) und einer sicheren Authentifizierung mittels 2FA (zweifach Authentisierung) sorgt für sicheren und zuverlässigen Schutz
- Gesamthaften, zentralen Schutz für Webbasierte User-Portale einführen
- Nur für «aktive» Portalbenutzer zahlen
- Projekte für CIAM mit einem Security Assessment (z.B. IAM, Datenschutz) beginnen.
Möchten Sie mehr erfahren? Registrieren Sie sich für das weiterführende Webinar zum Thema CIAM.
* Peter Widmer ist als Product Marketing Manager für die Geschäftsentwicklung des Secure Entry Servers bei www.united-security-providers.ch verantwortlich.
Be the first to comment