Wer seine Identity- und Access-Management-Strategie entwickelt, umsetzt und auditiert, muss viele Hürden überwinden und vor allem sehr anwenderorientiert arbeiten. [...]
Das Thema IT Security ist nicht erstseit gestern allgegenwärtig. Das Management von Benutzern und deren Zugriffsberechtigungen nimmt dabei in jeder ganzheitlich ausgerichtetenIT-Security-Strategie eine tragende Rolle ein. Zumindest sollte es das.
Doch tut es das auch? Wie viel Raum kann, beziehungsweise wird einem vermeintlichen Nischenthema wie Identity- und Access-Management (IAM) bei der einnehmenden Diskussion um das „große Ganze“ und dem sich stets verdichtenden Buzzword-Dschungel überhaupt noch zugestanden? Welche Entwicklungen und Technologien beschäftigen den Markt derzeit und mit Blick auf die Zukunft? Und wie ist das eigentlich mit der Awareness – gerade auf dem C-Level in den Unternehmen?
Diesen und anderen Fragestellungen widmeten sich die Teilnehmer des COMPUTERWOCHE-Roundtables „Identity & Access Management“ im Rahmen einer lebhaften und teils kontrovers geführten Diskussion. Die vom stellvertretenden COMPUTERWOCHE-Chefredakteur Martin Bayer geleitete Runde im Überblick:
- Armir Alsbih, COO, KeyIdentity
- Carsten Hufnagel, Head of IAG Strategy, Timetoact
- Ruedi Hugelshofer, Airlock Sales Lead, Ergon Informatik
- Fabian Guter, Business Development Manager EMEA, SecurEnvoy
- Roland Markowski, Country Manager DACH, Gigya
- Christian Nern, Head of Security Software DACH, IBM
„Die Verteilung von Rollen ist auch ein Politikum“
Bei der Frage nach der Daseinsberechtigung von IAM zeigte sich zwar schnell, dass alle Roundtable-Diskutanten von der Wichtigkeit des Themas überzeugt sind. Als es aber um den Status Quo der Technologie und ihrer Bedeutung für die Gesamt-Sicherheitsstrategie eines Unternehmens ging, drifteten die Meinungen schon etwas auseinander. Carsten Hufnagel etwa zeigte sich überzeugt davon, dass IAM im Zeitalter von Cloud, Industrie 4.0 und Internet of Things zu einer zentralen Komponente geworden ist: „All das funktioniert heute nicht mehr ohne Kontrolle über die Identitäten, das ist der wesentliche Unterschied zu früher.“
Armir Alsbih stimmte hier nur insoweit zu, als dass Identity- und Access-Management ein wichtiger Baustein derSecurity-Strategie sei: „IAM ist wie jede Technologie wichtig, aber sie ist nicht das Zentrale. Erst durch die heutige Vollvernetzung aller Unternehmensbereiche wird es spannend. Es gibt kaum noch ein Unternehmen, das alles selber macht und jeden seiner Partner kennt – an dieser Stelle ist Identity- und Access-Management eine wahnsinnig wichtige Komponente.“
Einig waren sich die Teilnehmer hingegen darin, dass eine IT-Security-Komponente alleine kein ausreichendes Schutzniveau gewährleisten kann, wie Christian Nern es auf den Punkt brachte: „Alles wie eine Burg abzuriegeln, wird nicht funktionieren. Das ThemaIAM muss in die Gesamtstrategie eingebettet werden. Dabei kommt es auch auf Fragen an wie: ‚Wie arbeitet das System mit meinem SIEM zusammen?‘ oder ‚Wo kann ich Automatismen schaffen?‘“
