Das Jahr der Identity-Datenadministration Die sechs wichtigsten Prognosen der Identitätsbranche für 2021

Die digitale Gesellschaft befindet sich in einer Vertrauenskrise und fordert Rechenschaft über den Schutz der Privatsphäre. Das Ausmaß, mit dem Tech-Unternehmen Daten sammeln, hat einen neuen Höhepunkt erreicht, und die Endanwender verlieren das Vertrauen in die Fähigkeit der Dienstleister, ihre Daten mit Bedacht zu verwalten. Betrachtet man diese Situation gemeinsam mit den weitreichenden globalen Veränderungen durch die Pandemie im Jahr 2020 (einschließlich der massiven Verlagerung der Arbeit ins Home-Office und des explosionsartigen Wachstums des E-Commerce), wird klar, dass in der kommenden Zeit das Identitäts- und Zugriffsmanagement eine nie dagewesene Bedeutung erlangen wird.

Welche Entwicklungen der IAM-Branche stehen an, damit sie den wachsenden Anforderungen an das Identitätsmanagement gerecht werden kann? Ich werde mich mit anderen Identity-Experten von Ping austauschen, und gemeinsam werden wir uns eingehend mit den wichtigsten Tendenzen für dieses Jahr befassen. Einige von uns beschäftigen sich vornehmlich mit Themen des Datenschutzes, andere wiederum mit Identitätssicherheit und wieder andere mit der Benutzererfahrung, aber alle wir sind uns darin einig, dass tiefgreifende Veränderungen anstehen.

Die Endanwender verlangen, dass Unternehmen nicht nur ihre Daten schützen, sondern auch die für sie vorgesehenen Erfahrungen individuell anpassen und zur selben Zeit Selfservice-Technologien anbieten, die dem einzelnen Benutzer die Kontrolle über die Weitergabe von Informationen geben. Mein Kollege Loren Russon, Vize President des Bereichs Product Management, bemerkte dazu, dass diese Tendenz schon seit längerem spürbar sei und viele Unternehmen bereits millionenschwere Renditen durch ihre Investitionen in Initiativen zur Verbesserung der Benutzererfahrung erwirtschaften konnten.

Gleichzeitig haben eben diese Unternehmen Einsparungen in Millionenhöhe erzielt, indem sie potenzielle Datenschutzverletzungen und die damit verbundenen, verheerenden Rufschädigungen und immensen Kosten verhindert haben. Das Identitäts- und Zugriffsmanagement wird einen entscheidenden Beitrag leisten, wenn die Führungskräfte in Unternehmen ihre Verantwortlichkeit für den Schutz und die sichere Nutzung der Daten ihrer Kunden in eine positive Richtung lenken möchten, indem sie ihre Fähigkeiten der Datenverwaltung stärken.

Ein gutes Beispiel finden Sie im Gesundheitswesen. Baber Amin, CTO West, geht von einer vielversprechenden Entwicklung der Personalisierung im Gesundheitswesen aus, getragen durch individuelle Versorgungspläne, die Data Science nutzen, um eine maßgeschneiderte Gesundheitsversorgung des Einzelnen zu ermöglichen und gleichzeitig die Kosten bei mehr Transparenz zu senken. In dem Maße, wie die Technologieunternehmen mit Initiativen wie Amazon Halo in das öffentliche Gesundheitswesen vordringen, werden wir einen stärkeren Fokus auf den Datenschutz erleben, da mehr Dienste digital bereitgestellt werden. Damit gehen ein stärkeres Ineinandergreifen der Funktionen im öffentlichen Gesundheitswesen und eine Straffung der FDA-Verfahren einher.

Außerdem werden sich effiziente, nutzerorientierte Identitätsprozesse und -dienste im Jahr 2021 zu einem Alleinstellungsmerkmal entwickeln. Mark Perry, CTO von APJ, weist darauf hin, dass das derzeit noch befremdlich anmutende Konzept des Übergangs zu verteilten Identitäten (bei denen der Benutzer den Zugriff auf seine Identitätsdaten kontrolliert) bald Realität sein wird. Diese Realität rückt näher, da nationale und regionale Regierungen weltweit auf digitale Identitätsdienste umsteigen, beginnend mit digitalen Lizenzen.

