European Identity & Cloud (EIC) 2016
Bruch mit der Tradition
Services, neuartige Kundenbeziehungen und vernetzte Dinge prägen zunehmend die Geschäftswelt. Für deren Sicherheit und Identitätsmanagement sollen Ansätze sorgen, wie etwa Consumer Identity und Access-Management, Big Data, aber auch neue Techniken wie Distributed Ledgers.
Durch IT-Innovationen getriebener „disruptiver Wandel“ hat das vergangene Jahr bestimmt, erklärte Martin Kuppinger, Gründer des Analystenhauses Kuppinger Cole, zur Eröffnung der Konferenz in München und gab damit auch den inhaltlichen Rahmen vor. Stellvertretend für disruptiven Wandel nennt er den Online-Taxidienst Uber, der das klassische Taxigeschäft in Bedrängnis bringt.
Dem Analysten zufolge wandeln derzeit viele Unternehmen ihre Geschäftsmodelle vom traditionellen Produkt- in Service-Angebote um. Dies aber führe auch zu neuen Anwendungsarchitekturen mit intensiverer Nutzung von APIs, um sogenannte Micro-Services zu neuen Lösungen zu kombinieren.
Die neuen Geschäftsmodelle beeinflussen auch die Art und Weise, wie Beziehungen zu Firmen- und Endkunden sowie Partnern geführt werden. Als Folge davon bedarf es eines Identity-and-Access-Management-Systems (IAM), das Mitarbeiter, Partner, Kunden und Verbraucher gemeinsam verwaltet – also Identitäten in Millionenzahl.
Eine solche Plattform sollte alle Fähigkeiten mitbringen, um den traditionellen Zugriff eines Mitarbeiters auf seinen PC im LAN und auf Backend-Systeme zu gewährleisten, aber auch mobilen Verbrauchern, die über soziale Netzwerke oder Cloud-Services gehen, den ihnen gewährten Zugang zu geben. Zudem müssen sie in der Lage sein, den Identitätslebenszyklus eines Verbrauchers von dessen Registrierung, über Bestellungen, Zahlungen, Suchanfragen etc. zu verwalten, die Informationen zu einer Identität mit nur einer einzigen Sicht auf den Kunden zusammenzuführen.
Vom Sicherheitsstandpunkt sind Techniken wie adaptive Authentifizierung eine Grundvoraussetzung. Dieser risikoorientierte Ansatz verbindet die Identität des zugreifenden Nutzers mit den Rahmenbedingungen der Verbindung und mit der kritischen Einstufung des angeforderten Prozesses. Auch sollten Nutzer zuverlässig über alle ihre Konten und verwendeten Geräte hinweg identifiziert werden können. Lösungen gibt es von den „Großen“ wie IBM oder Microsoft, aber auch von Spezialanbietern wie Gigya, Ping Identity, Yubico oder Salesforce.
Ganz neu in der Diskussion um digitale Transformation sind Blockchains und darauf aufsetzende Distributed Ledgers (Hauptbuch in der Buchhaltung). Blockchains sind miteinander verkettete Datenblöcke, in denen Transaktionen sequenziell festgehalten werden. Jeder Block erhält eine Hash-Summe, die im nächstfolgenden gespeichert ist. Damit sind sie fälschungssicher. Blockchains dienen Distributed Ledgers, die in verteilten Datenspeichern vorgehalten werden, als Basis. Das Konzept ist derzeit vor allem aus der Finanzbranche und im Zusammenhang mit Kryptowährungen bekannt und weist noch einige Einschränkungen auf. So etwa bedürfen einige der Algorithmen hoher Rechenleistung. Dennoch standen auf der Veranstaltung künftige Einsatzmöglichkeiten des Konzepts zur Debatte.
Derzeit eignen sich Blockchains am besten für den Einsatz bei E-Business-Transaktionen, für das Intellectual-Property-Rights-Management und im Finanzsektor, denn sie liefern eine kostengünstige Lösung für Nachweisbarkeit und digitale Verträge zwischen Sender und Empfänger von sensiblen Dokumenten, stellt Ivan Niccolai, Analyst bei Kuppinger Cole fest. Aufgrund der Fälschungssicherheit könnten Distributed Ledgers künftig auch für das Identitäts-Management wichtig werden, doch scheitert die Technik noch an der mangelnden Nutzeridentifizierung.
Das am besten geeignete Einsatzfeld sieht Niccolai beim Geräte- und Identitäts-Management im Internet of Things (IoT). „Die vorhandenen fälschungssicheren Hardwareidentifikationstechniken wie das Trusted Platform Model ermöglichen es vernetzten Geräten, sich in einer Blockchain eindeutig zu identifizieren“, betont er. Durch die Hashing-Algorithmen lässt sich die Authentizität eines Geräts fälschungssicher feststellen. Denkbar für dieses verteilte Geräte-Management sind Software-Upgrades und Patch-Management, Zugangskontrolle, Auditing oder das Management von Black- und Whitelisting, so der Analyst.
Sicherheit für das IoT und Smart Manufacturing (oder Industrie 4.0) treibt laut Kuppinger die Anwender um. Er plädierte in erster Linie dafür, Geräte – ob Sensoren, Wearables oder andere Hardware – und Produktionsprozesse nach dem Prinzip „Security by Design“ und „Privacy by Design“ zu bauen. Einen anderen Weg zeigt Jackson Shaw, zuständig für Identity-Management bei Dell Security, in seiner Keynote auf. Er empfiehlt als einzig zuverlässige Sicherheitsmaßnahme für die vernetzten „Dinge“, immer wieder Penetrationstests durchzuführen.
Lesen Sie mehr zum Thema
