alphaspirit - Fotolia

Identity and Access Management und Informationssicherheit

Anfangs primär ein Synonym für rein technische IT-Sicherheit, durchdringt Information Security heute alle Geschäftsbereiche in Unternehmen.

Die European Identity & Cloud Conference (EIC) hat gezeigt, wie sich der Blick auf das Thema Informationssicherheit seit dem zehnjährigen Bestehen der Konferenz nachdrücklich verändert hat.

In einer aktuellen Studie von PAC (einem Unternehmen der französischen CXP-Gruppe) und KuppingerCole unter 200 CISOs, CSOs, CIOs und IT-Sicherheits-Managern aus verschiedenen Branchen innerhalb Europas gaben mehr als zwei Drittel der Teilnehmer an, dass ihr Unternehmen gerade eine Phase der Digitalen Transformation durchläuft.

Wichtig hierbei ist eine geschäftszentrierte Informationssicherheit, die alle Anforderungen eines Unternehmens mit Blick auf die Transformation unterstützt. Genauso wie die der sich ständig verändernden Umgebungen, in denen eine vernetzte, agile Organisation operiert.

Die Haupttechnologien in diesem Kontext sind Internet of Things (IoT), Big Data, Blockchain, 3D-Druck, Robotik und Künstliche Intelligenz (KI). Damit geht der Trend langfristig von einem zentralen zu einem dezentralen, schwieriger kontrollierbaren Gefüge.

Risikomitigation wichtiger als Gefahren hinterherzuhetzen

Parallel zum Vernetzungsgrad im Zuge der Digitalen Transformation steigt die Zahl der möglichen Angriffspunkte auf Systeme und Infrastrukturen. An den Grenzkosten der IT-Sicherheit ändern aber auch noch so hohe Investitionen nichts, die dazu beitragen sollen, stetig neue Sicherheitslöcher zu stopfen. Das Ergebnis ist meist ein teures, aber unbefriedigendes Flickwerk. Wichtiger als den Gefahren hinterherzuhetzen ist Risikomitigation.

Sicherheit und Datenschutz by Design bilden hierbei idealerweise das Rahmenwerk: Wer Sicherheit von Anfang an mitdenkt und in seine Produkte und Services einbaut, bleibt agil und spart langfristig Kosten. Das Unternehmen kann bei Bedarf flexibel handeln, es kann seine Sicherheitsinfrastruktur jederzeit rasch ändern, aktualisieren und verstärken, ohne Änderungen an den Lösungen selbst vornehmen zu müssen.

Identität rückt ins Zentrum

Mit der Transformation rückt auch der Faktor Identität immer mehr ins Zentrum, klassische Ansätze wie Perimetersicherheit, beispielsweise durch Firewalls, treten hingegen zurück. Eine zentrale Rolle zur Abwehr spielt – stärker als jemals zuvor – das Identity and Access Management (IAM). Es trägt entscheidend dazu bei, in einer hypervernetzten Welt sichere Geschäftsprozesse und Transaktionen durch Verwalten der Identitäten von allem und jedem – Menschen, Geräte, Dinge – zu gewährleisten.

Der Bedarf an soliden und verlässlichen Lösungen zur Feststellung von Nutzeridentitäten steigt damit. Das bloße Festlegen von Rollen für individuelle Zugangsberechtigungen von Angestellten reicht jedoch nicht mehr aus. Stattdessen muss IAM deutlich mehr Teilnehmer integrieren als bisher und feinkörniger werden. Es muss dynamische Entscheidungen über Zugänge für Kunden, Mitarbeiter, Partner und Milliarden von unterschiedlichsten Dingen/Geräten in Echtzeit ermöglichen.

„Im Zeitalter der Cloud muss sich schließlich auch die IT-Abteilung neu definieren und sich auf Management as a Service einrichten.“

Martin Kuppinger, KuppingerCole

xxx

Anwender nutzen verschiedene Identitäten und wechseln zwischen diesen mehrmals am Tag, manchmal innerhalb von Minuten. Sie nutzen unterschiedliche Authentifizierungsmechanismen und haben verschiedene Präferenzen bezüglich der verwendeten Geräte. IAM muss sicherstellen, dass die Nutzer dennoch zuverlässig als ein und dieselbe Person, unter Umständen als dasselbe Gerät oder Ding, erkannt werden, egal ob sie von intern oder extern Zugriff erfragen. Dies ist eine absolute Grundvoraussetzung für eine erfolgreiche Digitale Transformation und den Aufbau langfristig positiver Kundenbeziehungen. Mehr Informationen hierzu bietet eine englischsprachige EIC-Paneldiskussion, die im Web als Video zur Verfügung steht.

Neues Organigramm für die Informationssicherheit

Im Zeitalter der Cloud und standardisierter Applikationen muss sich schließlich auch die IT-Abteilung organisatorisch neu definieren und sich auf Management as a Service einrichten. Ihre Aufgabe ist es, Business-orientierte Dienste für die Fachabteilungen bereitzustellen. Wenn die Kollegen dort technisch das zur Verfügung gestellt bekommen, was sie benötigen, um erfolgreich produktiv zu sein, sollte das auch das Phänomen der Shadow-IT reduzieren. In der PAC-Studie sahen 65 Prozent der Befragten Schatten-IT als Hindernis an, um eine sichere IAM-Lösung zu entwickeln.

Neben rein technischen Services stehen künftig gleichberechtigt die Bereiche „Innovation and Information Management“, betreut durch den CIO, sowie „IT und Service Governance“. Diesen Bereich verantwortet der Chief Information Security Officer (CISO). In Bezug auf das Risiko-Management kooperiert sie oder er mit den anderen Auditoren im Unternehmen direkt unter der Vorstandsebene. CISOs müssen sich bestens mit den unterschiedlichsten Risiken auskennen und ihr Wissen in diesem Bereich fortlaufend aktualisieren. So können sie bei Bedarf Alternativen zu von Kollegen vorgeschlagenen Technologien nennen, die eher zur Risikomitigation beitragen.

Über den Autor:
Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und ist ein etablierter Referent und Moderator bei Seminaren sowie Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre, kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit und vieles mehr hinzu. Durch sein Wirtschaftsstudium in Economics gelingt es ihm seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close