Alles dreht sich um den Anwender
Fabian Guter betonte die Unterschiede beim Einsatz von IAM im Vergleich mit anderen Sicherheitstechnologien: „Wenn wir heute mit großen Unternehmen sprechen, steht der Anwender im Mittelpunkt. Hier nimmt IAM eine andere Position ein als beispielsweise die Firewall. Letztlich benutzt ein Anwender Authentifizierungs-Komponenten und Identitätsmanagement-Tools in verschiedener Form in seinem Alltag, sie dürfen ihn also nicht ausbremsen oder kompliziert zu bedienen sein. Und der Mitarbeiter sollte diese Systeme auch gerne benutzen. Das ist ein Punkt, der sich gegenüber der Vergangenheit wesentlich verändert hat: Früher wurden solche Systeme oktroyiert und waren alternativlos, heute hat die User Experience des Mitarbeiters einen ganz anderen Stellenwert – man soll sich bei seiner Arbeit wohlfühlen.“
Fabian Guter betonte die Unterschiede beim Einsatz von IAM im Vergleich mit anderen Sicherheitstechnologien: „Wenn wir heute mit großen Unternehmen sprechen, steht der Anwender im Mittelpunkt. Hier nimmt IAM eine andere Position ein als beispielsweise die Firewall. Letztlich benutzt ein Anwender Authentifizierungs-Komponenten und Identitätsmanagement-Tools in verschiedener Form in seinem Alltag, sie dürfen ihn also nicht ausbremsen oder kompliziert zu bedienen sein. Und der Mitarbeiter sollte diese Systeme auch gerne benutzen. Das ist ein Punkt, der sich gegenüber der Vergangenheit wesentlich verändert hat: Früher wurden solche Systeme oktroyiert und waren alternativlos, heute hat die User Experience des Mitarbeiters einen ganz anderen Stellenwert – man soll sich bei seiner Arbeit wohlfühlen.“
Roland Markowski sah einen weiteren Paradigmenwechsel beim Thema Identity- und Access-Management in der zunehmenden Bedeutung datengetriebener Personalisierung begründet: „Bei externen oder Konsumenten-Identitäten ist die Nutzung von IAM-Daten zum Zwecke der Customer Experience ebenfalls etwas Neues, das man in dieser Hinsicht nicht außer Acht lassen sollte.“
Für Ruedi Hugelshofer ist beim Thema IAM ein weiterer Punkt ganz entscheidend: „Wichtig ist, dass das Business vom Management verstanden wird. In vielen Unternehmen weiß man nämlich gar nicht genau, welche Systeme überhaupt noch vorhanden sind. Darüber hinaus ist die Verteilung von Rollen in vielen Firmen nicht nur eine technologische, sondern auch ein politische Entscheidung.“
„Sicherheitsmaßnahmen aus Angst sind Mist“
Das brachte Moderator Martin Bayer zu der Frage, ob sich diese ganzen Anforderungen überhaupt mit einem einzigen, flexiblen System abdecken lassen. Und was, wenn Veränderungen eintreten? Lässt sich etwa flexibel genug auf die Fluktuation in einem Unternehmen reagieren?
Das brachte Moderator Martin Bayer zu der Frage, ob sich diese ganzen Anforderungen überhaupt mit einem einzigen, flexiblen System abdecken lassen. Und was, wenn Veränderungen eintreten? Lässt sich etwa flexibel genug auf die Fluktuation in einem Unternehmen reagieren?
