Christoph Peter im Podium zu Identity & Access Management

Security oder Usability? Was Axalon bei IAM mehr gewichtet

Uhr
von Coen Kaat

Wer darf eigentlich was im Unternehmen? Diese Frage regelt das Identity and Access Management – kurz IAM. Wie der heikle Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit zu lösen ist, sagt Christoph Peter, CEO von Axalon.

Christoph Peter, CEO von Axalon. (Source: Axalon)
Christoph Peter, CEO von Axalon. (Source: Axalon)

Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben?

Christoph Peter: Durch die steigenden Compliance-Anforderungen und gestiegenen Risiken in einem hybriden Szenario ist ein IAM-Tool unerlässlich. Die Automatisierung von Standardprozessen bringt oft Verbesserungen beim Onboarding und garantiert eine saubere Abgrenzung beim Offboarding. Berechtigungen können zentral verwaltet, überprüft und gesteuert werden. Die in einem Unternehmen vorhandene Anwendungslandschaft verändert sich häufig, daher ist es wichtig, eine IAM-Strategie zu haben, um einerseits die Investitionskosten zu schützen und andererseits den damit aufgebauten Grundpfeiler in der IT-Security auch aufrechterhalten zu können. Schatten-IT und Cloud-Anwendungen, die man mal schnell eingerichtet hat, können ohne klare IAM-Strategie für ein Unternehmen schnell zu Sicherheitslücken werden.

Was muss eine IAM-Lösung alles können?

Wichtig sind: ein benutzerfreundliches UI, ein breites Spektrum an Konnektoren, um möglichst die wichtigen Anwendungen bedienen zu können; Integrationsmöglichkeiten in ITSM-Suiten als Bestellportal oder Implementationsschicht für manuelle Provisionierungen; ein mehrstufiges Berechtigungssystem mit Unterstützung von dynamischen Zuweisungen und Unterstützung bei der Verschachtelung, Rezertifizierungen von diversen Objekten und Zuweisungen – zyklisch oder eventgesteuert unter Berücksichtigung des Risikos –, um die «Bestätiger» nicht mit Unnötigem zu beschäftigen; sowie Intelligenz, um Muster zu erkennen und diese dem Anwender vorzuschlagen respektive Entscheide zu empfehlen.

Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren?

Grundsätzlich sollte eine Lösung mehrere mögliche Varianten unterstützen, um Probleme, wie etwa ein vergessenes Passwort, Token oder eine Smartcard, die zuhause liegengelassen wurde, umgehen zu können. Dabei ist aber auch wichtig, die Möglichkeiten von bestehenden Authentifizierungen – wie AD-Anmeldung – mit nutzen zu können, um dem Enduser eine möglichst einfache Nutzung zu ermöglichen.

Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit?

Da IAM-Lösungen oft auch als zentrales Bestellportal (Kiosk) verwendet werden, zählt natürlich ein hohes Mass an Benutzerfreundlichkeit, und dies unabhängig von den eingesetzten Geräten. Jedoch darf die Sicherheit nicht darunter leiden, und die Zugänge und Verbindungen müssen nach aktuellen Standards geschützt, respektive verschlüsselt sein.

Welche Herausforderung stellen die Mitarbeiter dar, wenn es um ein gelungenes IAM geht?

Die klare Positionierung eines IAM-Tools ist oft ein ganz zentraler und eminent wichtiger Punkt für ein Unternehmen. Vorzugsweise wird in einer Firmenpolicy festgehalten, dass neu auszurollende Anwendungen die Themen Identitätsverwaltung und Autorisierung mit dem IAM-Team abgleichen müssen. Oft braucht es viel Überzeugungskraft, etablierte Prozesse und Ablaufe verändern zu können. Oft auch gerade weil die IAM-Tools standardmässig – ohne Customizing – einen anderen Ablauf vorgeben. Die Akzeptanz der Lösung hängt oft auch von der Benutzerfreundlichkeit der Oberfläche ab. Genügend Fachkräfte in diesem Bereich zu finden, ist auch nicht immer eine einfache Angelegenheit.

Wie wird sich das IAM-Geschäft im nächsten Jahr entwickeln?

Es tendiert alles zu mehr standardisierten (Cloud-)Lösungen mit mehr Intelligenz. Dies bringt neue Herausforderungen im Bereich von Identitäten für Bots über das Integrieren von Cloud-Diensten im Bereich von Identity und Access Management. Die wachsende Anzahl solcher Lösungen in einem Unternehmen bedarf eines intelligenten und agilen IAM-Werkzeugs, um die Kontrolle zu behalten. Daher sind wir der Meinung, dass sich das IAM-Geschäft weiter verstärken wird und an Wichtigkeit zunimmt, da es ein zentraler Grundpfeiler der IT-Security ist und bleibt.

Die Antworten der übrigen Podiumsteilnehmer:

Webcode
DPF8_152737

Kommentare

« Mehr