Invasion der Geräte und Apps

IAM in Zeiten des IoT

Identity and Access Management entwickelt sich zur Kernaufgabe für die IT: Neben Hunderten oder Tausenden von Mitarbeitern greifen künftig Hunderttausende oder Millionen von Kunden, Maschinen und Applikationen auf die Unternehmenssysteme zu.

Identity and Access Management (IAM) ist ein wichtiger Bestandteil einer umfassenden IT-Security-Strategie von Unternehmen. Das Ziel: den kontrollierten Zugriff auf bestimmte, besonders schutzbedürftige Daten und Applikationen gewähren. Bedienerfreundlichkeit und Effizienz sind weitere wichtige Nutzenaspekte. Spätestens in Zeiten von Cloud- Computing wird IAM zur Schlüsselfrage. Denn die Zahl möglicher Zugänge zu Anwendungen und Geräten steigt massiv. Von 2011 bis 2016 wuchs der Anteil der Unternehmen, die Cloud-Dienste nutzen, von 28 Prozent auf 65 Prozent, wie der Cloud Monitor 2017 von Bitkom Research ergab. „Viele Anwender haben bereits auf eigene Faust Speicher-, Marketing- oder Officeanwendungen wie Dropbox oder OneNote als Cloud Services gebucht“, sagt Thomas Reeb, Head of Sales & Marketing bei econet, einem Unternehmen der direkt gruppe. „Jetzt müssen die IT-Verantwortlichen neben der Intransparenz der eigenen Systeme auch noch das Phänomen Schatten-IT bewältigen. Und das, während die Compliance-Anforderungen ständig steigen.“

Mit dem rasanten Anstieg der Cloud-Nutzung verändern sich die Anforderungen an Identity- und Access-Management

Basis: Alle befragten Unternehmen (2016: n = 554; 2015: n = 457; 2014: n = 458; 2013: n = 403, 2012: n = 436; 2011: n = 411) Quelle: Bitkom Cloud Monitor 2017

 

Als weiterer Zukunftsmotor für IAM-Vorhaben könnte sich das Internet der Dinge entpuppen. Bis zum Jahr 2020 sollen laut den Marktforschern von Gartner rund 20 Milliarden vernetzte Devices den Planeten bevölkern. Sicher werden nicht alle von der Unternehmens-IT gemanagt werden müssen, aber denkt man an Steuergeräte oder komplette Anlagen im Umfeld von Industrie 4.0, ist ein sicheres Verwalten ein Muss.

Compliance treibt IAM-Nachfrage

Tatsächlich sind nach Einschätzung von Reeb dann auch gesetzliche Verordnungen die Treiber für die Beschäftigung mit IAM – derzeit vor allem das deutsche IT-Sicherheitsgesetz und die Datenschutzgrundverordnung der Europäischen Union (EUDSGVO). „Die Datenschutzgrundverordnung greift ab Mai 2018 mit empfindlichen Strafen. Vier Prozent vom Gesamtumsatz bei Verstoß – das rüttelt die Entscheider wach“, sagt Reeb. Hinzu kommen branchen- und unternehmensspezifische Compliance-Regeln.

Beispiel Automobilindustrie: Wer just-in-Sequence liefern muss, um im Geschäft zu bleiben, hat ein vitales Interesse daran, dass zunächst keine externen Hacker Zugang zu den Logistik-Systemen haben. Das kann IAM nicht verhindern, aber es sorgt dafür, dass intern keine Unberechtigten auf Ressourcen und Daten zugreifen können. „Das ist der größte Thread des Internet of Things (IoT), dass bei einem Hackerangriff der Durchgriff auf die Produktionssysteme möglich sein könnte. Darum will das keiner richtig angehen“, konstatiert Thomas Reeb.

Wer übernimmt die Verantwortung?

