Wie Identity und Access Management die digitale Transformation auf Trab bringt
Seit einiger Zeit hört man ständig von digitaler Identität und Digitalisierung. Kein Business-Magazin, das nicht darüber schreibt und kein großes Unternehmen, das keine Digitalisierungsinitiativen vorantreibt.
Es dürfte weitgehend unbestritten sein, dass die Bedeutung der digitalen Transformation bzw. von Digitalität als deren Ziel im Zeitalter von Technologie und integrierten Geschäftsprozessen kaum überschätzt werden kann. Pandemie hin oder her. Wer auf der Suche ist nach einer Antwort auf grundlegende Veränderungen des „Business as usual“, der kann sie in der digitalen Transformation finden.
In den Jahren der Corona-Krise gab es aussergewöhnliche externe Faktoren, welche die Vorteile oder gar die Unausweichlichkeit digitaler Arbeitsmittel herausgestrichen haben. Die Pandemie ist jedoch nicht der Grund dafür, sie war nur ein Katalysator für eine Entwicklung, die bereits da war. Grundlegende Veränderungen haben die Geschäftswelt seit der Jahrtausendwende zunehmend beeinflusst und erfordern eine Reaktion, um wettbewerbsfähig zu bleiben.
Die Digitalisierung ist ein klares geschäftliches Gebot
Das Problem für viele Unternehmer ist nur, dass weniger klar ist, wie sie die digitale Transformation in ihren eigenen Unternehmen umsetzen sollen. Bei all den Unkenrufen, Warnungen und „guten Beispielen“ da draußen bleiben es die Informationsquellen oftmals schuldig zu sagen, was man denn jetzt konkret tun kann, um möglichst rasch und ohne das Geschäft zu stören einen Impact zu erzielen. Oder es entsteht der Eindruck, dass das, was die anderen machen ja schön und gut sei – aber eben nur für die anderen.
Jede Organisation auf dem Weg der Digitalisierung erlebt ihre eigene, einzigartige Reise, aber es gibt einige gemeinsame Grundlagen, die erfolgreichen digitalen Transformationen zugrunde liegen. Die digitale Identität ist eine davon. Und aus unserer Sicht eine der wichtigsten.
Zero Trust
Die digitale Identität steht im Zentrum des Zero Trust Sicherheitsmodells. Sie stellt nicht nur den Mitarbeitern (Identity and Access Management – IAM) und im Optimalfall auch den Kunden (Customer Identity and Access Management – CIAM) die auf ihre Bedürfnisse und Befugnisse abgestimmten Zugriffe und Selbstmanagement-Funktionen zur Verfügung, sondern sorgt auch dafür, dass diese Zugriffe sicher sind.
Zero Trust bedeutet, dass man niemals vertraut, sondern immer prüft. Die Zeiten sind vorbei, wo man eine Firewall um die eigenen Systeme gebaut hat. Die Zugriffe waren innerhalb der Firewall weitgehend offen, wenn man erst einmal drin war. Spätestens seit dem Einzug der Cloud funktioniert dieser Ansatz nicht mehr.
Die Grenze ist nicht mehr die Firewall, sondern die digitale Identität. Eine Systemlandschaft, die hauptsächlich von einer Mauer drum herum geschützt wird, ist das Äquivalent zu einer Stadt im Mittelalter. Die Mauern wurden zwar mit der Zeit höher und stärker und die Durchgänge besser bewacht, aber war der Feind einmal drin, war die Stadt ausgeliefert. Heute ist das unvorstellbar. Vielmehr muss sich der Bürger anstatt einmalig am Stadttor auszuweisen, für jeden sicherheitsrelevanten Dienst, den er innerhalb der Stadt in Anspruch nehmen will, eigens ausweisen. Das ist Zero Trust und es macht eine Systemlandschaft nicht nur sicherer, sondern es macht weitere Effizienzsteigerungen möglich. Es lässt gleichzeitig Innovationen zu, anstatt weitgehend statisch zu agieren.
