Dashboards bieten Orientierung
Ohne menschliche Interaktion geht es aber auch im Risk-based IAM nicht. So muss es zum Beispiel möglich sein, dass der Entscheider aus bestimmten Gründen zulässt, dass ein Nutzer einen risikobehafteten Zugang oder besonders hohe Privilegien in einem IT-System erhält. Das damit verbundene Risiko übernimmt dann der Entscheider, der dies mit den geschäftlichen Vorteilen aus der Freigabe abwägen wird.
Technisch umsetzen lässt sich dies, indem den Entscheidern eine Liste der Zugangs- und Zugriffsanfragen, die vom Standard abweichen, im IAM-System angezeigt wird. Zusätzlich zur Anfrage können Risk-based IAM-Lösungen einen Risikowert für die Anfrage anzeigen, im einfachsten Fall zeigt das Dashboard Hinweise nach einem Ampelsystem. Der Managerin oder dem Manager wird damit signalisiert, dass ein erhöhtes Risiko besteht. Trotzdem kann dann entschieden werden, das Risiko einzugehen und die Freigabe zu erteilen.
Freigaben für Zugänge und Zugriffe sollen in den neuen IAM-Lösungen aber nicht nur von Administration und Management kommen, sondern im zuvor beschriebenen User-managed IAM auch von dem einzelnen Nutzer selbst. Auch der einzelne Anwender braucht dann Unterstützung bei der möglichen Freigabe seiner Daten, auch hier sollten Risikowerte für die angefragten Berechtigungen angezeigt werden.
Sowohl bei den Self-Service-Funktionen als auch bei dem User-managed Access aus Datenschutz-Sicht sind somit aktuelle Risikobewertungen hilfreich, um dem Nutzer eine erhöhte Gefährdung anzuzeigen. Beantragt ein Nutzer im Self-Service eine besonders risikobehaftete Berechtigung, könnte zum Beispiel eine Einwilligung zur Protokollierung der Aktivitäten abgefragt werden, so dass der Nutzer weiß, dass eine Auditierung seines neuen Zugangs stattfindet. Alternativ werden dynamisch nur die Berechtigungen in dem Self-Service-Portal angezeigt, die eine bestimmte Risikoschwelle nicht überschreiten. Die Auswahlmöglichkeiten für den Nutzer werden also auf Basis des aktuellen Risikos gefiltert.
- Beliebige Endgeräte können sich zu jeder Zeit und an jedem Ort anmelden
Unternehmen müssen eine riesige Anzahl von Geräten, Anwendungen, Benutzern und die zahlreichen Beziehungen zwischen diesen unterstützen und dabei über all ihre Berührungspunkte hinweg das gleiche Kundenerlebnis bereitstellen. Heutige Systeme für Identity Relationship Management können fast beliebige internetfähige Geräte, darunter Laptops, Touchpads und sogar Autos, sowie neue mobile und soziale Apps mit einer zentralen Sicherheitsplattform verbinden, die Identitätssynchronisierung und Einmalanmeldung (Single Sign-On, SSO) jederzeit, überall, vor Ort oder in der Cloud ermöglicht. - Bereitstellung kontextsensitiver Dienste
Ein Log-in ist heute nicht mehr eine einfache Ja-/Nein-Entscheidung. Mehrere Faktoren sollten darüber bestimmen, ob ein Benutzer Zugriff erhält - und falls ja, in welchem Umfang und worauf. Ein Unternehmen kann zum Beispiel sein IRM-System so einrichten, dass es je nach Situation eine zusätzliche Authentifizierungsangaben erfordert, wenn sich jemand von einem neuen Gerät oder einem anderen Land anmeldet.<br /><br /> Kontextsensitivität erhöht den Wert digitaler Dienste. Das In-Car-Portal von Toyota ist sich zum Beispiel immer im Klaren darüber, welcher Autobesitzer gerade auf die Plattform zugreift und wo sich Fahrer und Fahrzeug gerade befinden. Auf diese Weise kann das System Tankstellen empfehlen, einen Parkplatz finden, Echtzeit-Verkehrsinformationen bereitstellen und bei Umleitungen die Strecke neu berechnen. Andere Dienste können eine große Auswahl von Kontextdaten wie Standort, Uhrzeit, Kundendatensatz, Temperatur, Gerät und praktisch alle sonstigen Informationen nutzen, um die Interaktionen mit Benutzern individuell anzupassen. - Skalierung auf Tausende oder sogar Millionen von Identitäten
