Sie sind hier: HomeTelekommunikation

Identity und Access Management: Erfolgreiche Umsetzung einer IAM-Lösung

Lösungen für das Identity und Access Management bieten Unternehmen viele Vorteile. Aber wie findet man das passende System für seine Bedürfnisse? Was muss man bei der Wahl und bei der Implementierungsplanung beachten?

Security Identity und Access Management Bildquelle: © Denis Putilov-123rf

Eine einfache, übersichtliche und klare User Journey ist ein Muss, um Services für den Kunden in wenigen Schritten erreichbar zu machen.

Beim klassischen Identity und Access Management, wie es seit den 1990ern bekannt ist, erhielten Mitarbeiter aufgrund vollumfänglich bekannter Daten eine klare Identität und trennscharfe Rollen zugewiesen. Im Zuge der Digitalisierung von Geschäftsprozessen werden jedoch immer mehr sensitive Daten und Prozesse exponiert und außerhalb der Unternehmensgrenzen verfügbar gemacht – für Kunden, Partner, Lieferanten und zunehmend auch „Dinge“ wie Maschinen. Die Datenlage ist stark eingeschränkt und nicht immer klar. Außerdem wird das Thema Compliance auf den Plan gerufen, muss die Lösung doch auf immer komplexer werdende und sich schnell ändernde Datenschutzbestimmungen flexibel reagieren können. Entsprechend lässt sich Identity und Access Management anhand der Zielgruppen heutzutage in zwei Ausprägungen unterteilen: internes und externes IAM. Letzteres steht aktuell im Fokus unter dem Begriff CIAM, wobei das C sowohl für Customer als auch für Consumer stehen kann.

Zwischen Sicherheit und Usability
Eine der wesentlichsten Aufgaben des CIAM ist die Zugangskontrolle. Schließlich sind Applikationen, Services, Daten und Identitäten immer noch der Hauptangriffspunkt für Cyberkriminelle. Eine sichere Authentifizierung schafft Abhilfe, geht aber auch schnell zulasten der Nutzerfreundlichkeit. Der Begriff sicher bedeutet bei der Authentifizierung schnell „zwei Faktoren“, was oft als mühsam empfunden wird, beim Zugriff auf sensible Daten aber unerlässlich sein kann.

Eine nutzerfreundliche Lösung ist die risikobasierte Authentifizierung. Dabei wird nicht einfach bei jeder Anmeldung zwingend der zweite Faktor abgefragt, sondern der Kontext des Zugriffs analysiert. Loggt sich der User beispielsweise immer vom gleichen Ort und um die gleiche Uhrzeit ein, steigt die Verlässlichkeit und auf den zweiten Faktor kann verzichtet werden. Eine Vereinfachung für den Kunden bietet auch die Möglichkeit eines Single Sign-on: Statt sich für verschiedene Dienste des gleichen Anbieters einzeln anmelden zu müssen, erhält der Benutzer mithilfe dieses Features einfachen Zugriff auf alle seine genutzten Services.

Die Wahl des Authentifizierungsmittels
Führen Security-Überlegungen dazu, für gewisse Inhalte Zwei-Faktor-Authentifizierung (2FA) vorauszusetzen, steht die Wahl des entsprechenden Mittels an. Neben den Sicherheitsbestimmungen sind verschiedene Aspekte zu beachten, um den Kunden in der Usability nicht einzuschränken:

  • Online/Offline: Muss das Verfahren auch funktionieren, wenn der Nutzer keine Datenverbindung hat?
  • Zusätzliches Gerät: Darf der Nutzer für den eigentlichen Zugriff und den zweiten Faktor das gleiche Gerät verwenden? Kann man von seinem Kunden verlangen, ein dediziertes 2FA-Gerät einzusetzen oder darf es nur sein eigenes Smartphone sein?
  • Aktionsbestätigung: Soll der zweite Faktor auch dazu verwendet werden, eine Aktion zu bestätigen, zum Beispiel Signierung einer Transaktion im E-Banking? Voraussetzung dafür ist, die Zahlungsdaten auf einem zweiten, sicheren Kanal übermitteln zu können.

Bereits vorstehende Überlegungen zeigen, dass die Interaktion mit dem Benutzer grundlegend über den Erfolg von Digitalisierungsprojekten mitentscheidet. Eine einfache, übersichtliche und klare User Journey ist ein Muss, um für den Kunden die gewünschten Services in wenigen Schritten erreichbar zu machen. Dies beginnt schon bei der Registrierung: Je mehr der Benutzer über sich preisgeben muss, desto größer ist die Gefahr, dass er abspringt. Social Login respektive Social Registration können Abhilfe schaffen. Für den Kunden bieten sie den Vorteil, seine Daten nicht mehrfach eingeben zu müssen und das Unternehmen kann bei einem Social Login schnell und unkompliziert anonyme Besucher in eigene Identitäten transformieren.

Ein Unternehmen hat gewisse Qualitätsmerkmale, vielleicht sogar Unique Selling Points, die seine Kunden besonders schätzen, wie etwa Unkompliziertheit oder schnelle Bearbeitung von Anfragen. Diese Faktoren sollten im Vorfeld definiert werden, um auch in der digitalen Kundenbeziehung davon profitieren zu können. Zur User Experience gehört auch eine klare Ausrichtung auf die Zielgruppe. Sollen alle Endkunden oder die gesamte Öffentlichkeit auf die Dienste zugreifen? Oder spricht man Fachverantwortliche bei Geschäftskunden an?