„Genau das ist der Mehrwert von Identity- und Access-Management“, antwortete Alsbih. „Es gibt keine homogenen Landschaften mehr. Kunden, Partner, Mitarbeiter – alle befinden sich in einem System. Wenn man IAM richtig macht, dann ändern sich die zugewiesenen Rollen bei Bedarf automatisch. Das ist technologisch seit langem möglich.“
In erster Linie, so der COO, bestehe beim Identitätsmanagement ein Faulheitsproblem: „Viele sind einfach nicht gewillt, es richtig zu machen, weil es dann eben ein halbes Jahr dauert statt nur zwei Tage. Aber ‚hektisch über den Ecktisch‘ war noch nie eine gute Idee.“
An dieser Stelle sah Christian Nern insbesondere auch die Hersteller gegenüber den Kunden in der Pflicht: „Unsere Aufgabe ist es, den Anwenderunternehmen klar zu machen, wie es geht und wie nicht. Wir müssen hier für Transparenz sorgen, zeigen wie es ‚einfach‘ geht und wie die einzelnen – internen und externen – Komponenten zusammenspielen.“
Neben dem technologischen Aspekt, sah Fabian Guter eine weitere wesentliche Herausforderung für die Hersteller im IAM-Umfeld: „Jedes System, dass dem Nutzer auferlegt ‚Mach es richtig oder Du bist ein Risiko‘, ist vom Konzept her falsch. Es ist eine der wesentlichen Herausforderungen, dass der Anwender aus der Verantwortung genommen wird. Ein System muss so konzipiert sein, dass es gar nicht mehr falsch bedient werden kann. An dieser Stelle sehe ich im Bereich Access und Authentifizierung großen Handlungsbedarf – auch damit die Hemmungen insbesondere beim Mittelstand fallen.“
Mittelstand war genau das richtige Stichwort für Carsten Hufnagel: „Aus meiner Erfahrung kann ich sagen, dass speziell bei mittelständischen Unternehmen der Business-Mehrwert darüber entscheidet, ob ein Projektauftrag zustande kommt oder nicht. Dieser Mehrwert war für viele Unternehmen bei IAM lange nicht auf den ersten Blick erkennbar. Das ändert sich inzwischen jedoch langsam, da der elektronische Austausch der Unternehmen untereinander deutlich zugenommen hat und Identitäten heute auch für ganz neue Business Cases genutzt werden können.“
Alsbih kam daraufhin auch auf ein ganz grundsätzliches Problem des IT-Sicherheits-Marktes zu sprechen: „Bisher wurde in Sachen Security einfach zu wenig aus Enablement-Sicht und zu viel mit Angst argumentiert. Aber jede Sicherheitsmaßnahme, die aus Angst heraus implementiert wird, ist Mist. Man muss seinem Kunden die Vorteile argumentativ darlegen und ihm zeigen, welche Vorteile und Chancen der Einsatz bieten kann.“
IAM-Projekte brauchen Rückendeckung durch das Management
Christian Nern brachte schließlich auch das Thema Verantwortlichkeiten auf die Tagesordnung: „Um Identity- und Access-Management als Teil einer Gesamtstrategie verankern zu können, muss klar sein, wer für das Thema zuständig ist.“
Christian Nern brachte schließlich auch das Thema Verantwortlichkeiten auf die Tagesordnung: „Um Identity- und Access-Management als Teil einer Gesamtstrategie verankern zu können, muss klar sein, wer für das Thema zuständig ist.“
Auf Nachfrage von Martin Bayer, wo diese Aufgabe am sinnvollsten aufgehängt werden könne, sagte Nern: „Im Idealfall gibt es einen CISO mit Durchgriff, der sich mit den Business-Bereichen an einen Tisch setzt und mit ihnen gemeinsam die Umsetzung des Projekts vorantreibt.“
Ruedi Hugelshofer liebäugelte beim Thema IAM-Verantwortlichkeit dagegen eher mit dem CDO: „Aus unserer Erfahrung mit vielen Airlock-IAM Projekten ist diese Position prädestiniert dafür, weil der Chief Digital Officer in der Regel die nötige Ausbildung und Erfahrung aus den notwendigen Bereichen mitbringt und auch etwas in Sachen Risikomanagement beitragen kann. Auch ein externer Berater könnte an dieser Stelle hilfreich sein, der die Sicht von außen miteinbringt.“
Roland Markowski äußerte jedoch Zweifel, ob ein CDO sowohl Digitalisierung als auch IT Security befriedigend unter einen Hut bringen kann: „Insbesondere für neue CDOs ist es sehr schwierig, in allen Bereichen eines Unternehmens Gehör zu finden. Viele sind gerade einmal ein oder eineinhalb Jahre im Unternehmen und haben einfach keine Hausmacht. Das macht es schwierig, Themen zu lancieren und eine ganzheitliche Denke zu etablieren.“
Ein Problem in vielen Unternehmen seien zudem die internen Widerstände bei der Zusammenarbeit, so Markowski. Deswegen würden viele Firmen dazu übergehen, lieber Innovation Labs und Startups auszugründen, als eine Inhouse-Lösung zu finden. „Unsere Erfahrung zeigt: Wer lange im Unternehmen ist, Hausmacht besitzt und die Rückendeckung des Managements genießt, der bekommt so ein Customer-IAM-Projekt hin. Ansonsten wird es schwierig.“
Gute und schlechte CISOs
Apropos Management: Ist das Verständnis für das Thema IT Sicherheit auf dem C-Level angekommen? Und: Kann ein Manager, beziehungsweise Entscheider, es sich heute überhaupt noch leisten, kein technisches Verständnis mitzubringen?
