Security oder Usability? Was Ergon bei IAM mehr gewichtet

Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben?

Marc Bütikofer: IAM ist ein hochkomplexes Thema mit vielschichtigen Anforderungen geworden. Anwender haben heute hohe Anforderungen an Benutzerfreundlichkeit, Flexibilität und Sicherheit. Unternehmen haben zudem Anforderungen an Kosteneffizienz, Compliance und einfache Betreibbarkeit. Ohne konkrete Strategie und gut überlegte Produktauswahl ist die Gefahr gross, dass ein unüberschaubares Flickwerk aus Einzellösungen entsteht.

Was muss eine IAM-Lösung alles können?

Eine IAM-Lösung muss auf die oben erwähnten Herausforderungen eine Antwort haben: Sie muss hohe Sicherheit trotz maximaler Benutzerfreundlichkeit bieten, flexibel für künftige Trends und neue Technologien sein und sie muss eine Architektur schaffen, mit der neue Applikationen einfach angebunden werden können.

Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren?

Kunden haben sehr individuelle und branchenspezifische Anforderungen an die Authentisierung. Unsere Erfahrung zeigt, dass es nicht "das" Authentisierungsmittel gibt. Es ist darum essenziell, einen Grundstock an unterschiedlichen Authentisierungsmitteln mitzubringen. Dazu gehört, ausser auf App basierenden Lösungen, Passwörtern und Smartcards, auch die Möglichkeit von Social-Logins.

Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit?

Weder noch: Benutzerfreundlichkeit und Sicherheit müssen sich nicht widersprechen. Gute IAM-Lösungen bieten etwa innovative und sichere Selfservices an, die es Benutzern erlauben, Authentisierungsmittel selbst zu aktivieren und zu verwalten. Bei der Authentisierung spielt erprobtes UX-Design eine ebenso wichtige Rolle wie die Wahl des Authentisierungsmittels.

Welche Herausforderung stellen die Mitarbeiter dar, wenn es um ein gelungenes IAM geht?

Mitarbeiter haben hohe Anforderungen an Single Sign-On. Die Benutzerfreundlichkeit muss dabei hoch sein, weil die Mitarbeiter ansonsten versuchen, das System zu umgehen. Die beste Password-Policy bringt nichts, wenn die Passwörter plötzlich auf Post-its geschrieben werden. Mitarbeiter brauchen zudem Prozesse, die den Zugriff auch in Ausnahmesituationen ermöglichen, beispielsweise wenn das Mobiltelefon zuhause vergessen wurde. Zudem möchten Mitarbeiter gerne die eigenen Geräte nutzen, Stichwort BYOD.

Wie wird sich das IAM-Geschäft im nächsten Jahr entwickeln?

IAM-Aufgaben werden weg von den Applikationen zunehmend an spezialisierte zentrale Komponenten ausgelagert. Diese werden vermehrt zu einer IAM-Infrastruktur. Nur so lassen sich alle Anforderungen sicher und kosteneffizient unter einen Hut bringen. Gute Selfservices sowie die Verknüpfung mit Cloud-Services werden eine grössere Rolle spielen.

Die Antworten der übrigen Podiumsteilnehmer:

• Marc Burkhard, ITsense: "Ein fehlendes IAM wird immer mehr als Einfallstor für Datendiebstahl genutzt."

• Markus Limacher, Infoguard: "Aus meiner Erfahrung ist ‚risikoorientiert’ der richtige Ansatz."

• Cameron McNiff, Datastore: "Eine IAM-Lösung sollte sich nicht nur auf den Access-Teil konzentrieren."

• Christoph Peter, Axalon: "Die Akzeptanz der Lösung hängt oft auch von der Benutzerfreundlichkeit der Oberfläche ab."

• Stephan Schweizer, Adnovum: "Um mangelnder Akzeptanz vorzubeugen, müssen Betroffene rechtzeitig geschult und informiert werden."

• Volker Sommer, Sailpoint: "Viele Lösungen sind zu komplex gestaltet und finden deshalb keinen Anklang."