IAM-Lösungen

„Der Cloud gehört die Zukunft“

Im Interview erläutert Sven Kniest, Regional Vice President Central and Eastern Europe bei Okta, wie Identity und Access Management aus der Cloud für eine dynamische Workforce sorgen kann.

Sven Kniest von Okta

„Identity wird mit der Digitalisierung immer wichtiger“, betont Sven Kniest von Okta.

MOB: Herr Kniest, wpätestens seit Corona arbeiten deutlich mehr Menschen im Home Office oder haben die Möglichkeit, ihre Arbeit flexibler und dynamischer zu gestalten und von unterschiedlichen Orten aus auch mobil zu arbeiten. Was bedeutet das für die IT-Security im Unternehmen?
Sven Kniest:
Für die IT-Sicherheit bedeutet dies, dass das Thema „Access“ stärker in den Vordergrund rückt. Unternehmen nutzen für ihre mobile Workforce eine immer größere Anzahl von Cloud-Anwendungen und -Diensten und müssen Mitarbeitern jederzeit und von überall einen sicheren Zugriff auf Anwendungen und Inhalte über verschiedene Geräte ermöglichen – Stichwort „Bring Your Own Device“. Das stellt die IT vor neue Herausforderungen. Während früher der Zugang zum Internet über das Unternehmensnetzwerk der einzige Zugriffspunkts auf das Unternehmen war, wird der Perimeter nun durchlässiger und bietet eine Vielzahl neuer Eingangspunkte, die alle gesichert werden müssen.

Forrester hat in diesem Zusammenhang bereits 2010 den Begriff „Zero Trust“ geprägt. Die Analysten nehmen Abstand von der Idee eines „Trusted Network“ innerhalb eines definierten Unternehmensperimeters, bei dem „innen“ generell als „sicher“ und „außen“ als „unsicher“ gilt. Die Devise lautet: Vertraue grundsätzlich erst einmal niemanden! Entscheidend ist nicht mehr, ob sich die Person, das Gerät oder die Anwendung, die Zugriff fordert, im Unternehmensnetzwerk befindet, sondern die Beantwortung der Frage: Wer bist du und darfst du das? Eine traditionelle Firewall kann das nicht leisten. Hier kommt Identity und Access Management (IAM) ins Spiel. IAM-Lösungen verwalten die digitalen Identitäten und deren Zugriffe auf die verschiedenen Anwendungen und Systeme. Um IT-Risiken auf ein Minimum zu reduzieren, kommen dabei Zero-Trust-Prinzipien zum Einsatz. Es werden geringstmögliche Berechtigungen vergeben und der Zugriff wird nur gewährleistet, wenn er wirklich erforderlich ist.

Wie wichtig der Schutz der digitalen Identität für die IT-Security im Unternehmen ist, haben die letzten Monate verstärkt gezeigt: Hacker nutzten die Corona-Krise für großangelegte Identity-Attacken. Seit Ende Februar ist die Zahl der Phishing-Angriffe um ganze 667 Prozent angestiegen. Viele Unternehmen hat der Wechsel ins Home Office „kalt erwischt“. Ein gefundenes Fressen für Cyberkriminelle. In vielen Fällen kamen VPN-Lösungen zum Einsatz, um Mitarbeitern im Home Office Zugang zu nötigen Applikationen zu geben. Dieser Zugriff auf das Unternehmensnetzwerk wurde häufig jedoch nicht ausreichend gesichert. Passwörter als einzige Authentifizierungsfaktoren zur Feststellung der Identität sind extrem anfällig für Missbrauch. Und ist dieser „Burggraben“ erst einmal untertunnelt, stehen Hackern oftmals Tür und Tor offen.

Dass Unternehmen in Sachen „IT-Sicherheit“ für Remote Work und Home Office noch Nachholbedarf haben, zeigt eine aktuelle Studie von Okta: Lediglich 18 Prozent der Befragten in Deutschland hatten zu Beginn der Pandemie vollstes Vertrauen, dass die von ihrem Arbeitgeber eingesetzten Online-Sicherheitsmaßnahmen sie im Home Office vor Cyberangriffen schützen. Die Themen „Access“ und „Schutz der digitalen Identität“ müssen bei der Planung der IT-Security-Strategie zukünftig stärker in den Fokus rücken, denn eines ist sicher: Dynamischen und ortungebundenen Arbeitsmodellen gehört die Zukunft.

MOB: Welche Bedeutung hat Identität in der Digitalisierung?
Kniest:
„Identity“ wird mit der Digitalisierung immer wichtiger. Zum einen kommen mehr und mehr Cloud-Dienste und Geräte zum Einsatz, die eine Authentifizierung und Anmeldung erfordern, zum anderen sind personenbezogene Daten omnipräsent: Namen, E-Mail-Adressen, Kontodaten und Co. werden bei Online-Händlern, Newsletter-Anmeldungen oder Cloud-Services hinterlegt. Kriminellen bieten sich unzählige Möglichkeiten, Informationen und Daten zu sammeln, digitale Identitäten zu stehlen und sich so unbefugten Zugang zu Netzwerken, Anwendungen und Inhalten zu verschaffen. Je digitaler Unternehmen sich aufstellen, desto wichtiger ist folglich der Schutz der digitalen Identität.

