Interview mit Gerhard Zehethofer von ForgeRock
Gegen die Schattenidentitäten
Fortsetzung des Artikels von Teil 1
IAM-Modernisierung
LANline: Bei einer Forrester-Umfrage im ForgeRock-Auftrag vom März gaben zwei Drittel der Befragten an, dass Prozessprobleme, darunter fehlende Flexibilität und Agilität von IAM-Systemen, den Übergang zur Hybrid Cloud behindern. Wie gelangt eine IT Organisation vom herkömmlichen zum hybriden IAM?
Gerhard Zehethofer: Wie bei jedem Migrationsprojekt ist auch bei einer IAM-Modernisierung ein klar strukturiertes Vorgehen mit entsprechender Planung notwendig. Im ersten Schritt gilt es, ein Anforderungsprofil für das gesamte Unternehmen zu erstellen. Dieses Profil muss beantworten, was die neue IAM-Plattform über alle Unternehmensbereiche hinweg können muss. Bestehende Prozesse sollte man nicht stur übernehmen. Hier ist es vorteilhaft die Möglichkeiten der neuen Plattform zu nutzen, um Prozesse zu vereinfachen und zusätzlichen Nutzen zu schaffen. Darüber hinaus sollte man auch darauf achten, dass sich neue, noch unbekannte Anforderungen möglichst schnell und mit geringem Aufwand umsetzen lassen.
LANline: Und wie kann ein Unternehmen den Aufwand dabei tatsächlich gering halten?
Gerhard Zehethofer: Modulare Plattformen, die auf Standards und gut dokumentierte APIs setzen, sind hier im Vorteil. Die Umsetzung selbst erfolgt dann in Teilprojekten und je nach Priorität. Unsere Erfahrungen zeigen, dass vor allem diejenigen IAM-Transformationen erfolgreich sind, die mit einem wohl durchdachten Plan beginnen, den Status quo hinterfragen und zusätzliche Anforderung der geografischen Regionen, etwa lokales Hosting, die Implementierung von Zero Trust und innovative Technologien wie einen passwortlosen Login von Beginn an mit in den Plan integrieren.
LANline: Bei der genannten Umfrage beklagte rund die Hälfte der Befragten fehlendes Fachwissen zu Cloud-IAM. Wie sollten Unternehmen angesichts dieser Problematik mangelnden Know-hows vorgehen, um die Zugriffsrechte für ihre Hybrid Cloud bestmöglich abzusichern?
Gerhard Zehethofer: Obwohl die IAM-Transformation hin zu Cloud-Anwendungen Vorteile bietet, schafft sie gleichzeitig auch Probleme. Die erwähnte Forrester-Studie hat gezeigt, dass fast alle IT-Experten aus Unternehmen, nämlich 98 Prozent, mit IAM-Technologien aus der Cloud in der Vergangenheit Schwierigkeiten hatten. Reine IAM-Cloud-Lösungen sind oft auf Benutzerfreundlichkeit hin optimiert und bieten nicht den benötigten Funktionsumfang. Die Realität zeigt, dass die meisten Unternehmen eine hybride IT betreiben. Daher muss die IAM-Plattform alle Bereiche gleichermaßen abdecken. Reine Cloud-Lösungen zeigen hier Schwächen und können bestehende On-Premises-Anforderungen nicht oder nur eingeschränkt erfüllen. Eine Migration auf eine IAM-Plattform ist somit nicht möglich und es entsteht ein weiterer Silo mit all den bereits besprochenen Nachteilen.
LANline: Und was bedeutet das konkret für die Auswahl einer IAM-Lösung?
Gerhard Zehethofer: Wir empfehlen bei der Wahl einer neuen IAM-Plattform folgende drei Punkte zu beachten: Können die Plattform die Anforderung für Legacy-Applikationen und neue Anforderungen gleichermaßen erfüllen? Lässt sich die IAM-Plattform selbst gemischt betreiben? Und welche Funktionsunterschiede bestehen zwischen den On-Premises-Komponenten und dem Identity-Service aus der Cloud? Ziel der Auswahl muss es sein, den Anpassungsaufwand zu minimieren, neue Anforderungen sofort mit der neuen Plattform zu adressieren und die bestehenden IAM-Silos über den Projektzeitraum auf die neue Plattform zu migrieren.
LANline: Die Akzeptanz von Security-Technologie hängt stets hochgradig von der Benutzerfreundlichkeit und einfachen Bedienung der Sicherheitslösung ab. Was geht es hier aus Benutzersicht besonders zu beachten – und wo besteht hier Stand heute noch Optimierungsbedarf?
Gerhard Zehethofer: Unternehmen und Nutzer profitieren von einer Hybrid-IAM-Lösung in jedem Fall: Durch eine zentrale Verwaltung aller Identitäten in einer leistungsfähigen Lösung ergibt sich eine konsistente Benutzererfahrung – und das unabhängig davon, wo sich die Identität des Benutzers, der Service und die Anwendung innerhalb der IT-Architektur befindet. Moderne Algorithmen und die Einbindung zusätzlicher Signale helfen dabei, die Qualität der Access-Entscheidung zu verbessern, und gewöhnliche oder risikolose Zugriffe von risikobehafteten Zugriffen zu unterscheiden. Unauffällige Zugriffe bekommen dadurch schneller Zugang. Das verbessert die Produktivität und die Benutzererfahrung, während risikobehaftete Zugriffe automatisch zusätzliche Hürden durchlaufen. Diese Hürden kommen nur situationsabhängig zum Einsatz. Befindet sich der Benutzer beispielsweise bei einem Zugriffsversuch erstmalig in einem anderen Land, muss er sich erst mit einem zweiten Faktor ausweisen, um seine Identität zu bestätigen.
LANline: Das betrifft den Identitätsnachweis unmittelbar bei einem Kontextwechsel – und wie geht es danach weiter?
Gerhard Zehethofer: Um die Sicherheit auch während einer Session hochzuhalten, kann die IAM-Lösung bei einem Zugriff auf sensible Daten die Identität erneut abfragen. Dies kann auf vielfältige Weise erfolgen: Beispiele dafür sind One-Time-Passcodes, Fingerprint oder auch andere biometrische Daten oder biometrische Verhalten, deren Auswertung quasi unsichtbar und kontinuierlich im Hintergrund abläuft. Unternehmen müssen darüber hinaus während des gesamten Datenlebenszyklus sicherstellen, dass das Profil eines jeden Kunden, Mitarbeiters oder Partners einheitlich, richtig und aktuell ist und die gesetzlichen Vorgaben einhält. Mithilfe einer breiten Auswahl an digitalen Signalen und risikobasierten Faktoren lässt sich beispielsweise der Login-Prozess ganz einfach konfigurieren, messen und anpassen. Standardmäßige, bereits vorhandene und nutzerspezifische „Authenticators“ lassen sich dafür heranziehen.
LANline: Herr Zehethofer, vielen Dank für das Gespräch.
- Gegen die Schattenidentitäten
- IAM-Modernisierung
Lesen Sie mehr zum Thema
