Klassische Lösungen für die Identitäts- und Zugriffsverwaltung (IAM) halten kaum Schritt mit den Anforderungen an eine nahtlose Migration, diverse Identitätsquellen, sich ändernde Workflows und die Sicherheit.
Nutzer stellen sich im Zusammenhang mit digitalen Identitäten zahlreiche Fragen: Wird jedes Unternehmen meine digitale Identität nutzen, um mich zu authentisieren? Muss ich mir Sorgen machen, mit einer Lösegeldforderung konfrontiert zu werden, wenn meine Daten zentral gespeichert sind? Wer ist für die Durchsetzung der gesetzlichen Vorgaben zuständig?
Zeit, eine neue Ära einzuläuten: Identity Fabrics.
Was ist ein Identity Fabric?
Identity Fabric ist ein zentraler Ansatz zur Verwaltung digitaler Identitäten. Er ermöglicht eine Gesamtsicht aller Nutzer und von deren Zugriffsrechten. Er nimmt sich zudem den aktuellen Herausforderungen an, indem er einen sicheren, nahtlosen und kontrollierten Zugang zu jedem Online-Dienst gewährleistet.
Identity Fabrics besitzen Eigenschaften, die sie von klassischen IAM-Lösungen unterscheiden. Da es sich um eine neue Vision bzw. ein neues Framework handelt, begegnet es den brandaktuellen Herausforderungen: Es gewährleistet jeder beliebigen Identität den kontrollierten Zugang zu jedem Online-Dienst. Identity Fabrics bieten eine Gesamtsicht aller Nutzer und von deren Zugriffsrechten. Damit ermöglichen sie nicht nur Unternehmen eine laufende Beurteilung ihrer Identitätsrisiken, sondern gewährleisten auch die Sicherheit der Nutzer.
Erfahren Sie hier von Olivier Pallière, Principal Identity Architect, wie Sie die Integration von Identity Fabrics in Ihre Geschäftsprozesse kritisch beurteilen, und zwar zum richtigen Zeitpunkt. An der Global Cyber Conference wird Olivier Pallière einen tieferen Einblick in das Thema geben.
1. Die Identität ist heute wohl der kritischste Sicherheitsfaktor. Wie steht es um die Entwicklung digitaler Identitäten und wie wirken sie sich auf die Geschäftsprozesse aus?Die digitale Identität entwickelt sich zum entscheidenden Element einer Online-Infrastruktur. Denn jedes Unternehmen muss seine Kunden identifizieren. Was zunächst eine Möglichkeit war, das Kundenerlebnis persönlich zu gestalten oder einen Warenkorb zu speichern, ist mit zunehmender Nutzung stärker reguliert worden. Identitätsfälschungen (Spoofing) und -betrug beispielsweise nehmen online ein ungeahntes Ausmass an und zeigen, wie dringend notwendig eine stärkere Identitätsprüfung ist.
Unser Leben verlagert sich je länger je mehr ins Internet. Deshalb ist es wichtig, dass wir das, was wir im echten Leben als normal betrachten, zu unserer Normalität in der digitalen Welt machen – zum Beispiel staatlich ausgestellte fälschungssichere Dokumente oder Nachvollziehbarkeit/Verantwortlichkeit.
«Identity Spoofing und -Betrug beispielsweise nehmen online ein ungeahntes Ausmass an und zeigen, wie dringend notwendig eine strengere Identitätsprüfung ist.» Olivier Pallière |
|
2. Wie definierst du Identity Fabric?
Identity Fabric ist eine Vision bzw. ein neues Framework zur Verwaltung digitaler Identitäten. Es nimmt sich den aktuellen Herausforderungen an und gewährleistet jeder beliebigen Identität – ob Mitarbeitende, Partner, Kunden oder Dinge – den sicheren, nahtlosen und kontrollierten Zugang zu jedem Online-Dienst.
Es handelt sich um einen zentralen Ansatz, der ein Gesamtbild aller Nutzer und von deren Zugriffsrechten vermittelt und so für sichere Identitäten sorgt. Das hilft, die Identitätsverwaltung zu vereinfachen und das Risiko von unbefugten Zugriffen zu senken. Die Methode ermöglicht es zudem, logische IAM-Infrastrukturen zu gestalten.
3. Identity Fabric ist also ein Ansatz, der verschiedene Identitätsarten als miteinander verknüpfte Threads anstatt getrennt behandelt. Wie ermöglicht dieser ganzheitliche Ansatz einem Unternehmen eine verlässlichere Risikobeurteilung und Entscheidungsfindung?
Identity Fabrics vermitteln einen einheitlichen und umfassenden Überblick über die Identitätslandschaft und helfen Unternehmen somit dabei, fundierte Entscheidungen zu treffen und die Einhaltung von Vorschriften zu verbessern.
Es ist mit einem zentralen Dashboard deutlich einfacher, laufend die Identitätsrisiken zu beurteilen und auf Vorfälle zu reagieren, als diese Übung für jede einzelne Silo-Komponente durchzuführen.
4. Identity Fabrics erleichtern die Integration verschiedener Identitätsdienste und -technologien. Wie unterstützt eine solche Integration CIOs und CISOs dabei, Identitäten und Zugriffskontrollen in einem komplexen digitalen Umfeld effizient zu verwalten?
CIOs und CISOs profitieren von der ganzeitlichen Sicht, die ein Identity Fabric ermöglicht.
