Identitäts- und Access-Management (IAM) im Jahr 2017 – passt das noch zusammen oder ist IAM schon längst ein alter Hut? Ralph Horner, Vice President DACH bei Nexus, gibt einen Ausblick auf kommende Herausforderungen und erklärt, warum IAM auch im neuen Jahr ganz oben auf der To-Do-Liste von Unternehmen stehen sollte.
Welche Rolle spielt Identitäts- und Acccess-Management (IAM) vor dem Hintergrund der Digitalisierung für Unternehmen und Behörden?
Eine zunehmend wichtige Rolle. Mehr denn je stehen Unternehmen heute vor der Herausforderung, ihre Vermögenswerte zu schützen und den Zugang zu ihnen so sicher wie möglich zu gestalten – online wie offline. Die digitale und die analoge Welt sind ja zunehmend verflochten. Menschen sind mittlerweile gewohnt, vieles online erledigen zu können – am liebsten per Smartphone. Diese Erwartungen tragen sie auch als Mitarbeiter in die Unternehmen hinein. Flexible Arbeitsmodelle und Home-Office beispielsweise erfordern einen Fernzugriff auf Unternehmensressourcen. Die Grundlage für all diese Aktivitäten sind eindeutige und sichere digitale Identitäten. Diese müssen in einer immer komplexeren Welt effizient verwaltet werden. Ohne ein professionelles, gut durchdachtes IAM haben Sie da keine Chance.
Wo kommen digitale Identitäten schon heute zum Einsatz?
Online-Services basieren auf vertrauenswürdigen digitalen Identitäten. Wenn Ihre Versicherung es Ihnen ermöglicht, online einen Schaden zu melden, muss sie sicher sein können, dass Sie auch wirklich sind, wer Sie vorgeben zu sein. Ein zweiter wichtiger Bereich ist der mobile Arbeitsplatz, der einen sicheren Zugriff auf das Unternehmensnetzwerk und die digitalen Ressourcen des Unternehmens erfordert. Hier spielt die Cloud eine wichtige Rolle. Auch im öffentlichen Sektor ist vieles in Bewegung. In Deutschland gibt es seit einiger Zeit den elektronischen Personalausweis, der es möglich macht, sich auch online eindeutig auszuweisen – leider wird er bis dato hierzulande aber nur von wenigen genutzt. In Schweden ist man hier schon wesentlich weiter: Hier wird die sogenannte BankID von einem Großteil der Bevölkerung genutzt, um Behördengänge online zu erledigen. Mit der BankID kann in Schweden beispielsweise ein Kindergartenplatz oder auch eine Baugenehmigung beantragt werden, ohne dass dafür ein physischer Besuch bei einer Behörde notwendig ist.
Was sollten Unternehmen beachten, wenn es um die Auswahl von IAM-Lösungen geht?
Die Grenzen zwischen Sicherheit in der physischen und virtuellen Welt verschwimmen. Wir sprechen hier von Konvergenz. Die beiden Bereiche können heute nicht mehr getrennt gedacht werden. Aus Sicht der IT-Security bedeutet das: abgesichert werden müssen sowohl der physische Zutritt wie auch der digitale Zugriff. Dafür braucht es Identitäten, die in verschiedenen Kontexten und Branchen einsetzbar sind. Menschen, Geräte, Transaktionen und Prozesse sind betroffen. Die Identität, mit der eine Mitarbeiterin an verschiedenen Standorten durch die Sicherheitsschleuse kommt, sollte aus Gründen der Effizienz und Usability die gleiche sein, mit der sie sich an ihrem Rechner einloggt, Verträge unterzeichnet, in der Kantine bezahlt oder online ihre Lohnabrechnung abruft. Ein Lieferant, der regelmäßig das Werksgelände betritt, hat ebenfalls eine Identität, aber nicht die gleichen Berechtigungen, wie ein Mitarbeiter. Um das beherrschbar zu machen, braucht es Lösungen, die mit physischen und digitalen Identitäten gleichermaßen umgehen können – und die bieten wir.
Welche technischen Möglichkeiten gibt es heute bereits, um Assets in Unternehmen und Behörden wirkungsvoll zu schützen?