Dieser Trend, dem Benutzer mehr Macht über die Weitergabe über seine eigenen Daten zu geben, lässt sich wie folgt zusammenfassen:

2021 wird das Jahr sein, in dem die Verbraucher mehr Kontrolle über ihre personenbezogenen Daten und deren Verwendung und Weitergabe fordern werden. Insbesondere die Branche der Identitätssicherheit wird Fortschritte machen, um sich dieser Forderung mithilfe von neuen Frameworks der „persönlichen Identität“ anzupassen, die den Verbrauchern die Kontrolle über ihre Identitäten und die Wahl der Attribute überlassen, die an Serviceprovider weitergegeben werden dürfen. 

Wenn wir den Menschen zugestehen, selbst darüber zu entscheiden, welche spezifischen Daten und Identitätsattribute sie mit Apps teilen möchten, und sie ihre Identität überprüfen können, ohne mehr als nötig zu offenbaren, können wir dem jetzigen Zustand, in dem exzessive Mengen personenbezogener Daten beim Erledigen alltäglicher Aufgaben preisgegeben werden, ein Ende setzen.

Im Jahr 2020 wurde Zero Trust von einem Schlagwort zu einer Strategie. Im Jahr 2021 wird sich diese Tendenz verstärken, wobei die CISO der Unternehmen eher ihre eigenen Zero-Trust-Strategien entwickeln werden, als sie von Anbietern zu übernehmen. Diese Strategien bilden dann die Grundlage der Unternehmenssicherheit. Der Aufbau eines Sicherheitsmodells, das die Abläufe für Anwender durch die Implementierung von Diensten für die adaptive Authentifizierung, Autorisierung und Identitätsprüfung optimiert, ermöglicht den Unternehmen maßgebliche Verbesserungen ihrer Sicherheitslage.

Mark Perry sagt dazu:

„Der Gedanke, dass die Benutzeridentität der Schlüssel zur IT-Sicherheit ist und nicht die Gateways, VPN oder andere Perimeter-Sicherheitsdienste, hat sich mittlerweile durchgesetzt. Es geht nicht mehr ohne das Management von Identitätsnachweisen, Authentifizierungen und Zugriffen mithilfe starker Identitätsprozesse und -richtlinien. Das schwächste Glied der Kette ist nicht der Authentifizierungsdienst, bei dem Sie die Multifaktor-Authentifizierung aktiviert haben. Es ist der Prozess beim Zurücksetzen vergessener Passwörter, für den möglicherweise gar keine MFA benötigt wird, und ein Anruf beim Helpdesk, wo dann die Identifizierung Ihrer Mitarbeiter nach wie vor mit (nicht ganz so) „geheimen Fragen und Antworten“ erfolgt. Die Technologie zur Durchsetzung einer starken Identitätssicherheit ist ausgereift und kann innerhalb kurzer Zeit implementiert werden.“

Unser CISO Robb Reck ist überzeugt, dass sich die Sicherheitsbranche auf Zero Trust konzentrieren wird. Den Grund dafür sieht er teilweise bei einer Reihe von öffentlichkeitswirksamen Sicherheitsverletzungen, die auf ungesicherte Integrationen in geschäftskritischen SaaS-Apps zurückgeführt werden konnten. Da sich Cyberkriminelle zwangsläufig auf immer raffiniertere Angriffe verlegen müssen, um die MFA durchbrechen, werden verbesserte Authentifizierungstechniken für den Schutz vor dieser Bedrohung entscheidend sein. Das betrifft aber nicht nur Unternehmen: Gemeinsame Anstrengungen von Regierung und Industrie werden die Effektivität von Ransomware-Angriffen deutlich verringern. Reck geht davon aus, dass die US-amerikanische Regierung Gesetze zur Regulierung von Technologieunternehmen in den Bereichen Datenschutz, Content-Moderation und Verschlüsselung erlassen wird.

