Round Table zu IAM-as-a-Service

Cloud und KI bringen neuen Schwung ins IAM



Simon Hülsbömer leitet als Senior Project Manager Research verschiedene Studienprojekte in der IDG-Marktforschung. Davor war er als Program Manager für die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT verantwortlich und hat aus dieser Zeit die Zuständigkeit für das Leadership Excellence Program des CIO-Magazins behalten. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Das Identity-and-Access-Management (IAM) ist mehr als ein nur ein Sicherheitsthema. Alle Unternehmen müssten sich damit beschäftigen, sagen die Experten anlässlich einer Round-Table-Diskussion von IDG Research zum Thema IAM-as-a-Service (IAMaaS).

"Ich mache Identity- und Access-Management seit 20 Jahren. Es war nie verrückter als heute." Mit diesen Worten eröffnet Carsten Hufnagel, Head of Identity and Access Governance Strategy & Delivery beim Beratungsunternehmen Timetoact, eine Round-Table-Diskussion der COMPUTERWOCHE zum Thema "Identity- and Access-Management-as-a-Service" (IAMaaS). Vor dem Hintergrund der EU-Datenschutz-Grundverordnung (EU-DSGVO) und der dadurch "aufgescheuchten" Unternehmen seien heute gerade im Bereich Access-Management so viele Anbieter unterwegs wie nie zuvor, um ein Stück vom Kuchen abzubekommen.

Es sind turbulente Zeiten rund um das Thema Identity and Access Management (IAM). Darüber waren sich die Teilnehmer des Round Table IAM as a Service von IDG Research Servcies einig.
Es sind turbulente Zeiten rund um das Thema Identity and Access Management (IAM). Darüber waren sich die Teilnehmer des Round Table IAM as a Service von IDG Research Servcies einig.
Foto: IDG Business Media GmbH

Die Tatsache "mehr Anbieter" sei aber noch lange nicht gleichbedeutend mit "mehr Kunden": "Die Awareness ist stark abhängig von der Branche respektive der Stärke des jeweiligen Kundenkontakts", meint Jason Goode, Regional Director EMEA beim IAM-Anbieter Ping Identity. Christian Nern, Head of Security Software D-A-CH bei IBM, ergänzt den Kostenaspekt: "IAM ist besonders im deutschen Mittelstand immer noch ein unbelecktes Blatt, weil viele Anwender glauben, es sei teuer."

Keine Kostenfrage mehr

Dank der Cloud habe sich das mit den hohen Preisen mittlerweile gewandelt: "Das große Verdienst von IAMaaS ist, dass sich heute auch kleine Unternehmen ein IAM leisten können", so Gregory Guglielmetti, Produktmanager beim Security-Anbieter AdNovumNevis. Mark Rüdiger, Business Developer beim Security-Software-Entwicklungs- und -Beratungshaus Procilon, fragt, ob das Kostenargument ausreicht, IAM-Lösungen auf breiter Front auszurollen: "Die Frage für viele Anwender ist, ob sie den Dienstleistern genügend Vertrauen entgegenbringen, dass sorgsam mit ihren Daten umgegangen wird." Sobald dieses Vertrauen da sei, sei der Cloud-Ansatz der richtige. Aber bis dahin werde es noch eine Zeit lang dauern.

Informationen zu den Partner-Paketen der IAM as a Service Studie

Hufnagel sieht durchaus bereits eine Entwicklung in diese Richtung: "Die Einstellung hat sich gewandelt. Denn wenn ich heute sowieso bereits Cloud-Services beziehe, dann warum nicht auch für Identitätsmanagement?" Es brauche einen organisatorischen und technischen Gesamtansatz, in den sich IAMaaS ganz selbstverständlich einfüge. "Es gibt heute schon gute Lösungen, aber die sind meist Insellösungen. Die Standards sind noch nicht so weit, wie wir sie gerne hätten. In fünf bis zehn Jahren wird es offenere Ansätze geben - noch stehen wir aber ganz am Anfang.", prognostiziert der Timetoact-Vertreter. "Viele unserer Kunden sind heute noch nicht angekommen, die wollen lieber noch eine Lösung für alles", berichtet Guglielmetti.

Das IAM der Zukunft

Procilon-Mann Rüdiger sieht das Identity- und Access-Management der Zukunft als reines Rechtesystem, das von Fachprozessen entkoppelt ist und lediglich Informationen über Zugriffsrechte an andere Systeme weitergibt. Hier komme man dann endgültig im Cloud-Service-Bereich an. "Identity as a Service ist die Zukunft - vor allem im Kontext des Internets der Dinge und skalierenden Plattformen", betont IBM'ler Nern und verweist damit auf die durch die Vernetzung von allem und jedem Gerät auf die Notwendigkeit, nicht nur Personen, sondern auch Geräten Identitäten zu verleihen und sie in die Verwaltungsprozesse einzubinden.

Schon heute gebe es funktionierende Ansätze, beispielsweise im Produktionsbereich ein Zugriffs- und Rechte-Management einzubauen respektive Maschinen in bestehende Zugriffsichtlinien mit aufzunehmen. Das Problem sei derzeit noch die Maintenance, das Patching der Systeme, damit sie dauerhaft auf dem aktuellsten Stand blieben, erläutert Nern.

Zum Thema "Identity- and Access-Management as a Service" (IAMaaS) führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager mit dem Thema IAMaaS derzeit in ihren Unternehmen umgehen und wie sie dessen künftige Entwicklung einschätzen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 162) gerne weiter.

Zum Thema "Identity- and Access-Management as a Service" (IAMaaS) führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager mit dem Thema IAMaaS derzeit in ihren Unternehmen umgehen und wie sie dessen künftige Entwicklung einschätzen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 162) gerne weiter.

Immer mehr Kundendaten in den Systemen

Abseits der vernetzten Geräte gebe es eine Personengruppe, die in der Vergangenheit im IAM-Kontext kaum eine Rolle gespielt habe: die Kunden und Partner. Entsprechende Systeme müssten heute entsprechend auch die Daten und Assets von diesen "Dritten" verwalten und schützen und nicht mehr nur die der eigenen Mitarbeiter, meint Goode von Ping Identity. Dort dürften keine großen Barrieren seitens der IT-Systeme aufgebaut werden; besonders die Kunden sollten immer und überall mit dem eigenen Unternehmen interagieren können.

Hier lande man dann automatisch wieder bei der Vertrauensfrage - die nunmehr nicht nur für IAMaaS-Dienstleister gelte, sondern für alle Unternehmen. "Das Unternehmen muss seinen eigenen Mehrwert kennen und einschätzen, wie entscheidend der Kontakt zum Kunden ist. Wichtig ist, dass der Kunde die größtmögliche Flexibilität erhält - wenn ich das Ganze dann proprietär löse, kann ich das vergessen", so der Anbietervertreter, der damit gleichzeitig eine Lanze für den eigenen Serviceansatz bricht.

Im Kontext zu entscheiden

Neben einer guten Selbsteinschätzung sei vor allem das Wissen um den Umgebungskontext der Identitäten wichtig. So dürfe Person X nicht unbedingt immer die identischen Zugriffsrechte bekommen, nur weil sie Person X sei. Es komme beispielsweise auch darauf an, wann, wo und über welchen Kanal sie einen Zugriff versuche. Diese Informationen würden für eine ausgewogene Risikoabschätzung benötigt, erklärt Goode. Rüdiger ergänzt: "Dazu benötige ich unterschiedliche ID-Level in meinen Systemen. Wenn ich mich von dort und dort anmelde, bin ich zwar immer noch Mark Rüdiger, aber nur noch mit dem geringeren ID-Level 1. Dann kann ich nicht alle Systeme oder Services nutzen, die ich beispielsweise aus meinem Büro nutzen kann, in dem ich mich grundsätzlich mit ID-Level 2 oder sogar 3 anmelde. Die Anmeldung für den hohen ID-Level erfordert dann zum Beispiel auch eine Zwei-Faktor-Authentifizierung."

Nern sieht diese Risikoabschätzung künftig als Aufgabe von selbst lernenden Systemen an: "Dafür ist Technologie notwendig. Ich glaube nicht, dass es die Zukunft sein kann, das alles selbst zu programmieren. Das ist zu teuer, zu langsam und zu komplex." Hufnagel und er sind sich darüber einig, dass Künstliche Intelligenz (KI) helfen wird, das Identitätsmanagement zu automatisieren und stärker zu standardisieren.

Informationen zu den Partner-Paketen der IAM as a Service Studie

Fazit

Einig ist sich die Runde am Ende vor allem in drei Punkten:

  • IAM ist weit mehr als nur ein IT-Security-Thema. Es ist eine geschäftsrelevante Herausforderung für alle Unternehmen - für die einen mehr, für die anderen weniger relevant, aber beschäftigen sollten sich alle damit.

  • Der IAMaaS-Ansatz fördert die Standardisierung von IAM-Prozessen und -Schnittstellen und wird langfristig dafür sorgen, dass vor allem kleine und mittelgroße Unternehmen zu deutlich günstigeren Preisen als früher ein IAM einführen werden - auch vor dem Hintergrund der EU-Datenschutz-Grundverordnung.

  • Die grundlegenden IAM-Komponenten - egal ob bei On-Premise oder Cloud, mit weiteren Services integriert oder solitär eingerichtet - bleiben trotz allem auch künftig weiterhin die gleichen. Sie lassen sich ziemlich einfach auf zwei kurze Fragen hinunterbrechen: Wer oder was hat welche Rolle (im jeweiligen Kontext)? und: Wer oder was darf worauf zugreifen?

Solange Unternehmen für sich diese Fragen beantworten könnten, sei die Einführung eines IAM, in welcher Form auch immer, möglich, empfehlenswert und zukunftsweisend.