Ein zentrales Feature ist die einheitliche Darstellung der Identitätsdaten in den miteinander verknüpften Diensten. Diese Darstellung erleichtert die Authentisierung, die Autorisierung und das Accounting (AAA Triad). Sie ermöglicht es zudem, Governance-Fragen wirksam anzugehen.
Beispielsweise macht es das Arbeiten von zuhause aus unter dem Gesichtspunkt der Sicherheit viel einfacher, da man sich von der Perimetersicherheit lösen kann, bei der alle Mitarbeitenden im Büro sein und mit bestimmten Geräten arbeiten müssen.
5. Ein berühmtes Zitat von Bruce Schneier lautet: «If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.» Inwieweit stimmst du dem im Zusammenhang mit Identity Fabrics zu und wie sollten Unternehmen die Einführung neuer Technologien anpacken?
Ich stimme dieser Aussage voll und ganz zu! Technologie kann ein mächtiges Werkzeug sein, ist aber keine Wunderwaffe. Im besonderen Zusammenhang mit Identity Fabric müssen die damit allenfalls eingegangenen Risiken mit neuen Sicherheitskontrollen analysiert und gesenkt werden. Die Devise sollte für Unternehmen dieselbe sein wie bei jeder anderen Technologie: Bau dir das Wissen auf, beginne klein und sei für Änderungen gewappnet.
Ein typisches Beispiel: zu glauben, dass Identity Fabric ein Tool ist, das sich in jedem beliebigen Unternehmen installieren lässt. Es ist wichtig zu verstehen, dass ein Identity Fabric für jedes Unternehmen einzigartig ist und eine spezifische Implementierung erfordert.
6. Wie schätzt du die künftige Entwicklung von Identity Fabrics und deren Auswirkung auf die Cybersecurity im Allgemeinen ein?
Identity Fabrics sind bestens für die Herausforderungen der Zukunft gerüstet. Denn sie weisen gegenüber klassischen Identitätsarchitekturen zahlreiche Vorteile auf: Sie sind zum Beispiel sicher, flexibel, skalierbar und kosteneffizient.
Insbesondere die vermehrte Nutzung von Cloud Computing und des Internet of Things wird die Nachfrage befeuern. Schliesslich müssen sämtliche Geräte und Nutzer laufend authentisiert und autorisiert werden. Ein weiterer Treiber sind die immer zahlreicheren Datenschutzvorschriften, die einen zentralen Datenspeicher für Identitätsdaten und Sicherheitskontrollen erfordern.
Das Cybersecurity-Umfeld hat sich massiv verändert. Covid war ein regelrechter Katalysator. Es machte die Arbeit von zuhause aus zur Normalität, wobei vor allem junge Menschen das Arbeiten ausserhalb des Büros als selbstverständlich betrachten. Es findet gerade ein Paradigmenwechsel statt: Wir passen uns nicht mehr der Sicherheit an, die Sicherheit passt sich unserem Verhalten an.
7. Identity Fabric und Zero Trust sind zwei unterschiedliche Methoden, Unternehmensressourcen zu verwalten (eine mit Fokus auf Identitäten, die andere auf Daten). Eignet sich eine einzelne Lösung für jedes Unternehmen?
Identity Fabric und Zero Trust schliessen sich nicht gegenseitig aus, sondern ergänzen einander. Identity Fabric vermittelt einen Überblick über alle Nutzer und deren Zugriffsrechte, was die Komplexität senkt. Zero Trust gewährleistet, dass weder Geräten noch Nutzern vertraut werden kann, was die Sicherheit erhöht.
Nicht jedes Unternehmen ist in der Lage, einen solch hybriden Ansatz zu implementieren. Das hängt von diversen Faktoren ab wie der Grösse eines Unternehmens oder dessen Komplexität, Sicherheitsanforderungen, technischem Wissen oder Budget.
8. Oft führen ungenügende Identitäts- und Zugriffskontrollen zu Datenschutzverletzungen. Wie kann ein Unternehmen einem Nutzer Zugriff gewähren, ohne ein Sicherheitsrisiko einzugehen?
Gemäss einem Bericht von Verizon sind in 81% der Fälle schwache oder gestohlene Berechtigungsnachweise die Ursache von Datenschutzverletzungen. Eine einfache, aber wirksame Methode dagegen ist eine Multifaktor-Authentisierung wie FIDO2, die biometrische Identifikatoren nutzt.
Neben den technischen Massnahmen ist auch der Compliance- und der Governance-Aspekt zu beachten. Die Durchsetzung einer Last-Privilege-Richtlinie senkt das Risiko ebenfalls, da sie den unberechtigten Zugriff standardmässig unterbindet. Nicht zu vergessen: Zugriffsrechte müssen regelmässig neu beurteilt und angepasst werden.
Wir wissen nun, dass Identity Fabrics überzeugende Vorteile haben: eine ganzheitliche Sicht der Nutzer und ihrer Berechtigungen, eine einfachere Risikobeurteilung sowie sicheren, nahtlosen und kontrollierten Zugriff auf jeden Dienst usw. Damit sind sie klassischen Identitätsarchitekturen zwei Nasenlängen voraus und bestens für künftige Herausforderungen gerüstet.
Schliesslich hat sich das Cybersecurity-Umfeld nicht zuletzt angetrieben durch Covid grundlegend verändert. Es findet derzeit ein Paradigmenwechsel statt: Wir passen uns nicht mehr der Sicherheit an, die Sicherheit passt sich unserem Verhalten an.
Welchen besseren Grund könnte es für Sie geben, Ihre Geschäftsprozesse angesichts der Einschränkungen traditioneller IAM-Lösungen zukunftssicher zu machen?