Um Zero Trust nahezu flächendeckend einzuführen, sind jedoch gezieltere Ausgaben erforderlich, wenn es darum geht, den Zugriff auf PCs und Laptops bis hin zu Smartphones, mobilen Geräten und den Milliarden von nicht ausreichend geschützten Geräten des Internets der Dinge (IoT) zu sichern. Loren Russon sieht hier besondere Relevanz in zwei technologischen Bereichen:

• No-Code-/Low Code-Prozesse: Die Nachfrage nach einer raschen Entwicklung von mobilen und Web-Anwendungen, Chat-Bots und reaktiven Web-Apps zur Integration von Identitätsdiensten in Anwendungen und Dienste steigt rapide. Wir denken, dass für das Entwickeln von Integrationen und Richtlinien in Zukunft der Einsatz von Workflow-Designern gängig wird, die es den Administratoren ermöglichen, Datenmodelle, Workflows und Richtlinien für die Dienste für das Identitäts- und Zugriffsmanagement zu erstellen.

• Identität an der Grenze: Die Cyberattacken orientieren sich an den Workloads, da immer mehr Anwendungen und Daten auf Cloud-Plattformen wie Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP) und andere verlagert werden. Die Identität ist mittlerweile eine wichtige Säule im Zero-Trust-Framework eines Unternehmens. Daher ist es von entscheidender Bedeutung, dass Identitätsdienste hochgradig sicher sind und problemlos in der Nähe von Workloads eingesetzt werden können. Die Sicherheit kann nicht mehr länger nur auf Zugriffsfilter am Perimeter beruhen, sondern erfordert Dienste und Anwendungen.

Die Sozialversicherungsnummer (SSN) wird im Jahr 2021 als Mittel zur Authentifizierung ausgeschlossen, und dafür wurde es höchste Zeit. Im Kontext der Datensicherheit und des Datenschutzes lag das Problem weniger bei der weltweit eindeutigen Kennung, als bei der Annahme, sie sei geheim und nur einer einzigen Person bekannt. Es ist sicherer, davon auszugehen, dass alle Fakten (und selbst Meinungen) bekannt sind und nicht als Geheimnisse behandelt werden sollten. Aus diesem Grund wäre es zu riskant, die SSN als vertrauliche Information einzustufen, die eine sichere Authentifizierung gewährleisten kann.

Sollte es Ihnen entfallen sein, welche verheerenden Konsequenzen es haben kann, wenn wir die SSN als vertrauenswürdigen Authentifikator verwenden, dann brauchen Sie sich nur die unzähligen betrügerischen Anträge auf Arbeitslosenversicherung anzusehen, mit denen sich die Vereinigten Staaten derzeit herumschlagen müssen. In diesen Zeiten der Pandemie belastet der weit verbreitete Betrug bei Anträgen auf Arbeitslosenhilfe die staatlichen Systeme mit Summen in Höhe von geschätzt 1 Milliarde US-Dollar. Abgesehen von den finanziellen Verlusten in den Kassen unseres Landes steht hinter jedem dieser Ansprüche eine reale Person, die ebenfalls darunter leidet.

Ein Geschäft muss agil sein Das Jahr 2020 hat uns gezeigt, wie sehr nachhaltiger Erfolg (angesichts einer kritischen andauernden Notsituation) davon abhängt, dass man innerhalb weniger Tage reagieren und Mitarbeiter auf Remote-Arbeit umstellen kann. Unternehmen berichteten von massiven Einbrüchen bei der Produktivität, da Tausende von Mitarbeitern, die normalerweise zur Arbeit ins Büro kamen, sich per Fernzugriff über das Firmen-VPN einloggten, was diese Infrastruktur einfach in die Knie zwang. Darüber hinaus nutzten Betrüger und Cyberkriminelle die Pandemie als Sprungbrett für neue Phishing- und Hacking-Angriffe. Diese Fähigkeit, nicht Wochen oder Monate, sondern nur noch Tage für die Lösung von Problemen zu benötigen, ist eine Vorlage, die wir wohl für zukünftige Notfälle beibehalten sollten.

Emma Maslen, Vize President und General Manager von EMEA und APAC, ist der Ansicht, dass die Notwendigkeit, die Remote-Arbeit von Mitarbeitern stärker zu unterstützen, zwar die bedeutendste Lektion des Jahres 2020 gewesen sei, gibt aber auch die damit verbundenen Herausforderungen zu bedenken, wie beispielsweise dass Mitarbeiter mehrmals am Tag auf digitale Ressourcen von unterschiedlichen Orten aus zugreifen, dass Remote-Mitarbeiter die gleiche Online-Erfahrung haben sollten wie im Büro und dass viele Mitarbeiter weiterhin am Standort arbeiten werden und für ihre Aufgaben einen eindeutigen und sicheren Zugriff auf Anwendungen und Daten benötigen. Sie weist darauf hin, dass Identität in zweierlei Hinsicht zur Lösung von Herausforderungen im Zusammenhang mit der Remote-Arbeit beitragen kann:

• Unser Arbeitsplatz. Durch die Pandemie hat die Abhängigkeit von der Arbeit von Zuhause aus zugenommen. Während ein Teil der Mitarbeiter in Zukunft wieder ins Büro zurückkehren wird, brauchen andere Mitarbeiter jetzt nicht mehr so häufig pendeln, kommen in den Genuss von häufigeren Mahlzeiten mit der Familie und einer größeren Flexibilität des Arbeitstages. All dies werden sie in Zukunft vielleicht nur ungern wieder aufgeben. Im kommenden Jahr wird ein es großes Thema sein, wie sichergestellt werden kann, dass unsere Mitarbeiter produktiv im Home-Office arbeiten können.


• Der Kampf um Talente. Der Kampf um die begehrtesten Mitarbeiter reißt nicht ab. In einer Welt, die sich im Umbruch befindet, suchen Mitarbeiter nach Visionen, nach Aufgaben, in denen sie sich wiederfinden und Arbeitsumgebungen, in denen sie ihr Bestes geben können. Durch einen reibungslosen Zugang zu Technologien können Unternehmen für weniger Ärger sorgen und die besten Kräfte für sich gewinnen und halten.

Wir bei Ping denken, dass die Art zu arbeiten, wie wir sie im Jahr 2020 kennengelernt haben, sich im neuen Jahrzehnt als das „neue Normal“ durchsetzen wird. Obwohl einige von uns mit einer Gegenreaktion auf die Remote-Arbeit aufgrund einer Schwächung von Kreativität und Innovation rechnen, sehen andere eine Zukunft voraus, in der die Telearbeiter Innovationen von Online-Kollaborationstools und -services weiter vorantreiben und den Markt durch eine „Consumerization“ ankurbeln. Diese Dienste werden die Kapazitäten nutzen, die der Markt den Unternehmen für Kundenidentitäts- und Zugriffsmanagements (CIAM) bereitstellt.

Wir arbeiten nicht nur mehr von zu Hause aus – wir bestellen auch mehr. Emma Maslen denkt, dass aus diesem Grund die Identität in Zukunft ein großes Thema für die Verbraucher sein wird:

„Benutzer bzw. Konsumenten werden mit der Aufforderung zur Eingabe von Benutzernamen und Passwörtern, mit Identitäts-Problemen und insgesamt mit einer umständlichen Online-Erfahrung konfrontiert, was bei unseren ohnehin überforderten Händlern zu einer hohen Zahl von Warenkorb-Abbrüchen führen wird. Damit sich Unternehmen ihren maximalen Share-of-Wallet (Liefereigenanteil) sichern können, müssen sie veraltete Erfahrungen ersetzen und ihre Umgebungen durchbrechen. Eine reibungslose Online-Erfahrung für Verbraucher wird die Kundenbindung stärken und den Share-of-Wallet erhöhen. Wer sich diesen Herausforderungen mit vollem Einsatz widmet, wird am Ende des Jahres 2021 als Gewinner dastehen. Das gilt ganz sicher für den Einzelhandel, aber auch für das Versicherungs-, das Bankwesen und für viele weitere Bereiche.“

