Roundtable Identity & Access Management

„Wir werden wieder Menschen sein - statt Nummern“

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Plötzlich gibt es einen „Head of customer experience“ im Unternehmen und bis nur neuen Europäischen Datenschutzgrundverordnung dauert es nur noch ein Jahr. Höchste Zeit, sein Identity & Access Management in den Griff zu bekommen, stellen sieben Experten in einer Diskussionsrunde der Computerwoche fest.

"Wir werden wieder Menschen sein statt Nummern." Mit diesem Statement fasst Jason Goode, Regional Director EMEA bei Ping Identity, eine Diskussion über Identity Access Management (IAM) in den Räumen des Computerwoche-Magazins zusammen. Sieben Experten tauschen sich über das komplexe Thema aus, mit dem sich zurzeit jeder beschäftigt. "Es gibt gerade keine Firma, die keinen Workshop dazu macht", schmunzelt Peter Schneider, VP Products von Efecte.

Neben Regularien wie GDPR treiben auch zahlreiche technische Entwicklungen das Thema Identity & Access Management (IAM) an.
Neben Regularien wie GDPR treiben auch zahlreiche technische Entwicklungen das Thema Identity & Access Management (IAM) an.
Foto: master_art - shutterstock.com

Mit GDPR wird IAM zum Thema der Geschäftsführung

Getrieben wird IAM nicht nur vom Gesetzgeber - ab Mai 2018 gilt die neue Europäische Datenschutzgrundverordnung (GDPR) - sondern auch durch technologische Entwicklungen wie die Cloud und durch die veränderten Ansprüche der Kunden. Am Besten greifbar ist zunächst das neue juristische Regelwerk. "Die GDPR ist ein Gamechanger", stellt Stephan Schweizer fest. Der Leiter der Business Unit NEVIS bei AdNovum sagt: "Die empfindlichen Strafen verfehlen ihre Wirkung nicht."

Rege Diskussionen rund um das Thema IAM (v.l.n.r.): Stephan Schweizer (AdNovum), Sascha Hombach (Capgemini), Jason Goode (Ping Identity)
Rege Diskussionen rund um das Thema IAM (v.l.n.r.): Stephan Schweizer (AdNovum), Sascha Hombach (Capgemini), Jason Goode (Ping Identity)

So werden Kunden den Nachweis darüber verlangen können, dass ihre personenbezogenen Daten gelöscht wurden. Die aber liegen innerhalb der Unternehmen oft über verschiedene Silos verstreut. Mancher IT-Chef, der diese Silos ohnehin längst aufbrechen wollte, hat jetzt die Chance dazu. "Wegen der GDPR sitzen nicht nur IT und Fachabteilung am Tisch, sondern auch die Rechtsabteilung", beobachtet Schneider. "Und damit ist jetzt endlich das Geld da!"

Peter Schneider, VP Products von Efecte, empfiehlt, GDPR als Chance zu nutzen und jetzt die IAM-Silos aufzubrechen.
Peter Schneider, VP Products von Efecte, empfiehlt, GDPR als Chance zu nutzen und jetzt die IAM-Silos aufzubrechen.

Damit ist das Gespräch bei der Frage angekommen, wer bei IAM mitredet. Denn das ist nicht allein IT-Sache. "Ich hatte ein Gespräch mit einem Kunden, der mir sagte, sie hätten keine Cloud-Applikationen im Haus", berichtet Michael Neumayr, Regional Sales Director Central & Eastern Europe bei Centrify. "Dann sind wir die einzelnen Bereiche durchgegangen…" Er braucht gar nicht weiterzureden. Jeder in der Runde kennt diese Fälle von der Marketingabteilung, die munter As-a-Service-Lösungen einkauft, alles am IT-Chef vorbei. Die Kundenbedürfnisse erforderten das, so die übliche Begründung.

"Die Prozesse werden oft vergessen"

Und so setzen sich immer mehr neue Entscheider mit Titeln wie Head of Digital, Head of Customer Experience oder Customer Success mit an den Tisch, beobachtet Goode. Was den Einkauf von IAM-Lösungen nicht vereinfacht. Neumayr erkennt schon erheblichen Aufklärungsbedarf bei der Definition. Identity Management, Identity Access Management, Access Governance - mancher Entscheider wirft alles munter durcheinander und kauft irgendein Tool, weil es in Gartners Quadranten gut wegkommt.

Jan Pieter Giele, Geschäftsführer Tools4ever: Die größte Gefahr kommt von innen.
Jan Pieter Giele, Geschäftsführer Tools4ever: Die größte Gefahr kommt von innen.

Wobei das Tool ja noch nicht einmal die halbe Miete ist: "Oft werden die Prozesse vergessen", beobachtet Sascha Hombach, Security Manager bei Capgemini. Ein tiefes Prozess-Verständnis sei aber nötig, um einzuschätzen, wo die Tools angepasst werden müssen und wo die Prozesse. Das gilt in weltweit operierenden Firmen global, Abläufe können nicht mehr regional betrachtet werden. "Unternehmen müssen zunächst einmal eine Roadmap entwickeln", betont Hombach.

Wie immer diese Roadmap im Einzelfall verläuft - sie soll immer zum Kunden führen. "IAM heißt auf jeden Fall, Identifizierungs- und Authentifizierungsverfahren für den Nutzer transparent zu machen", stellt Torsten Rienaß klar, Geschäftsführer Procilon IT-Logistics. Ziel ist es, ein "eigenbestimmtes Maß an Sicherheit" zu erreichen. Eben das hängt nicht nur von der Branche ab, sondern beispielsweise auch von der Generation. Da hakt Goode ein. "Die Generation Y ist schöne und einfache User Experience gewohnt", sagt er. Übertragen auf IAM heißt das: Der Kunde möchte sich einmal authentifizieren und dann zum Beispiel sämtliche Bankkonten einsehen können. Goode: "Weg von der Kontonummer! Wir werden wieder Menschen sein statt Nummern."

Michael Neumayr, Centrify: Wegen fehlender Identitäten dürfen keine Daten verloren gehen.
Michael Neumayr, Centrify: Wegen fehlender Identitäten dürfen keine Daten verloren gehen.

Inhalt dieses Artikels