Mindestens genauso wichtig ist jedoch, dass alle beteiligten Stakeholder – Mitarbeiter, Kunden und Geschäftspartner – darauf vertrauen können, dass Unternehmen wirklich in der Lage sind, diesen Schutz sicherzustellen. In diesem Zusammenhang spricht man von „Digital Trust“. Die Idee dahinter ist, Datenschutz und -sicherheit sowohl aus Unternehmens- als auch aus Anwendersicht derart in ein Produkt oder eine Dienstleistung einzubringen, dass im Ergebnis beide Seiten profitieren. Identität und deren Schutz ist also kein reines IT-Security-Thema, sondern auch ein geschäftsstrategisches: Als Kunde oder Mitarbeiter sind wir eher gewillt, unsere Daten zur Nutzung eines Dienstes zu teilen, wenn wir darauf vertrauen können, dass unsere digitale Identität geschützt ist. Unternehmen schaffen durch den Schutz der Identität nicht nur die Grundlage für eine produktive und sichere Workforce, sondern auch für langfristige Kundenbindungen und erfolgreiche Geschäftsmodelle.

MOB: Welche Maßnahmen sollten Unternehmen und IT-Verantwortliche ergreifen, um die Identität der Mitarbeiter zu schützen und einer mobilen und dynamischen Workforce sicheren Zugang zu Applikationen und Systemen zu gewähren?
Kniest:
Das Konzept „Zero Trust“ hatten wir schon angesprochen: Zugriffe müssen konstant validiert werden. Dies bedeutet, Informationen von verschiedenen Quellen in diese (automatisierte) Überprüfung miteinzubeziehen. Neben dem Standort und der Person sind hierbei immer mehr auch Geräteinformationen entscheidend, z.B. von Device-Management-Lösungen. Dies bedeutet, dass Zero-Trust-Konzepte darauf basierend die Daten vieler sogenannter Sensoren in Echtzeit zentral für die Zugriffsgewährung nutzen können. Auch Künstliche Intelligenz (KI) spielt hierbei eine Rolle: Dabei können unlogische Zugriffe – wie z.B. der Zugriff der gleichen Person innerhalb kurzer Zeit von zwei weit voneinander entfernten Standorten – unterbunden oder mit einem weiteren Faktor bei der Anmeldung abgesichert werden. Auch Zugriffe durch bekannte „Malicious“-IP-Adressen können verneint und kompromittierte Accounts ausgeschaltet werden.

Die wenigsten Unternehmen sind jedoch in der Lage, selbst mit einem vertretbaren Aufwand eine IAM-Lösung zur Umsetzung eines Zero-Trust-Konzepts zu betreiben, die den Anforderungen an Konnektivität Rechnung trägt und dabei gleichzeitig sicher und hochverfügbar ist. Diese Faktoren werden jedoch insbesondere in B2C-Szenarien, also im Kundenkontakt, immer wichtiger, denn Sicherheit, Schnelligkeit und Komfort sind die entscheidenden Kriterien für die Customer Experience und damit für die Kundenbindung und den Unternehmenserfolg im digitalen Umfeld. Daher greifen immer mehr Unternehmen auf spezialisierte IDaaS-Anbieter (Identity as a Service) zurück.

Gartner prognostiziert, dass ab 2022 80 Prozent aller Access-Management-Projekte mit IDaaS umgesetzt werden und die meisten Unternehmen und Organisationen nur noch eine einzige IAM-Plattform für Mitarbeiter, Partner und Kundenidentitäten nutzen werden.

MOB: In Europa war das Vertrauen in Cloud-Lösungen in der Vergangenheit eher verhalten. Inwiefern hat sich die Wahrnehmung diesbezüglich seit Covid-19 verändert? Wie stehen Unternehmen heute dem Identity Access Management aus der Cloud gegenüber?
Kniest:
Ein Blick auf die in diesem Jahr getätigten IT-Investitionen zeigt: Seit Corona boomt die Cloud. Die weltweiten Investitionen für Cloud-Infrastrukturdienste erreichten im 1. Quartal 2020 ein Rekordhoch und stiegen um 34 Prozent auf 31 Mrd. US-Dollar. Die Anzahl der eingesetzten Cloud-Dienste ist sprunghaft angestiegen, genau wie die Nutzungsintensität.

Der Grund liegt auf der Hand: Es musste schnell gehen. Viele Unternehmen haben sich entgegen der oft noch vorherrschenden Skepsis für die Cloud entschieden bzw. entscheiden müssen und im Hinblick auf ihre Technologieplattformen kurzerhand einen rigorosen „Cloud First“-Ansatz ausgerufen. Dieser Mut wurde belohnt, hat Augen geöffnet und Vorbehalte abgebaut: Unternehmen konnten ihre Produktivität aufrechterhalten, die eingesetzten Lösungen flexibel skalieren und schnell auf Veränderungen, wie z.B. krisenbedingte Anpassungen des Geschäftsmodells und eine dezentrale Workforce, reagieren. Die Cloud hat funktioniert und damit für viele Unternehmen die Feuertaufe bestanden. Angesichts dieser Entwicklung und dem Mindshift der damit einherging, ist es für viele Unternehmen nur konsequent und logisch, dass auch ihre IAM-Plattform nicht mehr in der alten „On-Premises-Welt“ aufgebaut wird, sondern als Cloud-native Lösung. Die letzten Monate haben also gezeigt: Der Cloud gehört die Zukunft – auch im Bereich I„dentity und Access Management“.

Bildquelle: Okta

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok