Alleine in Deutschland soll der Umsatz mit Cloud Computing von 1,14 Milliarden Euro im Jahr 2010 auf 8,2 Milliarden Euro im Jahr 2015 steigen. Dies ergab eine aktuelle Studie des Branchenverbands BITKOM und der Experton Group. Entsprechend entstehen hierzulande in diesem Zeitraum fast 40.000 neue Unternehmen und 789.000 Arbeitsplätze, so das Centre for Economics and Business Research (CEBR).
Jedoch warnt Forrester, dass die IT-Entscheider in Europa deutlich zurückhaltender bei der Nutzung von Cloud Services sind als in den USA. Hauptursache dafür ist die mangelnde Datensicherheit, gaben 60 Prozent der Befragten an.
Datenschutz bleibt wichtig
Damit andere Unternehmen oder Wirtschaftsspione nicht auf sensible Daten zugreifen können, sind diese mit Hilfe aktueller Technologien abzusichern. Neben herkömmlichen Schutzmechanismen wie die Eingabe von Name und Passwort spielen heute biometrische Maßnahmen, Smartcards oder Token eine immer wichtigere Rolle. Hinter all diesen Eingabe-Tools steht ein System zur Verwaltung der zugriffsberechtigten Personen und deren Zugangscodes.
Lösungen für dieses Identitätsmanagement (IdM) konzentrierten sich bislang auf die Verwendung in internen Netzwerken. Sie wurden zwar in den letzten Jahren für den Zugang von außen über Home Offices oder mobile Geräte sowie für berechtigte Partner erweitert, doch Cloud Services erfordern völlig neue Eigenschaften. So befinden sich die gespeicherten Daten nicht mehr auf lokalen Servern, sondern sind im Internet verteilt. Auch der Kreis der zugriffsberechtigten Personen kann sich wesentlich schneller ändern.
Vom Netzwerk zur Cloud
Die Arbeitsweise von IdM-Lösungen für interne Netzwerke und für Cloud-Dienste ist zwar grundsätzlich identisch. Doch herkömmliche Systeme sind bei der Nutzung für die Wolke schnell überfordert, da sie auf Technologien basieren, die Passwort-geschützte Benutzerkonten, Single-Sign-On, Federation, Provisioning und De-Provisioning nur in einem exakt definierten Unternehmensnetzwerk ermöglichen.
-
Federation verwaltet und überwacht zentral die digitalen Identitäten. Sie erleichtert die Einbindung externer Mitarbeiter und Partner in unternehmenseigene IT-Prozesse und sorgt umgekehrt für den einfachen Zugriff interner Mitarbeiter auf Applikationen und Dienste von Partnerunternehmen.
-
Provisioning erzeugt aus den personenbezogenen Daten eines neuen Mitarbeiters automatisch Benutzerkonten und Berechtigungen für alle von ihm benötigten Anwendungen. Die persönlichen Informationen werden dabei bestenfalls nur einmal eingegeben und von sämtlichen Systemen, Applikationen und Services übernommen.
-
De-Provisioning, User-Lifecycle Management & Password-Reset dienen der Löschung einer digitalen Identität, falls ein Mitarbeiter das Unternehmen verlässt. Diese Funktionen setzen auch Zugriffsdaten zurück, falls Passwörter, Geheimnummern oder Identitäten verloren gehen oder gestohlen werden.
Für die Umsetzung einer Cloud-fähigen Identity-Management-Lösung benötigt die interne IT-Abteilung durchschnittlich eineinhalb bis zwei Jahre. Die nachträgliche Erweiterung einer bestehenden Lösung um Cloud-Fähigkeiten ist ähnlich aufwändig und langwierig. Zusätzlich ist mit höheren laufenden Kosten für Training, Wartung, Software und Hardware zu rechnen. Dies gilt sowohl für die interne IT-Abteilung als auch für externe Berater.
Noch problematischer ist jedoch, dass durch die Anpassungen nicht eindeutig dokumentierter Schnittstellen Berechtigungskonflikte sowie provisorische Zwischenlösungen entstehen. Diese sorgen für neue Sicherheitslücken - mit jedem neu zu integrierenden Cloud-Service mehr.
Identitätsmanagement als Service
Bereits bei einer herkömmlichen IdM-Lösung fürchten vor allem kleine und mittlere Unternehmen hohe Anschaffungs- und Betriebskosten. Aber auch bei selbst entwickelten Ansätzen schätzen Analysten die jährlichen Administrationskosten pro digitaler Identität auf 85 Euro. So muss ein Unternehmen mit 100 Anwendern jedes Jahr 25.000 bis über 60.000 Euro für das Identitätsmanagement ausgeben - plus weiteren Kosten für die Integration diverser Hardware- und Softwarekonfigurationen oder die Unterstützung verschiedener Authentifizierungsverfahren.
Um die Kosten zu senken und die Sicherheit zu erhöhen, stehen nun Lösungen für Identity Management as a Service (IdMaaS) bereit. Diese stellen sämtliche Prozesse für Management, Überwachung sowie Analyse von Berechtigungen und Zugriffscodes je nach Bedarf in Echtzeit bereit.
Damit können Unternehmen die jeweils nötigen Funktionen schnell und flexibel nutzen - unabhängig davon, ob der Anwender intern oder von außen auf das System zugreift. Da spezialisierte Sicherheitsdienstleister diese Services entwickeln und aktualisieren, bieten sie bestmöglichen Schutz und lassen sich einfach in ein übergreifendes Sicherheitskonzept integrieren.
Vorteile einer IdMaaS-Lösung
IdMaaS-Lösungen sind zumeist in nur ein bis vier Monaten implementiert. Da die Skalierung immer auf dem aktuellen Bedarf basiert, sinken die Betriebskosten. Teure Anschaffungen von Hardware und Softwarelizenzen sowie der Aufwand für Schulungen und Updates entfallen. Zudem können Unternehmen damit schnell auf unterschiedliche Auftragslagen oder neue Kundenanforderungen und Geschäftsziele reagieren.
Davon profitieren vor allem große Konzerne mit internationalen Standorten sowie Unternehmen, die nach Fusionen oder Ausgliederungen sowie aufgrund von Kooperationen oder Joint Ventures eine schnell verfügbare Lösung für das Identitätsmanagement benötigen. Aber auch kleine und mittlere Unternehmen können erstmals eine umfassende, aktuelle Lösung für Identitätsmanagement nutzen, etwa für Geschäftstätigkeiten im Internet oder die Einbindung von Partnern in Arbeitsprozesse.
Wichtige Eigenschaften
Bei der Auswahl einer geeigneten IdM-Lösung ist einiges zu beachten. Sie sollte unbedingt sämtliche Prozesse für Erstellung, Prüfung und Überwachung der digitalen Identitäten zentral und automatisiert steuern. Nur so lässt sich ein umfassender, holistischer Ansatz für das Identitätsmanagement umsetzen, der alle Benutzergruppen sowie internen und externen Systeme abdeckt.
Dabei ist zu berücksichtigen, dass zum Beispiel der Verkauf von Büchern über das Internet andere Zugriffs-, Sicherheits- und Datenschutz-Richtlinien erfordert als die Nutzung von Konstruktionsplänen oder Patentanmeldungen durch Partner.
Zugänge regeln und Sicherheit garantieren
Bei einem Großauftrag oder einem Joint Venture benötigen viele neue interne und externe Mitarbeiter, Partner, Investoren oder Kunden einen exakt definierten und sicheren Zugriff auf geschützte Daten und Anwendungen der Firma. Daher sind neue Ressourcen zeitnah zu aktivieren und ausfallsicher bereitzustellen. Zudem sollte sich die IdM-Lösung durch hohe Interoperabilität einfach mit externen Systemen verbinden lassen.
Ebenfalls erfolgskritisch sind der Schutz vor externen Angriffen und internem Missbrauch sowie weitere Sicherheitsvorkehrungen. Das IdM-System muss sehr schnell und flexibel Security-Regelungen und Zugangsberechtigungen definieren und umsetzen können. Dabei sind für die Nutzer eine Mindest-Komplexität der Passwörter sowie der korrekte Umgang mit Zugangsdaten vorzuschreiben.
Zudem haben Unternehmen auf die Einhaltung von Compliance- und Datenschutz-Richtlinien zu achten. Die Maßnahmen müssen dabei ständig geprüft und aktualisiert werden.
Umfassender Ansatz
Ein aktuelles IdM-System identifiziert jeden internen und externen Anwender eindeutig und stellt ihm individuelle Zugriffsberechtigungen bereit. Dabei hält es sämtliche Sicherheitsregelungen ein und setzt diese durch, auch für Applikationen und Services außerhalb der eigenen Firewall.
Vergabe und Löschung digitaler Identitäten für Online- und Offline-Anwendungen sollten zentral verwaltet und gesteuert werden. Personenbezogene Informationen sind dabei automatisiert zu verteilen und zu synchronisieren. Single-Sign-On bietet dafür die größtmögliche Benutzerfreundlichkeit und hohe Sicherheit, da sich der Anwender nur einmal anmelden muss und eine einheitliche digitale Identität für sämtliche Zugriffs- und Nutzungsrechte besitzt.
Einen solchen umfassenden IdM-Ansatz nutzt zum Beispiel eine der größten Reiseagenturen weltweit. In Kombination mit einem zentralen Datenaustausch-Portal stellt sie einen sicheren und komfortablen Zugriff auf alle Dienste sowie über Single SignOn und Federated Identity Management auch auf Services von Partnern bereit. Der Kunde loggt sich nur einmal auf der Internetseite des Reiseunternehmens ein und erhält Zugang zu Flugverbindungen, Mietwagen-Angebote oder Hotelbuchungen. Diese externen Dienste von Partnern sind nahtlos in die Ausgangsseite integriert.