Die Vorteile der digitalen Identität
Die digitale Identität ist einer der grundlegenden Bausteine für die digitale Transformation, da sie eine Verbindung zwischen jedem User und jedem Dienst ermöglicht. Vorbei sind die Zeiten, wo ein User hunderte Passwörter selbst managen musste. Im modern umgesetzten IAM muss er sich die Zugangsdaten für die angeschlossenen Systeme nicht nur nicht mehr merken, er muss sie nicht einmal mehr kennen. Was das für ein Sicherheitsgewinn bedeutet, ist unübersehbar, denn in Zeiten von Ransomware-Attacken sind in weit über 80% der Fälle gestohlene Credentials die Einfallstüre für die Hacker, wie unzählige Reports immer wieder aufzeigen.
Bei der Digitalisierung eines Unternehmens geht es jedoch nicht um die gedankenlose Umsetzung der neuesten Technologie – man muss genau wissen, warum und wie man sein Geschäft weiterentwickeln will. Die digitale Identität ist hier die hilfreichste Alliierte. Sie ist der verbindende Faktor in modernen Unternehmen, weil sie die Kommunikation und Zusammenarbeit zwischen bisher getrennten Silos sowie zu Kunden und externen Partnern erleichtert: Sie verbindet Kunden mit den von ihnen abgerufenen Diensten, Lieferanten und Partner mit Geschäftsprozessen, Mitarbeiter untereinander und mit den von ihnen verwalteten Projekten und benötigten Unternehmensressourcen.
Um dies zu ermöglichen wird die Verwendung von Identity and Access Management Tools dringend empfohlen, die einen nahtlosen und kontrollierten Zugriff ermöglichen. Die digitale Identität sollte im Mittelpunkt der Bemühungen um die digitale Transformation stehen. Nochmals auf den Punkt gebracht bringt sie folgende Vorteile:
- schützt die Mitarbeiter, Prozesse und Unternehmenswerte
- verbessert die Nutzererfahrung
- erhöht die Compliance
- fördert die Innovationsfähigkeit
- steigert die Effizienz, indem sie Automatisierung und Self-Service möglich macht.
Viele Probleme werden gleichzeitig adressiert
Diese Punkte gelten im Optimalfall nicht nur intern, sondern auch im Zusammenhang mit Kunden, Lieferanten und Partnern. Enterprise IAM und Customer IAM hatten zwar schon immer ähnliche Herausforderungen, aber sie wurden und werden noch heute häufig getrennt betrachtet.
Unter der Prämisse, dass diese Herausforderungen auf einheitliche Weise gelöst werden können, liegt es nahe, die beiden Bereiche zu verschmelzen. Jeder Nutzer – ob Mitarbeiter, Kunde oder Partner – ist mit inkonsistenten Benutzererfahrungen konfrontiert, zum Beispiel einem chronischen Mangel an Single Sign-On (SSO), was bedeutet, dass er viel zu viele Passwörter verwalten muss. Typische Arbeitsabläufe umfassen mehrere Kanäle und Anwendungen, was bedeutet, dass sich Nutzer auf jedem Gerät oder beim Zugriff auf ein Serviceportal erneut authentifizieren müssen. Wenn jede dieser Anwendungen noch mit ihrer eigenen Multi-Faktor-Authentifizierung kommt, dann ist das sicherheitstechnisch zwar zu begrüßen, aber die Nutzererfahrung wird unterirdisch.
Eine andere Problematik, die immer grösser wird, ist die Compliance, also Aspekte wie Access Governance, Kontrollmechanismen und Reportings. Wissen Sie, wer in Ihrem Unternehmen welche Berechtigungen und Zugriffe hat und wer welche Applikationen benutzt? Könnten Sie es dokumentieren, falls sie zum Beispiel eine Zertifizierung mit ISO27001 anstreben?
Die Gewährung der nötigen Rechte für neue Mitarbeiter ist ohne ein IAM aufwändig und muss manuell gemacht werden. Das ist mühsam, aber meistens zu schaffen. Aber wie sieht es aus, wenn ein Mitarbeiter geht? Wie stellt man sicher, dass er alle seine Zugriffe verliert? Das ist schon viel schwieriger und sicherheitstechnisch ein Höchstrisiko. Sogenannte «Orphan Accounts» sind eine relevante Sicherheitslücke selbst dann, wenn der ehemalige Mitarbeiter nichts Böses will.
💡 Quellen:
KuppingerCole, Deloitte. “Accelerate your Digital Transformation through Identity”