Mit der passwortlosen Anmeldung gelangen wir ans Ziel. Um die Sicherheit bei möglichst geringer Reibung für den Benutzer zu maximieren, greift die passwortlose Authentifizierung zu anderen Optionen als nur Passwörtern, wie etwa zu Push-Benachrichtigungen, die einen Fingerabdruck auf einem bestimmten Gerät erfordern, integrierte MDM-Lösungen oder Hard-Token. Robb Reck geht davon aus, dass immer mehr Unternehmen ihren Kunden passwortlose Erfahrungen anbieten werden, und dieser Trend den Druck auf die Mitbewerber erhöht, ebenfalls in reibungslose Benutzererfahrungen zu investieren, um nicht zurückzubleiben.

Loren Russon glaubt, dass 2021 immer mehr Dienste für die Überprüfung und Validierung von Identität auf den Plan treten werden, die mit biometrischen und biografischen Informationen arbeiten. Man wird die Eindeutigkeit und Gültigkeit der Identität einer Person mit Ausweisdokumenten und der Abfrage persönlicher Daten oder Ereignisse garantieren, bevor diese auf einen Dienst zugreifen oder eine Berechtigung erwirken kann. Außerdem muss dies in einer Art und Weise geschehen, die das Benutzererlebnis nicht beeinträchtigt.

Vielleicht sind die Zeiten von William Gibsons „Neuromancer“ schon angebrochen, in denen die KI ein eigenes Bewusstsein erlangen und gegeneinander antreten, um die Herrschaft über das Universum zu erlangen? Nun, das nicht, aber Mark Perry hält es für sehr wahrscheinlich, dass KI noch in diesem Jahr zum neuen Angriffsmechanismus der Cyberkriminalität gehören wird, mit der es gelingt, große Dienste zu betrügen:

„Gezielte Angriffe könnten durch den Einsatz von KI raffinierter und unauffälliger werden und statische Verteidigungsmaßnahmen wie Sicherheits-Gateways überwältigen. Dann heißt es KI gegen KI, da Unternehmen ihre eigenen unüberwachten, kontinuierlich dazu lernenden Cyberabwehrsysteme einsetzen, um ihre Systeme und Dienste zu verteidigen.“

Daher denkt Mark Perry, dass eine KI-basierte Bedrohungserkennung und -abwehr für die Online-Kanäle von Mitarbeitern und Verbrauchern in den nächsten zwölf Monaten ganz oben auf der Liste der Investitionen in die Cybersicherheit stehen wird. Während Loren Russon der Überzeugung ist, dass Verhaltensanalysen und Risikosignale in alle Abläufe des Zugriffs- und Identity-Lifecycle-Managements integriert werden sollten, damit verdächtige Aktivitäten schnell erkannt und der Zugriff angepasst werden kann, warnt er doch davor, sich zu stark auf KI bzw. auf maschinelles Lernen zu verlassen:

„Viele Unternehmen und Anbieter dachten, die künstliche Intelligenz und das Maschinenlernen (KI/ML) würden eine Revolution bei der Erstellung von Richtlinien für die Zugriffskontrolle und das Identity-Lifecycle-Management in Gang setzen. KI/ML kann nützliche Signale und Risikoinformationen liefern, um explizite Richtlinien zu verbessern, hat sich als deren Ersatz jedoch nicht bewährt.“

Nun können wir (erfreulicherweise) auf das Jahr 2020 zurückblicken, und Ping wird sich auch weiterhin für Ihre Identität einsetzen, indem wir Unternehmen helfen, eine identitätszentrierte Zero Trust-Sicherheit und mehr personalisierte und optimierte Benutzererfahrungen zu erschaffen. Eine weitere Form unserer Unterstützung sehen wir darin, Ihnen in der wandelbaren Branche der Identitätssicherheit immer einen Platz in der vordersten Reihe zu sichern. Abonnieren Sie unser wöchentliches Blog-Update damit Sie mit den neuesten Erkenntnissen von Dutzenden von Identitätsexperten immer auf dem neuesten Stand bleiben.