Sicherheit
Für eine höchstmögliche Sicherheit der IdM-Lösung sind folgende Punkte zu beachten: Zentral definierte Richtlinien müssen in Echtzeit und mit höchster Priorität über alle Applikationen hinweg automatisch umgesetzt werden - unabhängig davon, mit welchem Gerät und Zugang, von wo aus oder wann ein Zugriff erfolgt.
Automatisierte Workflows für die Verwaltung digitaler Identitäten sowie Tools zum schnellen Nachvollziehen getätigter Arbeitsschritte sind ebenfalls notwendig, zum Beispiel für umfassende Sicherheitsanalysen im Rahmen einer Betriebsprüfung. Eine klare, abgesicherte Trennung der Daten verschiedener Kunden ist ebenso selbstverständlich wie die Festlegung von Zielsetzungen und Vorgaben in Service Level Agreements.
Eine besondere Herausforderung an die Sicherheit stellt der Zugriff verschiedener Nutzer auf mobile Datenträger dar. Dazu zählen heute nicht nur Notebooks oder Smartphones, sondern zum Beispiel auch Autos: Der Fahrer schließt per Handy oder Web-Portal das Fahrzeug auf oder ab, Hersteller aktualisieren die Bord-Software per Fern-Zugang und das Auto nutzt Cloud Services wie Navigation und Tankstellensuche oder stimmt online Service-Termine mit Werkstätten ab.
Ein Tochterunternehmen eines weltweit tätigen Automobilherstellers hat sich daher für eine umfassende Portal- und IdM-Lösung entschieden. Diese bietet Fahrern, Herstellern oder Werkstätten einen sicheren Zugriff von außen per Web oder Smartphone auf die entsprechenden IT-Funktionalitäten im Fahrzeug.
Compliance
Endgeräte und Anwendungen müssen durchgängig auf die Einhaltung von Richtlinien sowie auf korrekte Funktionsweise geprüft werden. Dabei ist zu gewährleisten, dass alle gesetzlichen und betriebswirtschaftlichen Anforderungen für Audits, Protokollierung und Berichterstellung erfüllt werden. Dies gilt auch für eingebundene Dienstleister oder Partner sowie sämtliche digitalen Identitäten eines Anwenders.
Bestehende IT-Prozesse sind dabei so anzupassen, dass sich das IdM-System nicht umgehen lässt. Dieses meldet Regelverstöße sofort an Aufsichtspersonen, die auch automatisch über in Kürze ablaufende Zertifikate benachrichtigt werden.
Zum Beispiel haben Wirtschaftsprüfer eines großen Erdöl-Unternehmens aufgrund von Compliance-Richtlinien gefordert, dass dieses sämtliche Berechtigungen für externe Mitarbeiter zentral definiert und überwacht. Da der Konzern bis dahin noch keine IdM-Lösung eingesetzt hatte, aber die Vorgaben so schnell wie möglich umzusetzen waren, entschied er sich für IdMaaS.
Durch den Cloud-Ansatz ließ sich das umfassende Identitätsmanagement in nur wenigen Monaten einführen. Nun gewährleistet es den externen Zugriff auf Anwendungen und Informationen des Unternehmens gemäß aktueller Richtlinien.
Interoperabilität
Eine IdM-Lösung sollte sich einfach in die vorhandene IT-Infrastrukur eines Unternehmens einbinden lassen und bestehende IdM-Maßnahmen unterstützen. Daher muss sie offen, skalierbar und erweiterbar sein sowie alle üblichen Standards unterstützen. Dazu gehören vor allem Protokolle wie XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), SPML (Service Provisioning Markup Language), WS-Security und WS-Trust. Dies gewährleistet auch die Zukunftsfähigkeit der Lösung.
Eine besondere Herausforderung für die Interoperabilität eines IdM-Systems stellen kurzfristige Joint-Venture-Projekte dar. Zur nahtlosen Einbindung gemeinsam zu nutzender Online-Anwendungen und Server-Applikationen muss die Lösung zahlreiche verschiedene Schnittstellen und Kommunikationsprotokolle einbinden sowie mögliche Berechtigungskonflikte schnell lösen können.
Fazit
Zur Verwendung von Cloud Services benötigen Unternehmen eine umfassende Lösung für Identitätsmanagement, die neue Nutzer und Anwendungen schnell und einfach integrieren kann. Durch die Auslagerung von IdM in die Cloud nutzen sie die Vorteile von Software-as-a-Service auch für das Management digitaler Identitäten und entsprechender Zugriffsrechte. IdMaaS-Lösungen sind ohne großen Personal- und Kostenaufwand einsetzbar, bieten umfassende Funktionen und werden zentral von spezialisierten Sicherheitsdienstleistern aktualisiert.