Sean Deuby | Leitender Technologe

Die Investitionen in Identitätssicherheit und Identitätsschutz haben ein Allzeithoch erreicht. In diesem Jahr wird der Wert des globalen Marktes für Identitäts- und Zugriffsmanagement (IAM) voraussichtlich 20,75 Milliarden Dollar erreichen. Das ist kaum verwunderlich, denn Gartner schätzte kürzlich, dass etwa 75 % aller Sicherheitsmängel auf mangelhaftes Identitäts-, Zugriffs- und Berechtigungsmanagement zurückzuführen sind. Wie sieht die Zukunft des Identitätsmanagements aus?

Trotz erhöhter Investitionen in die Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) haben Unternehmen immer noch Probleme mit der Umsetzung. Oft sind die Abteilungen innerhalb eines Unternehmens von Grund auf getrennt, was jede Chance auf eine nachhaltige Identitätskultur zunichte macht. Laut Denis Ontiveros Merlo, Vice President of Enterprise Platforms bei bp, ist diese Trennung nicht etwas, das Unternehmen intern angehen können.

"Wir haben ein ganzes Ökosystem aufgebaut, das, ohne es zu merken, Anti-Muster [im Namen der Sicherheit] geschaffen hat, die das Endziel, die Identität reibungslos, sicher und geschützt zu machen, zunichte machen", erklärt Ontiveros Merlo. "Die Menschen treiben diese Muster voran, weil sie denken, dass es das Richtige ist, und so geraten wir in einen Teufelskreis. Es muss noch viel Aufklärungsarbeit geleistet werden, damit wir uns davon befreien können."

Die Aufklärung über die neuesten Möglichkeiten des Identitätsmanagements ist der erste Schritt in die Zukunft des Identitätsmanagements. Aber das ist nicht die einzige Herausforderung, der sich Unternehmen auf dem Weg dorthin stellen müssen.

Stolpern durch eine neue Identitätsmanagement-Landschaft

In vielerlei Hinsicht erholt sich der Unternehmenssektor immer noch von dem Paradigmenwechsel, der während der Pandemie stattgefunden hat. Alles ist jetzt digital, verteilt und föderiert, unabhängig davon, ob wir das wollen oder nicht. Dieser Wandel stellt eine große Herausforderung für Unternehmen dar, die es gewohnt sind, zentralisierte Infrastrukturen und Teams zu verwalten.

"Wenn es darum geht, ein gewisses Maß an Governance durchzusetzen, gibt es nicht mehr nur eine Kehle, an der man sich festhalten kann, wie man so schön sagt", sagt Ontiveros Merlo. "Während früher alles monolithisch war, haben wir jetzt eine Vielzahl von kleinen Komponenten, die alle zusammenarbeiten. Zusammen mit der digitalen Transformation und der Telearbeit wird die Microservices-Architektur zur Norm.

"All diese Komponenten müssen sich gegenseitig authentifizieren und einander vertrauen", fährt er fort. "Jeder Benutzer, jede Maschine, jede Anwendung, jedes Gerät und jeder Sensor. Das ist eine große Herausforderung, aber ich glaube, es ist auch eine Chance. Das sehen wir an Azure B2B, das man als den Beginn der dezentralen Identität betrachten könnte."

Die Torheit, Identitätsmanagement in eine Box zu zwingen

Wir lieben die Vorstellung, dass es eine Einheitslösung für ITDR gibt. Unternehmen haben jedoch unterschiedliche Fähigkeiten, Beschränkungen und Anforderungen. Technologien und Strategien, die in einem Unternehmen funktionieren, können in einem anderen völlig versagen.

"Ich fand es schon immer interessant, dass wir bei Identitätsherausforderungen wie dem privilegierten Zugriff dazu neigen, Lösungen und Ökosysteme zu entwickeln, die letztlich zu einem Konfigurationsdrift führen", überlegt Ontiveros Merlo. "Das ideale Muster wäre, den Code deklarativ durch kontinuierliche Integration/kontinuierliche Bereitstellung (CI/CD) zu veröffentlichen. Doch bevor wir dieses Ziel erreichen können, müssen wir uns der Voreingenommenheit bewusster werden, die wir bei der Einführung neuer Technologien an den Tag legen können - der Anti-Muster, denen wir verfallen können.

"Wir müssen auch stärker darauf achten, wie wir die Technologie in die Organisation einbinden", fügt er hinzu.

Identitätsmanagement ist nicht nur für Administratoren

Die Identitätsverwaltung wird traditionell als eine Angelegenheit der Verwaltung betrachtet. Die Identität ist jedoch für weit mehr als nur für Administratoren von Bedeutung.

"Wir müssen uns fragen, wer in dieser Situation der Kunde ist", sagt Ontiveros Merlo. "Da die Identität in der Regel ein gemeinsam genutzter Dienst ist, wird sie oft als Durchsetzungspunkt für Governance verwendet. Aber in Wirklichkeit ist jeder für die Verwaltung und die Rechenschaftspflicht verantwortlich.

