Aufsichtsräte agieren oft in mehreren Unternehmen und dahingehend mit vielen Business-Identitäten – wie wird dies abgesichert? Im Interview mit Rainer Hörbe (RH) und David Mayer (DM), beide KPMG Berater für Identity & Access Management.
Identity & Access Management in einem Satz zusammengefasst – geht das überhaupt?
DM: Man könnte es versuchen und sagen: IAM bedeutet, dafür zu sorgen, dass der richtige Nutzer – und nur dieser – zu jedem Zeitpunkt zum richtigen Objekt Zugriff hat.
Rainer, Du bist seit über 20 Jahren beruflich im IAM-Bereich tätig. IAM damals und heute, da liegen wohl Welten dazwischen?
RH: Es ist kein Stein auf dem anderen geblieben, richtig. Damals ging es um Passwörter, die länger als sechs Zeichen sein müssen, und diverse Zugriffsregelungen. Heute spielt der Identitätsschutz eine zentrale Rolle bei der Verteidigung der Infrastruktur eines jeden Unternehmens. Die COVID-19-Pandemie hat aufgrund der zahlreichen Remote-Arbeitsplätze eine alte Gefahr zur neuen gemacht: fehlendes oder mangelhaftes IAM. Viele Unternehmen waren auf das Ausmaß der letzten Monate organisatorisch nicht vorbereitet.
IAM-Lösungen tragen nicht zur sicheren Nutzung von Geräten bei, es geht auch um Prozesseffizienz sowie die Reduktion von Komplexität in Unternehmen.
Ein schwerer Sicherheitsvorfall schmerzt viel mehr als ein Benutzer, der einen etwas komplizierten Workflow hat.
Warum kann IAM heutzutage nur mehr zentral gemanagt werden?
DM: Die Vernetzung innerhalb eines Unternehmens, aber auch mit Drittparteien, steigt täglich. Vor 20 Jahren gab es quasi keine digitale Zusammenarbeit zwischen Organisationen. Ein Mitarbeiter in einer Bank oder Versicherung hatte damals vielleicht 15 Webapplikationen zur Auswahl, heute befinden wir uns im Bereich von tausenden, wenn man den Zugriff aller Mitarbeiter in einem Unternehmen summiert. Ein dezentraler Ansatz im IAM ist daher weder mach- noch tragbar oder gar kontrollierbar. Heute braucht es eine unternehmensweite IT-Architektur und ein gesamtheitlich gedachtes zentrales IT-Management, das sich holistisch mit dem Thema Identitätsmanagement auseinandersetzt.
Dass immer mehr User nicht nur auf einem Gerät unterwegs sind, erschwert die Arbeit im IAM-Bereich, oder? Denken wir etwa an das Thema „Seamless Authentication“.
DM: Der Mix aus Tablet, Laptop und Handy ist aus IAM-Sicht Fluch und Segen zugleich: Einerseits müssen beim IAM immer mehr Geräte berücksichtigt werden, andererseits vereinfachen eben diese Geräte eine deutlich sicherere Multifaktor-Authentifizierung wesentlich. Sie geht komfortabler und sicherer vonstatten als mit Hardware-Token und SMS-TAN. Die Forderung nach einem geräteübergreifenden Identity-Prozess kommt klar aus dem Customer Identity Management-Bereich (Anmerkung: bspw Zugriffe auf Deine Bank-Applikation via Handy/Desktop). Natürlich will man für die Kunden so wenige Zugriffshürden wie möglich erschaffen. Aber auch den eigenen Mitarbeitern will man die Nutzung keinesfalls komplizierter machen als notwendig. Doch Sicherheitsaspekte dürfen niemals zu kurz kommen. Aufsichtsräten, die in mehrere Unternehmen bestellt wurden, müssen diese Zugriffshürden entsprechend genommen werden, um Benutzerfreundlichkeit mit Sicherheit in Einklang zu bringen – es geht schließlich um hochvertrauliche Daten!
Es geht also im IAM-Bereich immer um den Konflikt „User-Freundlichkeit versus Security-Aspekte“. Wer zieht den Kürzeren?
RH: Was der end user will, ist letztendlich nur einer von vielen Faktoren. Im B2C-Bereich zählt der Wunsch des end users natürlich mehr, weil die Dropout-Rate (Anmerkung: Abbruch einer Transaktion aufgrund umständlicher Interfaces und diesbezüglichem Wechsel von Anbietern) entscheidend für Umsatz und Gewinn ist. Hier adaptieren Unternehmen verständlicherweise wesentlich schneller. Verbesserte Usability kann aber nicht immer im Vordergrund stehen. Das Management ist von Sicherheits- und Compliance-Anforderungen getrieben. Denn ein schwerer Sicherheitsvorfall schmerzt viel mehr als ein Benutzer, der einen etwas komplizierten Workflow hat. Vieles dreht sich um die Agilität: Wie können User rasch auf neue Applikationen innerhalb einer Gruppe, innerhalb eines Partnernetzwerkes zugreifen? Das ist aus Business-Sicht oftmals wichtiger als die hundert prozentige Zufriedenheit.
In vielen Unternehmen gibt es technische Altlasten. Bleiben diese, oder werden Unternehmen Geld in die Hand nehmen, um „aufzuräumen“?
RH: Historisch gewachsene Unternehmen haben oft eine uneinheitliche IT-Architektur. Das betrifft viele große Unternehmen, die etwa M&As hinter sich haben – unterschiedliche Verzeichnisse, Access Management-Systeme und vieles mehr. Es gilt, Redundanzen zu identifizieren, wenn man eine neue Security Policy aufsetzen möchte. Hier liegt enormes Optimierungspotenzial. Fest steht aber auch: Es gilt in vielen Unternehmen nicht als sehr „schick“, derartige Infrastrukturprojekte anzugehen, die keinen direkten Kundennutzen haben.
