Identity und Access Management
Wie CIAM die Umsetzung der EU-DSGVO unterstützt
Fortsetzung des Artikels von Teil 1
Was ist zu tun?
Der Umgang mit personenbezogenen Daten und deren Schutz ist das Herzstück der EU-DSGVO. Bei der Einwilligung in die Datennutzung reicht es nicht aus, eine IP-Adresse aufzuzeichnen, sondern der Nutzer muss identifizierbar sein und eine Einwilligung erteilen. Sämtliche Änderungen des Kunden oder des Unternehmens müssen erfasst und umgesetzt werden können, die Einwilligungsdaten für jeden Nutzer und für jede Bedingung aufgezeichnet werden. Das heißt, Unternehmen sind dazu verpflichtet, stets transparent zu beweisen, welche Daten wo gespeichert sind und wie sie verwendet werden. Sie benötigen somit schnelle und flexible Identifizierungsprozesse.
Der Nutzer hat darüber hinaus das Recht, seine gespeicherten Daten im Unternehmen abzurufen. Daher muss dieses eine flexible Daten- und Reporting-Schnittstelle besitzen, um alle personenbezogenen Daten in strukturierter Form ausgeben zu können. Wichtig ist dabei, dass Nutzer die Möglichkeit haben, über User Self-Services viele der Verwaltungsaufgaben selbst zu erledigen.
Laut Gartner vergisst jeder User im Durchschnitt 1,8 Mal im Jahr sein Passwort. Er muss das Kennwort anschließend vom Support zurücksetzen lassen, um wieder Zugriff zu erhalten: Die Kosten für einen entsprechenden Anruf beim Helpdesk schätzen die Marktanalysten auf durchschnittlich circa 50 Euro. In der Praxis schnellt dieser Betrag rapide in die Höhe. So kann sich ein mittelgroßer Versicherungskonzern mit einer Million Kunden Kosten für den Support von einigen Millionen Euro pro Jahr ausgesetzt sehen. Somit ergibt sich für Unternehmen mit CIAM das Potenzial, neben der Umsetzung der EU-DSGVO Kosten zu sparen.
Darüber hinaus ist vor allem die Sicherheit essenziell. Für ein angenehmes und nahtloses Kundenerlebnis ist bei CIAM-Systemen das Single-Sign-On unerlässlich. Wird dem Kunden das Portal oder die Applikationen mit vielen unterschiedlichen Login-Aufforderungen letztlich zu kompliziert, beginnt er nach Alternativen zu suchen und unterläuft damit in vielen Fällen die Sicherheitsanstrengungen der Firma.
Als störend empfinden Nutzer vor allem interaktive Authentisierungsschritte, bei denen sie zur Verifizierung ihrer Identität einen zusätzlichen Handlungsschritt tätigen müssen. In komplexeren Umgebungen empfiehlt sich daher eine risikobasierte (adaptive) Zugriffskontrolle. Abhängig von verschiedenen Kontextinformationen wie Geräte-ID, geografischem Standort, IP Reputation, WAF Fingerprint, Cookies oder der aktuellen Tageszeit nimmt das CIAM im Hintergrund eine Risikoeinschätzung vor. Dies ermöglicht dem System eine Beurteilung, ob der Zugriff regulär erfolgt, zum Beispiel vom immer gleichen Arbeitsplatz, Internet-Café oder von zu Hause aus. Das können Indizien – wenn auch keine harten Fakten – dafür sein, dass ein Betrug vorliegen könnte. Je nach Sicherheitsanforderungen an eine Applikation wird auf diese Weise ohne größeren Aufwand ein ausreichendes Sicherheitsniveau erreicht und weiterführend die Zahl der interaktiven Authentisierungsschritte reduziert.
Um alle Vorgaben der EU-DSGVO zu erfüllen, müssen sich Unternehmen von Einzellösungen verabschieden. Der Aufbau einer einheitlichen standardisierten vorgelagerten CIAM-Lösung in Kombination mit einer Web Application Firewall ist der logische Schritt, um alle personenbezogenen Daten zu verwalten und zu schützen. So kann die Datenverarbeitung schon vorab zentral gesteuert und die Identitäten auch vorgelagert geschützt werden.
Martin Burkhart ist Product Director Airlock Suite bei Airlock
- Wie CIAM die Umsetzung der EU-DSGVO unterstützt
- Was ist zu tun?
- Leitfaden: Was Unternehmen bei der Einführung von cIAM-Systemen beachten sollten
Lesen Sie mehr zum Thema