Das Spektrum an Möglichkeiten ist breit. Für die Sicherung des physischen Zutritts zu Gebäuden oder Anlagen spielt nach wie vor die multifunktionale Ausweiskarte oder „Smart Card“ eine Rolle. Sogenannte Public Key Infrastructures (PKI) kommen häufig zum Einsatz, um den Zugriff auf digitale Ressourcen zu sichern. Sie stellen die Vertrauenswürdigkeit digitaler Identitäten sicher, in dem sie diese auf sichere Art und Weise ausstellen, verteilen und überprüfen. Mit einer solchen digitalen Identität können sich Menschen und smarte Geräte authentifizieren, verschlüsselt miteinander kommunizieren und digitale Unterschriften tätigen. Damit vertrauenswürdige Identitäten in der physischen und digitalen Welt eingesetzt werden können, braucht es also Technologien, die einen integrierten Ansatz ermöglichen. Natürlich beeinflussen auch neue technologische Entwicklungen die Entwicklungen im Bereich IAM. Ein Beispiel ist die zunehmende Verbreitung mobiler Endgeräte. Schon heute können Smartphones als Smart Cards genutzt werden und wir erwarten, dass sich das weiter durchsetzen wird.
Wie müssen Organisationen das Thema Sicherheit angehen und was müssen sie beachten?
Sowohl Unternehmen als auch Behörden sollten sich zunächst bewusstmachen, dass Sicherheit kein notwendiges Übel ist, sondern ein absolutes Muss im Day-to-Day-Business. Ein umfassendes Commitment auf Führungsebene ist also sehr wichtig. Es geht darum, die richtige Kultur zu schaffen und diese muss auch den Mitarbeitern vermittelt werden. Keine Technologie ist zu einhundert Prozent sicher. Der Mensch ist nach wie vor ein wichtiger Faktor, daher ist die Sensibilisierung für Sicherheitsthemen so wichtig. Die Ransomware-Welle, die wir 2016 erlebt haben, spricht hier Bände. Trotzdem kann man über die richtige technologische Infrastruktur sehr viel erreichen und genau hier setzt die Kompetenz von Nexus an: Wir bieten hochsichere und zugleich benutzerfreundliche Lösungen, die auch „Max Mustermann“ so einfach nutzen kann, dass er nicht mehr auf unsichere Prozesse (Name/Passwort) ausweicht. Mit unserer neuen App Nexus Personal Mobile wird die Zwei-Faktor-Authentifizierung via Smartphone nutzbar, was die Sicherheit bei optimalem Komfort erhöht.
Wo sollten Unternehmen starten – und was wären die wichtigsten Schritte?
Die bereits erwähnte Konvergenz zwischen physischer und digitaler Sicherheit sollte auch die Herangehensweise an ein neues IAM-Projekt bestimmen. Zunächst kommt es darauf an, bei der Analyse eine 360-Grad-Perspektive einzunehmen, also physische und digitale Sicherheit als Gesamtkomplex zu betrachten. Wo bestehen Risiken und wo existiert der größte Sicherheitsbedarf in der Organisation? Erst wenn darüber Klarheit herrscht, sollten Prozesse und Zuständigkeiten definiert werden. In vielen Fällen sind die Anforderungen an ein IAM-System klar umrissen. Das hat den Vorteil, dass sie sich sehr schnell umsetzen lassen, beispielsweise mit Standardlösungen, die diese Anforderungen „out of the box“ erfüllen. Zudem geht der Trend hin zur Konsolidierung der Systemlandschaft in Unternehmen, um Wildwuchs zu vermeiden, Bedienungskomfort zu erhöhen und Compliance-Richtlinien zu erfüllen. Kaum eine Organisation erfindet das Rad neu – häufig gibt es bereits IAM-Systeme, die es in eine übergeordnete Architektur zu integrieren gilt. Hier ist es wichtig, einen Anbieter zu wählen, der diese Integration konsistent leisten kann.
Welche Themen sollten Unternehmen im Auge behalten – was sind wichtige Zukunftsthemen?
Entwicklungen wie Cloud Computing oder das Internet of Things (IoT) bergen viel Potenzial, aber auch Herausforderungen – vor allem in puncto Sicherheit. Nehmen wir das IoT: Immer mehr Geräte werden miteinander vernetzt und kommunizieren untereinander. Die Vernetzung ist allerdings auch die Achillesferse einer vernetzten Wirtschaft, denn durch sie steigt die Zahl der potenziellen Einfallstore für Cyberkriminelle. Damit Unternehmen die Vorteile des IoT realisieren können, muss die Vernetzung sicher werden. Hier spielen wieder vertrauenswürdige Identitäten eine entscheidende Rolle, um Kommunikation zu verschlüsseln oder der Manipulation von smarten Geräten vorzubeugen. Laut Gartner sollen bis 2020 die Anzahl der vernetzten Geräte von heute etwa 5 auf geschätzte 20 Milliarden Geräte anwachsen. Dafür braucht es eine hochskalierbare Infrastruktur, um alle Identitäten sicher über ihren gesamten Lebenszyklus hinweg zu verwalten. Das ist eine der Aufgaben, der sich Unternehmen in Zukunft verstärkt stellen müssen.