Da IRM-Systeme für den Zugriff auf Dienstleistungen für Kunden entwickelt wurden, bieten sie von Haus aus Kapazitäten für Tausende oder Millionen von Identitäten. Sie ermöglichen die schnelle Verifizierung dieser Identitäten sowie ihrer Berechtigungen. Immer mehr Benutzern, Geräten und Dingen wird netzwerkweit eine Identität zugeordnet. IRM hilft Unternehmen dabei, eine unkontrollierte Zunahme von Anmeldeinformationen zu vermeiden sowie einen nahtlosen und reaktionsschnellen Zugriff zu gewährleisten. - Offenheit und Sicherheit von Open Source
Eine gute IRM-Plattform ist als integrierte, zusammenhängende System- und Lösungsinfrastruktur konzipiert, die speziell entwickelt wurde, um komplexen Anforderungen Rechnung zu tragen. Open-Source-Lösungen sind gut geeignet, um der paradoxen Herausforderung gerecht zu werden. Sie können sowohl Offenheit als auch Sicherheit auf einer einheitlichen, hochskalierbaren Plattform bereitstellen. Und sie können mit praktisch jedem Gerät verbunden werden – auch mit verschiedenen Versionen gleichartiger Geräte. Erfahrenen Architekten zufolge sind sie zudem sicherer, weil Entwickler in der Lage sind, sicherheitsbezogene Programmfehler schneller zu identifizieren und zu beheben als bei Legacy-Closed-Source-Plattformen. - Schnellere Umsetzung neuer Geschäftsmodelle
Jedes Unternehmen will wachsen. Doch Unternehmen, die dafür Konsumente ansprechen und als neue Kunden gewinnen wollen, kommen dabei oft an Grenzen, weil es aufwändig ist, hunderttausende von Kunden adäquat in der IT abzubilden. Die früher gängigen Identitäts-Lösungen lassen sich nicht in diesem Maße skalieren. Da Verbraucher stärker personalisierte Dienstleistungen verlangen, müssen sich Unternehmen Identitäten zunutze machen, um visionäre Ideen in Anwendungen zu verwandeln. Mit einem schlüssigen, ausgereiften IRM können Unternehmen schnell Lösungen bereitstellen, die mit jedem beliebigen Gerät für Millionen von Kunden funktioniert. Ein für das Internetzeitalter designtes Identitäts-Management ist also das Fundament, auf dem Unternehmen Innovationen bauen.
Für die Steuerung der Zugriffe auf seine eigenen Daten kann der einzelne Nutzer genauso vorgehen wie die Managerin oder der Manager: Vor der Freigabe der eigenen Daten für bestimmte Personen, Anwendungen oder Geräte werden die aktuellen Risiken angezeigt, die damit verbunden sind. Der Nutzer selbst entscheidet dann, ob er oder sie das Risiko eingehen will oder nicht. Dies entspricht dem Gedanken der "informierten Einwilligung" im Datenschutz.
Nutzer- und risikobasiert
Es zeigt sich: Die aktuellen Entwicklungen im IAM widersprechen sich nicht etwa, sondern ergänzen sich. Nicht das Risiko alleine entscheidet, sondern immer der Nutzer oder Manager auf Basis der Risikoinformationen, sei es im User-managed IAM bei den Self-Service-Funktionen zur Entlastung des Helpdesks, bei der Stärkung der Nutzerrechte (Betroffenenrechte) im Datenschutz oder im Risk-based IAM, bei der Risiken aktuell berücksichtigt und die Nutzer oder Manager bei ihren Freigaben unterstützt werden.
Das neue Identity and Access Management muss also den Nutzer und die Risiken im Blick haben. Unternehmen, die sich mit neuen IAM-Angeboten befassen, sollten deshalb auf Lösungen achten, die beide IAM-Trends im Fokus haben und User-Managed als auch Risk-based sind. Die Fokussierung auf nur einen IAM-Trend wird den neuen Anforderungen an IAM nicht gerecht. (sh)
Nutzerzentriertes IAM (User-managed) | Risikozentriertes IAM (risk-based) | |
Fokus | Nutzer beantragen und entscheiden über Freigaben für Zugänge und Berechtigungen | Risiken entscheiden über Freigaben für Zugänge und Berechtigungen |
Ziele | Senkung des Helpdesk-Aufwandes und Steigerung der Selbstkontrolle des Nutzers über seine Daten | Reduzierung der Risiken, die mit Zugängen und Zugriffen verbunden sind |
Methoden | Self-Service-Funktionen Datenfreigaben durch Nutzer | Bestimmung der Risikowerte in (nahezu) Echtzeit Automatische Kontrolle der Zugänge und Berechtigungen auf Risikobasis |
Einschränkung | Nutzer haben unzureichende Entscheidungsgrundlagen (dynamische Risikolage) | Ausnahmen müssen trotz Risiken möglich sein, wenn das Geschäft es erfordert |
Lösung | IAM braucht Fokus auf Nutzer und Risiken | Nutzer/Manager entscheiden, Risikowerte unterstützen dabei |