Serie Identity- and Access-Management
Sicherer digitaler Geschäftsauftritt, Teil 2
Fortsetzung des Artikels von Teil 1
ITSM und Sicherheit im Verbund
Die Bereitstellung von IT-Services und ihr Management ebenso wie der Schutz kritischer Geschäftsdaten ist nicht nur eine technische Herausforderung. Mit dem anstehenden Wandel geht auch eine digitale Transformation des Geschäfts einher und stellt die Unternehmen vor organisatorische und fachliche Herausforderungen. Das Analystenhaus Kuppinger-Cole macht in diesem Zusammenhang vier kritische Erfolgsfaktoren aus:
1. An die Stelle des traditionellen Produktverkaufs treten Services. Neue Wettbewerber kommen auf dieser Serviceschiene hinzu. Demzufolge muss das bisherigen Geschäftsmodell komplett neu überdacht werden, ebenso wie die bisherige Vermarktungsstrategie.
2. Produkte und Dienstleistungen müssen innovativer und individueller werden. Und sie müssen nun schneller und gezielter an die potenziellen Kunden gerückt werden. Traditionelle Denk- und Arbeitsweisen sind dafür nicht geeignet. Sie müssen durch neue, Internet-taugliche Denk- und Arbeitsweisen ersetzt werden.
3. Durch die eigene Organisation wie die der Geschäftspartner muss ein Ruck gehen. Denn das neue Geschäftsmodell und die neuen Produkte setzen personalseitig neue Qualifikationen und Teamstrukturen voraus, um innerhalb der digitalen Geschäftsarena bestehen zu können.
4. Den wachsenden, digitalen Gefahren muss hinreichend durch eine Verwaltung der digitalen Risiken begegnet werden. So hat Alles, was verbunden ist, eine Angriffsfläche. Demzufolge müssen entlang der Vernetzung sämtliche digitalen Risiken, potenzielle Angreifer und Angriffsoberflächen nachvollzogen werden. Digitale Risiken verwalten heißt, die Risiken müssen aufgedeckt, gemessen, priorisiert und, je nach ihrer Priorität, beseitigt oder zumindest abgeschwächt werden.
IT-Sicherheit: integrativer Bestandteil von Anfang
Wenn Alles verbunden ist, somit Risiken von überall ausgehen, sich überall auswirken und sich zudem wechselseitig verstärken können, ist die Sicherheit der Daten nicht mehr punktuell und nachträglich herstellbar. Die Sicherheitsüberlegungen müssen als kritischer Erfolgsfaktor für die digitale Transformation bereits in die Konzeptionsphase der Servicebereitstellung, des ITSM und darin der Ausgestaltung des Sicherheitssystems einfließen. Bei Kuppinger-Cole spricht man von Sicherheit by Design und Privacy bei Design. Denn es gehe darum, beide Felder von Anfang an zu durchdringen, anstatt im Nachhinein nachzubessern und so nur einen Mangel an Datensicherheit zu erreichen. Dieser Mangel würde die gesamte Business-Transformation und dadurch die digitalen Geschäfte in eine gefährliche Schieflage befördern, warnt Kuppinger-Cole.
Mobile-Payment ist dafür ein prominentes Beispiel. Avivah Litan, Vize-Präsidentin von und Analystin bei Gartner, sieht mobile Konsumenten bei der Bezahlung zunehmend durch Betrug gefährdet. „Eine starke Authentisierung reicht nicht aus, wenn anschließend die mobile App für Mobile-Payment einem Betrüger zugewiesen wird, der sich dazwischenschaltet.“ So sei eine Identitätsprüfung im anonymen Internet, ob der entfernte Käufer tatsächlich der Käufer ist, bisher alles andere als einfach gewesen. Neuerdings biete der Markt aber Lösungen, die eine sichere Identifizierung der mobilen Käufer ermöglichten, dadurch das Fraud-Risiko drastisch senkten. „Diese Lösungen kommen mit weniger statischen Daten wie den persönlichen Daten aus, die bisher von Betrügern kompromittiert werden konnten“, so Litan. „Die neuen Lösungen werten stattdessen vermehrt dynamisch generierte Daten aus, wie zur Reputation und zum Online-Verhalten des Käufers und andere auffällige Muster.“ Demzufolge sollten nach der Analystin solche Auswertungsroutinen unbedingt Bestandteil der Mobile-Payment-Apps sein.
Systeme und Daten absichern
Zumal eine sichere Identifizierung und anschließend starke Authentisierung der Käufer entscheidend dafür sein dürfte, ob Unternehmen ihre digitalen Geschäfte werden ausweiten können oder nicht. Das gilt nicht nur für die Einwahl. Auch die Zugriffe auf alle Systeme, Anwendungen und Datenbestände, aus denen sich die einzelnen Geschäftsprozesse formieren, sollten über eindeutige Identitäten und verlässliche Autorisierungsmechanismen abgesichert werden.
An den Geschäftsprozessen wirken die Mitarbeiter der eigenen Organisation, die der Geschäftspartner und jegliche legitimierte Kunden mit. Also müssen über den kompletten Aktionsradius sowohl die Identitäten der Zugreifer als auch ihre Zugriffsrechte immer abgesichert und stets up-to-date sein
Gefordert sind angesichts dieses Anforderungsprofils Föderationsmechanismen, mittels derer die Vorteile von Identity and Access (IAM) auf einen beliebig ausgestalteten digitalen Verbund ausgedehnt werden können. Zu diesen Vorteilen zählen eindeutige Identitäten, starke Authentisierung, gesicherte Autorisierung und zentralisierte Verwaltung, einschließlich Auditing & Reporting für den Nachweis, dass Compliance-Vorschriften und interne Governance-Vorgaben eingehalten wurden. IAM-integrierte Automatisierungs-Workflows wie zur Ableitung der Zugriffsrollen aus den Sicherheitsregeln, Erstellung von Benutzerkonten, Single-Sign-on (SSO) und Steuerung von Rechteantrags- und -genehmigungsprozessen erleichtern im Verbund die Einrichtung, Verwaltung und Bedienung des Zugriffskontrollsystems. Sie sollten dementsprechend unbedingt zum Funktionsumfang der IAM-Lösung der Wahl zählen.
Zwei Architekturen sind innerhalb des Federation-Modells möglich: Das federführende Unternehmen übernimmt für die Geschäftspartner die Identitäten- und Rechteverwaltung, einschließlich der Steuerung der dazugehörigen Automatisierungs-Workflows. Innerhalb dieser Architektur kann das federführende Unternehmen zudem für ausgesuchte Internet-Kunden mit deren Zustimmung die Zugriffsverwaltung mit übernehmen. Oder es belässt die Administrationshoheiten für deren Systeme, Anwendungen und Datenbestände bei den Geschäftspartnern. Dazu müssen die Partner-Clouds die Schnittstellen der IAM-Suite des federführenden Unternehmens unterstützen.
- Sicherer digitaler Geschäftsauftritt, Teil 2
- ITSM und Sicherheit im Verbund
- Ohne Risiko kein Erfolg
- Expertenkommentar: Proaktives Monitoring
- Expertenkommentar: Mit COBIT ein Governance-Modell entwicklen mit verbindlichen Zielen und Anweisung
- Expertenkommentar: Auch privilegierte User müssen Teil des Zugriffskontrollkonzepts sein
- Expertenkommentar: Das leistungserbringende RZ muss sich als IT-Fabrik verstehen
- Expertenkommentar: Eindeutige Identitäten und eine hieb- und stichfeste Zugriffskontrolle
Lesen Sie mehr zum Thema
