Silos digitaler Identitäten
Unsichtbare Bedrohung
Jedes Unternehmen ist inzwischen auch eine digitale Einheit. Das führt dazu, dass Datenhoheit, Datensicherheit und Datenschutz ein absolutes Muss geworden sind. Um dies zu gewährleisten, haben Unternehmen in den letzten Jahren riesige Summen investiert: 2019 lagen ihre IT-Ausgaben laut Gartner bei 3,7 Billionen Dollar. Trotz der vielen Investitionen ist ein Risikobereich leicht zu übersehen: Silos digitaler Identitäten. Diese entstehen, wenn verschiedene Abteilungen innerhalb eines Unternehmens unabhängig voneinander neue digitale Dienste bereitstellen und so separate Datensätze für denselben Anwender anlegen.
Viele Unternehmen betreiben eine unkoordinierte Mischung aus veralteten, selbst entwickelten und standardisierten IAM-Lösungen (Identity- und Access-Management), um die Identitäten der Benutzer und deren Zugang zu Diensten, Anwendungen und Systemen zu verwalten. Dieser fragmentierte Ansatz mag aus der Perspektive eines einzelnen Dienstes oder einer Business Unit gut funktionieren, aber ohne eine zentralisierte Identitätsinfrastruktur hat eine Organisation keine Möglichkeit, digitale Identitäten und Zugriffe über alle Systeme hinweg genau abzubilden und zu verwalten. Dies hat sowohl kurz- als auch langfristige Auswirkungen, von schlecht gesicherten Anwenderdaten bis hin zu uneinheitlichen Anwendererfahrungen in verschiedenen Geschäftsbereichen.
Bis zu 400 separate Identitätssilos in einer Organisation
Ein Beispiel aus dem Telemarketing: Der Kunde erhält einen unangemeldeten Anruf seiner Bank zu einem Angebot einer neuen Kreditkarte. Das Problem nur: Er besitzt bereits eine Kreditkarte von eben dieser Bank. Wie kann das passieren? Die einfache Antwort: Identitätssilos. In diesem Fall speichert jede Bankabteilung ihre Daten in getrennten Silos, außerhalb einer zentralisierten Identitätsinfrastruktur. Deshalb hat der Telemarketer keinen Zugang zu wichtigen Anwenderinformationen, etwa zu bestehenden Kreditkartenverträgen. Einige Banken verfügen über mehr als 400 separate Identitätssilos innerhalb der eigenen Organisation.
Für Anwender ist das Ergebnis einer solchen Identitätssilo-Landschaft frustrierend. Nicht nur die angesprochenen „Cold Calls“ gehören dazu, sondern auch die Tatsache, dass man mit mehreren Personen im Callcenter einer Bank sprechen muss, bevor man die richtige Filiale findet. Auch die Erstellung von Berechtigungsnachweisen für verschiedene Dienstleistungen bei derselben Bank beeinflusst das Anwendererlebnis negativ.
Unternehmen sehen sich hohem Druck ausgesetzt, Technologien und Geschäftsmodelle kontinuierlich zu erneuern, um digitale Dienste bereitzustellen und diese zu verbessern. Während dieser Veränderungen entstehen unbeabsichtigt Identitätssilos, die sich schnell vervielfachen. Warum also gehen Unternehmen die Identitätssilos nur langsam an? Ein Hauptgrund sind Merger und Akquisitionen: Wenn ein Unternehmen ein anderes kauft, das bereits über eigene IAM-Systeme verfügt, ist sich der Käufer mitunter nicht im Klaren, welches IAM zum Einsatz kommt, oder zögert bei einer größeren Fusion, sich direkt mit dem Problem auseinanderzusetzen. Denn die Übertragung dieser Identitätssätze stellt im Normalfall ein zeit- und ressourcenintensives Unterfangen dar.