Apropos Management: Ist das Verständnis für das Thema IT Sicherheit auf dem C-Level angekommen? Und: Kann ein Manager, beziehungsweise Entscheider, es sich heute überhaupt noch leisten, kein technisches Verständnis mitzubringen?
Für Armir Alsbih war die Antwort auf diese Fragen klar: „Wenn der CISO seinen Job richtig macht, dann muss kein technisches Verständnis vorhanden sein. Das unterscheidet für mich einen guten von einem schlechten CISO: Ein guter CISO kann Business und Technik. Das Problem ist nur – und das ist mein ganz persönlicher Eindruck – Wir haben in Deutschland wahnsinnig viele CISOs, die dabei Unterstützung benötigen.“
Christian Nern widersprach – zumindest was das Thema Security-Awareness auf Vorstandsebene angeht: „Ich glaube sogar, im Mittelstand ist heute weniger Verständnis für Security da. Dort ist es derzeit noch ein reines IT-Thema mit simplem Perimeterschutz und kein Businessthema.“
Dass der Mittelstand Nachholbedarf in Sachen IT-Security hat, davon zeigte sich auch Fabian Guter überzeugt, der als Beispiel die Zulieferer der deutschen Automobilindustrie anführte: „Ein maßgeblicher Teil der Innovation der Automobilindustrie findet quasi in kleinen und mittleren Unternehmen statt. Das sind oft Firmen mit bis zu 50 Mitarbeitern, die Kernkomponenten designen, aber in Sachen IT-Security nur das Nötigste zur Verfügung haben.“
Die OEMs, so Guter weiter, hätten inzwischen erkannt, dass die mittelständischen Zulieferer zum Einfallstor Nummer eins für Hacker geworden seien und würden Maßnahmen ergreifen: „Deswegen muss inzwischen jeder Zulieferer bestimmte Richtlinien erfüllen und das auch im Rahmen eines Audits belegen.“
„Und keiner hat Durchblick“
Nach Meinung von Roland Markowski wird die Cloud-Technologie maßgeblichen Einfluss auf die künftige Entwicklung und Wahrnehmung des Customer Identity- und Access-Management nehmen. Das Stichwort Cloud lenkte die Diskussion schließlich auf die EU-Datenschutzgrundverordnung (DSGVO). Ein heikles Thema, wie Carsten Hufnagel deutlich machte: „Unternehmen müssen sich fragen, welche Cloud-Umgebungen sie noch nutzen können und werden nur noch Dienstleister akzeptieren, die ihnen die Rechtskonformität garantieren können.“
Nach Meinung von Roland Markowski wird die Cloud-Technologie maßgeblichen Einfluss auf die künftige Entwicklung und Wahrnehmung des Customer Identity- und Access-Management nehmen. Das Stichwort Cloud lenkte die Diskussion schließlich auf die EU-Datenschutzgrundverordnung (DSGVO). Ein heikles Thema, wie Carsten Hufnagel deutlich machte: „Unternehmen müssen sich fragen, welche Cloud-Umgebungen sie noch nutzen können und werden nur noch Dienstleister akzeptieren, die ihnen die Rechtskonformität garantieren können.“
Auch im Unternehmen von Markowski ist die DSGVO ein brandaktuelles und vieldiskutiertes Thema. Bei den Kunden stifte die GDPR hingegen vor allem Verwirrung, wie Markowski zu berichten wusste: „Für mich ist das momentan noch ein Hühnerhaufen: Es gibt oft multiple Ansprechpartner und keine stringente Strategie bei diesem Thema. Ich behaupte einfach mal, dass am 18. Mai 2018 nicht einmal fünf Prozent der deutschen Unternehmen für die DSGVO bereit ist.“