Kein Wunder also, dass Unternehmen es oft nicht so eilig haben mit dem IoT: Einer Studie der Computerwoche zufolge haben bis 2016 nicht einmal 15 Prozent der befragten Unternehmen erste IoT-Projekte abgeschlossen oder produktiv umgesetzt. Zwar fänden es Hersteller von Elektrowerkzeugen oder Waschmaschinen interessant, auch nach dem Verkauf mit den digitalen Identitäten ihrer Produkte vernetzt zu bleiben. So könnten beispielsweise Zusatzangebote auf das Display des Geräts geschickt werden. Nutzungsdaten ließen sich für die Predictive Maintenance und die Entwicklung neuer Funktionen und Services nutzen. Doch wer übernimmt die Verantwortung für eventuelle Schäden beim Kunden, wenn Hacker die Verbindung zum Netz des Herstellers benutzen, um Geräte zu manipulieren?

IT-Abteilung den Rücken freihalten

„Wir bei econet adressieren zukünftig solche Szenarien mit unseren IAM-Lösungen“, erklärt Thomas Reeb. „Dass das funktioniert, haben wir schon in der Vergangenheit bewiesen, als wir Telefonanlagen mit 450 000 Ports weltweit mit unserer Software verwaltet haben.“

Die IAM-Experten der direkt gruppe automatisieren die Rechteverwaltung für das Gros der IT-Ressourcen und „Benutzer“. So erhalten Mitarbeiter, Kunden, Partner, Applikationen, Sensoren, Maschinen und andere Endgeräte einen geregelten Zugriff auf benötigte IT-Ressourcen und – zukünftig immer häufiger – auf Services. Gleichzeitig hat die IT-Abteilung den Rücken frei, Security-Konzepte zu entwickeln, Compliance-Vorgaben umzusetzen und digitale Geschäftsprozesse zu unterstützen.

Strategische Bedeutung erkannt

Tatsächlich haben viele Unternehmen die Bedeutung von IAM erkannt. Das zeigt die aktuelle Studie „State of organizations: Does their IAM meet their needs in the age of Digital Transformation?“ von KuppingerCole, wonach fast 87 Prozent der Befragten ein leistungsfähiges IAM-System als Erfolgsfaktor für die Digitale Transformation ansehen. Dennoch fehlt es oft noch am Bewusstsein für die Auswirkungen über die IT-Sicherheit hinaus, meint Carlo Velten, CEO und Senior Analyst bei Crisp Research: „Die Digitalisierung der Geschäftsprozesse wirft ganz neue Fragen auf. Wenn beispielsweise nicht mehr nur ein paar tausend Mitarbeiter, sondern auch hunderttausende oder Millionen vernetzter Endgeräte oder Apps auf die Unternehmensnetze zugreifen, dann ist das nicht nur ein Sicherheitsthema. Auch die Performance der IAM-Systeme und die Lizenzkosten sind davon betroffen.“

Ressourcen in Echtzeit freischalten

Vor allem aber müssen IT-Abteilungen Ressourcen für Applikationen und Geräte binnen Stunden oder Minuten oder sogar in Echtzeit freischalten können, um wettbewerbsfähig zu bleiben. Denn im IoT, davon ist Velten überzeugt, wird die digitale Identität zum vielleicht wichtigsten Kanal für Cross- und Upselling: „Neue oder zusätzliche Funktionen von Produkten und Services werden auf Basis innovativer Algorithmen angeboten, konfiguriert, bereitgestellt und abgerechnet. Das geht nur mit der Automatisierung von IAM.“ Die Automatisierung sorgt zum einen dafür, dass die definierten Prozesse bei der Berechtigungsfreigabe eingehalten werden. Zum anderen entlastet sie die IT von aufwendiger Routinearbeit. „Automatisieren heißt vor allem standardisieren“, betont Thomas Reeb. „Hier müssen die Unternehmen ihre Prozesse weiter optimieren, denn Wildwuchs lässt sich nicht automatisiert und sicher verwalten.“

www.computerwoche.de/g/iot- studie2016,116845,3#galleryHeadline
www.kuppingercole.com/report/ ms74003


Dieser Artikel erschien in der direkt informiert 03/2017. Weitere Artikel aus der Ausgabe lesen Sie hier: direkt informiert 03/2017, Schwerpunkt: Sicherheit