Security oder Usability? Was ITsense bei IAM mehr gewichtet
Wer darf eigentlich was im Unternehmen? Diese Frage regelt das Identity and Access Management – kurz IAM. Wie der heikle Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit zu lösen ist, sagt Marc Burkhard, CEO von ITsense.
Warum ist es von Vorteil, eine konkrete Identity-Lösung beziehungsweise -Strategie zu haben?
Marc Burkhard: Ein fehlendes Identity und Access Management, kombiniert mit überberechtigten Mitarbeitern wird immer mehr als Einfallstor für Datendiebstahl genutzt. Mit einem strukturierten und automatisierten Identity und Access Management lassen sich die Risiken stark reduzieren und die Kosten mittels Prozessautomation senken. Ein modernes IAM bietet folgende Vorteile: Prozesse automatisieren, Aufgaben an Fachbereiche delegieren, Entlastung der IT durch User-Selfservice, Compliance-Anforderungen einhalten, Sicherstellung der Audit- und Revisionsfähigkeit, Steigerung des Benutzerkomforts mittels Single Sign-On, rollenbasierte Berechtigungsvergabe (RBAC). Ein weiterer Punkt, der faktisch ein Identity und Access Management unumgänglich machte, waren die Regularien, die im Mai 2018 mit der EU-Datenschutz-Grundverordnung (DSGVO / GDPR) in Kraft traten. Unternehmen tragen die Verantwortung, diese Regularien einzuhalten, weil sie für Missbräuche von Identitäten, die von ihnen verwaltet werden, regresspflichtig werden können.
Was muss eine IAM-Lösung alles können?
Eine IAM-Lösung sollte flexibel einsetzbar und erweiterbar sein. Sie bietet die Möglichkeit, Workflows visuell gestützt, einfach und standardisiert abzubilden und stellt standardisierte Konnektoren zur Verfügung. Idealerweise lässt sich die Lösung mit optionalen Modulen ergänzen, sodass der Wirkungskreis schrittweise und bedarfsgerecht vergrössert wird. Zudem sollte eine moderne IAM-Lösung verschiedene Bereitstellungs- und Lizenzmodelle anbieten können.
Passwörter, Tokens, Smartcards? Wie sollten IAM-Lösungen die Nutzer idealerweise identifizieren?
Die Notwendigkeit starker Authentifizierungsverfahren ist im Umfeld von Unternehmen und E-Governance ist stark gestiegen. Es gilt für den Nutzer ein ausgewogenes Verhältnis zwischen Sicherheit und Komfort zu schaffen. In der Praxis hat sich die Multi-Faktor-Authentifizierung, basierend auf Soft-Tokens, bewährt. Idealerweise wird ergänzend der Level of Assurance berücksichtigt und ein adaptives Authentifizierungsverfahren angewendet. Jedes Verfahren hat seine Vor- und Nachteile. In jedem Fall gilt es, die optimale Strategie mit den individuellen Sicherheitsbedürfnissen und dem Anwendungsfall abzustimmen.
Was hat bei IAM Vorrang: Benutzerfreundlichkeit oder IT-Sicherheit?
Es gilt, in der Praxis ein ausgewogenes Verhältnis zwischen Sicherheit und Komfort zu schaffen. Je nach Stakeholder kann die Sichtweise etwas variieren. Ein CISO wünscht sich in der Regel maximale Sicherheit, der CFO Kosteneffizienz und der Mitarbeiter Komfort.
Welche Herausforderung stellen die Mitarbeiter dar, wenn es um ein gelungenes IAM geht?
Erfahrungsgemäss darf man die projektbezogenen Aufwände für den organisatorischen Miteinbezug von Mitarbeitern nicht unterschätzen. Die Mitarbeiter erwarten heute ein durchgängig positives Benutzererlebnis in Form von komfortablen Anmeldeverfahren, intuitiven Benutzeroberflächen und technischer Unterstützung.
Wie wird sich das IAM-Geschäft im nächsten Jahr entwickeln?
Gemäss unseren Prognosen wird das IAM-Geschäft weiter stark wachsen. IAM-Lösungen sind ein wichtiger werdender Sicherheitsbaustein im Rahmen der Digitalisierung, der eng mit anderen Sicherheitskomponenten interagieren muss. Die baldige Umsetzung des neuen Schweizer Datenschutzgesetzes wird die Sensibilität im Umgang mit personenbezogenen Daten weiter steigern und den Markt ankurbeln. Wir haben zudem als IAM-Software-Hersteller ein verstärktes Marktbedürfnis nach cloudbasierten Lösungen (IDaaS) identifiziert und bauen unser Angebot deshalb in diese Richtung stark aus.
Die Antworten der übrigen Podiumsteilnehmer:
Marc Bütikofer, Ergon: "Ohne konkrete Strategie ist die Gefahr gross, dass ein unüberschaubares Flickwerk entsteht."
Markus Limacher, Infoguard: "Aus meiner Erfahrung ist ‚risikoorientiert’ der richtige Ansatz."
Cameron McNiff, Datastore: "Eine IAM-Lösung sollte sich nicht nur auf den Access-Teil konzentrieren."
Christoph Peter, Axalon: "Die Akzeptanz der Lösung hängt oft auch von der Benutzerfreundlichkeit der Oberfläche ab."
Stephan Schweizer, Adnovum: "Um mangelnder Akzeptanz vorzubeugen, müssen Betroffene rechtzeitig geschult und informiert werden."
Volker Sommer, Sailpoint: "Viele Lösungen sind zu komplex gestaltet und finden deshalb keinen Anklang."
Microsoft muss KI-Modell Wizard LM 2 zurückziehen
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Apple präsentiert generatives KI-Modell OpenELM
Hamster entrinnt dem Regenbogen-Labyrinth
IBM übernimmt Hashicorp
TD Synnex listet Apple-Geräteverwaltungslösungen von Jamf
Protonmail lanciert Dark Web Monitoring
BBV Software Services hat einen neuen COO
