Identity & Access Management

"CISOs brauchen Unterstützung"

Florian beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig.
Lieber "hektisch über den Ecktisch" oder gleich gründlich? Wer seine Identity- und Access-Management-Strategie entwickelt, umsetzt und auditiert, muss viele Hürden überwinden und vor allem sehr anwenderorientiert arbeiten.

Das Thema IT Security ist nicht erstseit gesternallgegenwärtig. Das Management von Benutzern und deren Zugriffsberechtigungen nimmt dabei in jeder ganzheitlich ausgerichtetenIT-Security-Strategie eine tragende Rolle ein. Zumindest sollte es das.

Doch tut es das auch? Wie viel Raum kann, beziehungsweise wird einem vermeintlichen Nischenthema wieIdentity- und Access-Management (IAM) bei der einnehmenden Diskussion um das "große Ganze" und dem sich stets verdichtenden Buzzword-Dschungel überhaupt noch zugestanden? Welche Entwicklungen und Technologien beschäftigen den Markt derzeit und mit Blick auf die Zukunft? Und wie ist das eigentlich mit der Awareness - gerade auf dem C-Level in den Unternehmen?

Welche Rolle spielt Identity- & Access-Management in Ihrer IT-Sicherheits-Strategie?
Welche Rolle spielt Identity- & Access-Management in Ihrer IT-Sicherheits-Strategie?
Foto: ktsdesign - shutterstock.com

Diesen und anderen Fragestellungen widmeten sich die Teilnehmer des COMPUTERWOCHE-Roundtables "Identity & Access Management" im Rahmen einer lebhaften und teils kontrovers geführten Diskussion. Die vom stellvertretenden CW-Chefredakteur Martin Bayer geleitete Runde im Überblick:

  • Dr. Amir Alsbih, COO, KeyIdentity

  • Carsten Hufnagel, Head of IAG Strategy, Timetoact

  • Ruedi Hugelshofer, Airlock Sales Lead, Ergon Informatik

  • Fabian Guter, Business Development Manager EMEA, SecurEnvoy

  • Roland Markowski, Country Manager DACH, Gigya

  • Christian Nern, Head of Security Software DACH, IBM

"Die Verteilung von Rollen ist auch ein Politikum"

Bei der Frage nach der Daseinsberechtigung von IAM zeigte sich zwar schnell, dass alle Roundtable-Diskutanten von der Wichtigkeit des Themas überzeugt sind. Als es aber um den Status Quo der Technologie und ihrer Bedeutung für die Gesamt-Sicherheitsstrategie eines Unternehmens ging, drifteten die Meinungen schon etwas auseinander. Carsten Hufnagel etwa zeigte sich überzeugt davon, dass IAM im Zeitalter von Cloud, Industrie 4.0 und Internet of Things zu einer zentralen Komponente geworden ist: "All das funktioniert heute nicht mehr ohne Kontrolle über die Identitäten, das ist der wesentliche Unterschied zu früher."

Dr. Amir Alsbih stimmte hier nur insoweit zu, als dass Identity- und Access-Management ein wichtiger Baustein derSecurity-Strategiesei: "IAM ist wie jede Technologie wichtig, aber sie ist nicht das Zentrale. Erst durch die heutige Vollvernetzung aller Unternehmensbereiche wird es spannend. Es gibt kaum noch ein Unternehmen, das alles selber macht und jeden seiner Partner kennt - an dieser Stelle ist Identity- und Access-Management eine wahnsinnig wichtige Komponente."

Einig waren sich die Teilnehmer hingegen darin, dass eine IT-Security-Komponente alleine kein ausreichendes Schutzniveau gewährleisten kann, wie Christian Nern es auf den Punkt brachte: "Alles wie eine Burg abzuriegeln, wird nicht funktionieren. Das ThemaIAM muss in die Gesamtstrategie eingebettet werden. Dabei kommt es auch auf Fragen an wie: ‚Wie arbeitet das System mit meinem SIEM zusammen?‘ oder ‚Wo kann ich Automatismen schaffen?‘"

Alles dreht sich um den Anwender

Fabian Guter betonte die Unterschiede beim Einsatz von IAM im Vergleich mit anderen Sicherheitstechnologien: "Wenn wir heute mit großen Unternehmen sprechen, steht der Anwender im Mittelpunkt. Hier nimmt IAM eine andere Position ein als beispielsweise die Firewall. Letztlich benutzt ein Anwender Authentifizierungs-Komponenten und Identitätsmanagement-Tools in verschiedener Form in seinem Alltag, sie dürfen ihn also nicht ausbremsen oder kompliziert zu bedienen sein. Und der Mitarbeiter sollte diese Systeme auch gerne benutzen. Das ist ein Punkt, der sich gegenüber der Vergangenheit wesentlich verändert hat: Früher wurden solche Systeme oktroyiert und waren alternativlos, heute hat die User Experience des Mitarbeiters einen ganz anderen Stellenwert - man soll sich bei seiner Arbeit wohlfühlen."

Roland Markowski sah einen weiteren Paradigmenwechsel beim Thema Identity- und Access-Management in der zunehmenden Bedeutung datengetriebener Personalisierung begründet: "Bei externen oder Konsumenten-Identitäten ist die Nutzung von IAM-Daten zum Zwecke der Customer Experience ebenfalls etwas Neues, das man in dieser Hinsicht nicht außer Acht lassen sollte."

Ruedi Hugelshofer, Ergon Informatik: "Die Verteilung von Rollen ist nicht nur eine technologische, sondern auch eine politische Entscheidung."
Ruedi Hugelshofer, Ergon Informatik: "Die Verteilung von Rollen ist nicht nur eine technologische, sondern auch eine politische Entscheidung."

Für Ruedi Hugelshofer ist beim Thema IAM ein weiterer Punkt ganz entscheidend: "Wichtig ist, dass das Business vom Management verstanden wird. In vielen Unternehmen weiß man nämlich gar nicht genau, welche Systeme überhaupt noch vorhanden sind. Darüber hinaus ist die Verteilung von Rollen in vielen Firmen nicht nur eine technologische, sondern auch ein politische Entscheidung."