Wir können nicht erwarten, dass Identitätsteams sich mit Themen wie Datenschutz oder Aufgabentrennung befassen. Bei der Entwicklung und dem Einsatz von Identitätsmanagementlösungen müssen wir auch die Benutzererfahrung berücksichtigen und wie unsere Prozesse und Richtlinien dabei eine Rolle spielen. Sicherheit und Komfort dürfen nicht länger im Widerspruch zueinander stehen.

Über RBAC hinausgehen

Langfristig, so Ontiveros Merlo, ist die rollenbasierte Zugriffskontrolle (RBAC) möglicherweise nicht die beste Lösung für eine verteilte Zukunft. Diese Verschiebung hat das Potenzial, ziemlich störend zu sein.

RBAC war in älteren, eher monolithischen Systemen, in denen es keine großen Veränderungen gab, schön und gut. Die heutige Unternehmenslandschaft - und die Rollen - sind jedoch äußerst dynamisch.

"Wenn sich Ihre Organisation ändert und Ihre Rollen nicht, entstehen Reibungen", erklärt Ontiveros Merlo. "Die Benutzer erhalten dann entweder zu viel oder zu wenig Zugriff. Ein richtlinienbasierter Zugriff ist weitaus dynamischer. Deshalb haben sich die Authentifizierungsstandards in den letzten Jahren auch so stark weiterentwickelt."

Obwohl sich die Authentifizierung weiterentwickelt hat, scheint die Autorisierung hinterherzuhinken. Erst jetzt beginnen wir, neue Technologien zu sehen, die Autorisierungskonzepte externalisieren und standardisieren. Die Rezertifizierung, insbesondere im Zusammenhang mit kontextbezogenen Daten, ist eine weitere große Herausforderung für das Identitätsmanagement, die die Branche bewältigen muss.

Vermeiden Sie die Anti-Muster des Identitätsmanagements

Die Sicherheitsbranche hat leider die Tendenz, sich zu versteifen, wenn sie glaubt, den "richtigen" Weg gefunden zu haben, und das ist gefährlich.

"Wenn wir Gespräche abschalten, ohne genau zu überlegen, was sie bedeuten, schieben wir die Dinge in einen viel unsichereren Kanal", sagt Ontiveros Merlo. "Besonders bei komplexen Systemen neigen wir dazu, in festgelegte Verhaltensweisen abzudriften. Wir müssen alle ein bisschen mehr auf den Kontext achten, auf unsere eigenen Vorurteile, auf die gesamte Branche und darauf, was wir von anderen Abteilungen über unsere eigene lernen können."

Ontiveros Merlo empfiehlt, ingenieurwissenschaftliche und psychologische Praktiken auf das Identitätsmanagement anzuwenden und einen breit angelegten, multidisziplinären Ansatz zu verfolgen, der sich auf die Lösung von Problemen durch Daten, Kundenorientierung und kritisches Denken konzentriert.

"Letztlich sollten Sie die Identität als ein Produkt betrachten und neugierig auf die Reibungen sein, die sie für Ihre Kunden verursacht", sagt er. "Das können Endbenutzer, Anwendungsentwickler oder sogar Entwickler sein, die Ihre Registrierungs- und Anmeldeprozesse neu erfinden. Wer auch immer es ist, versuchen Sie, die kognitive Belastung für diese verteilten Teams zu reduzieren, damit sie sich auf das konzentrieren können, was sie am besten können."

Wir sitzen alle im selben Boot

Der Identitätsbereich hat sich in den letzten Jahren sprunghaft entwickelt, aber die größten Herausforderungen stehen noch bevor. Zu den Kunden- und Geschäftsidentitäten gesellen sich nun auch die Maschinenidentitäten, da mehrere Unternehmen und Einrichtungen über eng verknüpfte Lieferketten zusammenarbeiten. Es ist unvermeidlich, dass ein Unternehmen Zugang zu Identitäten gewähren muss, für die es nicht die maßgebliche Quelle ist.

Zusammenarbeit ist in diesem Szenario nicht nur eine Empfehlung, sondern der einzige Weg nach vorne.

"Wir werden Daten viel mehr für Verhaltensanalysen und zur Bereitstellung von Kontext für Identitäten verwenden", sagt Ontiveros Merlo voraus. "Und um alles von der Rezertifizierung bis zur Transaktionssicherheit zu verwalten. Keiner wird in der Lage sein, solche Probleme allein zu lösen. In Zukunft werden wir eine gegenseitige Befruchtung brauchen. Wir brauchen Partnerschaften und Zusammenarbeit über Unternehmen und Disziplinen hinweg."

Erfahren Sie mehr über hybriden Identitätsschutz