Komfort statt Passwortfrust

IAM ist jetzt schon ein ganz zentraler Baustein der Unternehmensstrategie und wird auch immer wichtiger, denn digitale Identitäten – ob für Menschen oder Maschinen – bekommen immer Bedeutung und bilden die Basis für Schutz der Kronjuwelen, Digitalisierung und Automatisierung. Das gilt sowohl für große Unternehmen als auch für kleine. So ist das Thema IAM nun auch in den Vorständen angekommen.

Wo sehen Sie bei Ihren Kunden die größten Schwierigkeiten bei der Einführung oder Weiterentwicklung von IAM-Systemen?

Die größten Herausforderungen bestehen derzeit vor allem darin, ein sauberes IAM-System (d. h. Prozesse, Verantwortlichkeiten und Technologie) in gewachsene, heterogene IT-Landschaften zu integrieren. Denn oft fehlt es hier ein bisschen an Überblick über Altsysteme, die teilweise seit Dekaden laufen und komplexe Schnittstellen haben. Generell ist es weiterhin so, dass IAM ein Schnittstellen-Thema ist. Davon sind die Security, die IT, die HR und die Compliance betroffen. Dieser Umstand erfordert klare Governance-Strukturen und Entscheidungsgremien. Diese müssen wir bei unseren Kunden oft erst einmal einführen. Auch ein gutes Change-Management ist essenziell, denn eine hohe Nutzerakzeptanz ist entscheidend für den Erfolg. Dafür muss sehr viel geplant werden, oft über verschiedene Sprachen und Kulturen hinweg. Ein Unternehmen muss seine Mitarbeitenden bei der Einführung von IAM immer da abholen, wo sie derzeit stehen, und ihnen begreiflich machen, welchen Mehrwert die notwendigen Änderungen für sie bringen kann.

Wie fügt sich IAM in eine Zero-Trust-Architektur ein?

Zero Trust bedeutet ja, dass grundsätzlich keinem Zugriff vertraut wird und jeder Zugriff kontextbasiert geprüft wird. In einer modernen IAM-Struktur analysieren dynamische Regeln in Echtzeit den Kontext und passen das Sicherheitslevel an, etwa durch zusätzliche Authentifizierungsabfragen bei ungewöhnlichen Zugriffen. Identitäten sind dabei ein fundamentaler Bestandteil und „Enabler“ für Zero-Trust.

Inwieweit tragen Automatisierung, Machine Learning oder KI dazu bei, Identitäten und Zugriffsrechte besser zu managen?

KI und Automatisierung helfen ganz klar dabei, komplexe IT-Landschaften zu bewältigen, zum Beispiel durch automatisierte Prozesse wie Nutzeranlage und rollenbasierte Zugriffsvergabe. Gerade bei On- und Offboarding-Prozessen in der HR kann die Künstliche Intelligenz hier eine große Hilfe sein. Beispielsweise werden automatische Chatbots zunehmend genutzt, um Nutzern die Interaktion mit ihren Systemen zu erleichtern. Damit entfällt zum Beispiel das langwierige Ausfüllen irgendwelcher Eingabemasken. Wo man früher zehn E-Mails an Kollegen schreiben musste, um herauszufinden, wo welches Formular abgelegt ist, reicht nun eine Anfrage beim Chatbot, der aus dem Zusammenhang erkennen kann, welches Formular benötigt wird und wo man es findet. Auch in diversen Authentifizierungsprozessen kann KI helfen zu erkennen, wie verdächtig ein Zugriff ist.

Wie lassen sich Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung so gestalten, dass sie von den Anwendern akzeptiert werden?

Indem man auf moderne Methoden setzt, die sowohl sicher als auch komfortabel sind (beispielsweise Passkeys). Solche Systeme nutzen beispielsweise passwortlose Authentifizierung per Smartphone – denken Sie an den Fingerprint. Auch biometrische Verfahren erhöhen die Akzeptanz. Wenn jemand in einem produzierenden Betrieb arbeitet und mit öligen Fingern kein Smartphone bedienen kann, kann beispielsweise ein Kamerascan mit biometrischen Verfahren die Akzeptanz einer Authentifizierung stark erhöhen. Ein Thema sind auch die risikobasierten Abfragen, die die Anzahl der notwendigen Anmeldungen reduzieren und die Nutzerzufriedenheit steigern.

Welche Strategien empfehlen Sie kleineren und mittleren Unternehmen, die IAM oft als komplex und kostenintensiv empfinden?

Gerade, wenn man ein neues IAM-System einrichtet, tut man gut daran, risikobasiert vorzugehen und sich zuerst auf die „Kronjuwelen“, also die kritischen Systeme, zu konzentrieren. Pilotgruppen und Feedbackschleifen helfen, die Akzeptanz der Maßnahmen zu erhöhen und die Lösungen schrittweise weiter auszubreiten.

Viele Cyberangriffe erfolgen über Dritte. Welche Rolle spielt IAM, wenn es darum geht, externe Partner, Dienstleister oder Lieferanten sicher einzubinden?

Drittanbieter stellen durch ihre mittlerweile tiefe Verzahnung in Geschäftsprozesse ein sicherheitsrelevantes Risiko dar. Deshalb müssen Prozesse und Kontrollen für externe Zugriffe besonders priorisiert werden. Partner-Identitätsmanagement und föderierte Anbindungen ermöglichen es, externe Nutzer sicher einzubinden. Die Zugriffsrechte für Externe sollen zudem klar abgegrenzt und regelmäßig überprüft werden, zum Beispiel durch zeitlich begrenzte Zugriffe.

Was wird in Zukunft beim Thema IAM besonders relevant werden?

Aktuelle geopolitische Entwicklungen führen dazu, dass Unternehmen verstärkt auf Souveränität und Compliance achten müssen. Derzeit stellt sich für viele Firmen beispielsweise die Frage, ob sie etwa Anwendungen aus den USA noch so wie bisher nutzen können, gerade in Hinblick auf Preise und Datensicherheit. Auch die Nutzung von KI wird natürlich den Umgang mit IAM weiter verändern.