Allerdings wird die Umstellung alter IAM-Systeme auf eine einheitliche Lösung mit der Zeit nicht leichter, vor allem wenn das Unternehmen neue Angebote einführt und damit neue Anwender gewinnt. Der Umfang der Aufgabe und die damit verbundenen Kosten und der Zeitaufwand lassen viele Führungskräfte vor einer neuen Lösung zurückschrecken. Entwickler und Geschäftsbereichsleiter versuchen dann, die zentralisierte Lösung und den entsprechenden internen Genehmigungsprozess zu umgehen und kaufen lieber Produkte von der Stange, um die Einführung der Systeme zu beschleunigen. Im Laufe der Zeit entsteht dadurch eine Vielzahl sogenannter „Schattenidentitäten“ – alternative Identitätssysteme, die außerhalb des Zuständigkeitsbereichs des IT-Teams zum Einsatz kommen.
Für den betreffenden Geschäftsbereich endet damit das Problem der Identitätssilos; für das Unternehmen als Ganzes sind die Konsequenzen aber viel weitläufiger. Aus regulatorischer Sicht erhöhen Identitätssilos die Wahrscheinlichkeit, dass Unternehmen Datenschutzgesetze verletzen. Ohne eine einheitliche Sicht auf die Anwenderdaten wird ein Unternehmen nicht in der Lage sein, den Wünschen der Anwender nach Opt-outs oder einem Antrag auf Auskunftserteilung gemäß DSGVO zeitnah nachzukommen. Dies kann bei Verletzung der DSGVO unter Umständen zu einer Geldstrafe von bis zu vier Prozent des Jahresumsatzes führen.
Identitätssilos und eine fragmentierte Informationslandschaft gefährden aus Sicherheits- und Ressourcensicht auch Initiativen der digitalen Transformation. Organisationen mit vielen Identitätssilos haben Probleme, mit den neuesten Technologien, Compliance- und Sicherheitstrends sowie den damit zusammenhängenden Standards und Protokollen mitzuhalten. Dazu gehören unter anderem OAuth 2.0, gegenseitige TLS-Authentifizierung oder aktuelle Open-Banking-Standards.
Licht in die Schattenidentitäten bringen
In einem ersten Schritt gilt es deshalb, alle vorhandenen Identitätssilos und die bisherige Anwendererfahrung über alle Kanäle hinweg zu evaluieren. Die meisten Unternehmen, die solch einen Audit durchführen, sind überrascht, wie viele verschiedene Identitätssysteme sie nutzen. Sind die Silos einmal identifiziert, kann man analysieren, wo Reibungen entstehen.
Die nächste Phase wird meist den Einsatz eines zentralen IAM-Systems erfordern, das sich in bestehende Identitätssysteme, Anwendungen und neue punktuelle Lösungen integrieren lässt, die die IT-Abteilung einsetzen will. Zum Schluss kombiniert man die Erkenntnisse aus dieser vereinheitlichten Sicht, um eine anhaltende, kontextbasierte Autorisierung und Authentifizierung zu ermöglichen. So erhalten nur die Personen Zugang zu den Informationen, die dafür die Berechtigung haben. Gleichzeitig lässt sich die Kommunikation über die verschiedenen Touchpoints hinweg dank der neuen, einheitlichen Identitätslösung personalisieren.
Die digitale Wirtschaft wartet nicht
Steigende Anwendererwartungen hinsichtlich Nutzung und Datenschutz, mögliche strafrechtliche Konsequenzen bei Datenmissbrauch und rufschädigende Auswirkungen von Datenverstößen führen zu dem Schluss, dass Unternehmen ihre Augen nicht länger vor Identitätssilos verschließen sollten. Wenn es einem Unternehmen mit der digitalen Transformation wirklich ernst ist, dann muss ein klarer Überblick darüber herrschen, wo sich Identitätssilos befinden, wie viele es sind und wie sie sich über alle Kanäle auf die Kundenkommunikation auswirken. Ohne solch eine Übersicht werden sich Probleme in der Kundenansprache verschärfen, besonders wenn die Zahl der digitalen Dienste und Anwendungen, die das Unternehmen anbietet, stetig wächst. So übersieht man Wachstumsquellen leicht.
Peter Barker ist Chief Product Officer bei ForgeRock, www.forgerock.com.
Lesen Sie mehr zum Thema