Das brachte Moderator Martin Bayer zu der Frage, ob Unternehmen das Thema EU-Datenschutz auf die leichte Schulter genommen haben. Die Diskutanten waren sich an dieser Stelle schnell einig, dass dringender Handlungsbedarf besteht. Markowski wiederum brachte den Status Quo beim Thema DSGVO auf den Punkt: „Durch die sehr weit gefasste Definition der personenbezogenen Daten sind in vielen Firmen hunderte von Applikationen betroffen. Und keiner hat Durchblick.“
Etwas differenzierter sah das hingegen Carsten Hufnagel: „Die großen Konzerne sind in dieser Hinsicht schon tätig geworden. Sie werden die ersten sein, die in Regress genommen werden. Diese Firmen müssen wie so oft Vorreiter sein. Es gibt genügend Punkte, wo man die Anforderungen noch gar nicht genau kennt. Da ist das Identity- und Access-Management bereits in einer sehr guten Position, weil die Anforderungen durch die EU-DSGVO nicht viel anders sind, als die, die beispielsweise die Bafin bislang bereits gestellt hat.“
So sieht die IAM-Zukunft aus
Zum Abschluss des Roundtable bat Moderator Martin Bayer die Runde nach einer abschließenden Einschätzung, wie sich das Thema IAM in den nächsten Jahren weiterentwickeln wird. Werden die Trendthemen Künstliche Intelligenz und Machine Learning auch im IAM-Umfeld relevant?
Zum Abschluss des Roundtable bat Moderator Martin Bayer die Runde nach einer abschließenden Einschätzung, wie sich das Thema IAM in den nächsten Jahren weiterentwickeln wird. Werden die Trendthemen Künstliche Intelligenz und Machine Learning auch im IAM-Umfeld relevant?
„Ich glaube, dass die Themen KI und ML Berechtigung haben“, sagte Alsbih. „Ich weiß nur nicht, ob das auch im Bereich IAM der Fall ist. Wir sprechen – zumindest im Access-Layer – immer noch über Zugriffe. Und man muss sich dann die Frage stellen, ob man ein System haben will, von dem man nicht weiß, wie es funktioniert, das aber über den Zugriff bestimmt. Es gibt einige schöne Beispiele für KI-Fehler. Diese Systeme können in der Security weiterhelfen, wenn es um die Erkennung von Anomalien geht und haben auch in anderen Bereichen Berechtigung – etwa im Marketing. Aber wenn es um Zugang geht, sehe ich das eher nicht.“
Carsten Hufnagel stimmte dem zwar grundsätzlich zu, sah die KI-Technologie jedoch in einem anderen Bereich als relevant: „Ich könnte mir schon vorstellen, dass Künstliche Intelligenz beim Thema Risk Management künftig helfen kann. Das würde ich mir wünschen.“
Auch Fabian Guter sah für die artifizielle Intelligenz keine Zukunft, wenn es um IAM geht. Zuvor seien erst einmal ganz andere Herausforderungen zu bewältigen: „Die Entwicklung geht weg vom antiquierten Passwort – es wird künftig eher um die tatsächliche Identifikation einer Person gehen und nicht mehr darum, Login-Daten zu kennen. Das ist die wesentliche Herausforderung für das Access-Management.“
Roland Markowski sah hingegen das Themenfeld der Biometrie als besonders zukunftsrelevant für IAM an. Künstliche Intelligenz sei für den Bereich Anomalie-Erkennung durchaus sinnvoll sagte Markowski. „Aber ansonsten sehe ich das Thema KI vor allem im Zusammenhang mit der Customer Experience und ganz generell dem Marketing-Umfeld.“
* Florian Maier ist Redakteur der Computerwoche.
Be the first to comment