Letzte News:

P&I Personal & Informatik AG setzt auf ein Informationssicherheitsmanagementsystem

TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA unterstützte das Zertifizierung

... [mehr]
Impulse zur Digitalisierung der Produktion

8. Best Practice Day der FELTEN Group am 15. November 2016 in Höxter (Niedersach

... [mehr]
Silo-Denken in der IT-Sicherheit erzeugt Schwächen und steigert die Kosten

CARMAO-Studie: Kein ganzheitlicher Umgang mit den zahlreichen Teilbereichen vom

... [mehr]
Atos und Felten entwickeln Data Analytics Use Cases für Produktionsbetriebe

Atos Codex Cloud-Plattform unterstützt Manufacturing Execution System (MES) PILO

... [mehr]
iCONOMY ePaper
Suchen & Finden  
erweiterte Suche  

Digitale Sicherheit - Wege aus der Identitätskrise

„Single Sign On“ heißt das Schlagwort, mit dem Identity Management punkten will: Nur noch ein Passwort und eine einzige Anmeldeprozedur für alle Systeme, Anwendungen und Dienste, die einem Benutzer zugänglich sein sollen.

Identity Management (IM) ist ein noch relativ neues, beliebtes „Buzzword“ in der IT-Branche. Etwas dran sein muss aber gleichwohl an dem Thema, wenn nahezu alle Schwergewichte mit klangvollem Namen IM-Lösungen im Angebot haben, respektive Spezialanbieter übernehmen. So geschehen in den Fällen Netegrity, dessen neuer Eigner Computer Associates heißt, und Silverstream, die inzwischen unter dem Dach von Novell angesiedelt sind. Die Phalanx der Großen wird abgerundet durch die üblichen Verdächtigen IBM, HP und Sun. Big Blue nennt sein entsprechendes IM-Produkt „Tivoli Identity Manager“ (TIM), HP bringt im Rahmen seiner Systemmanagement-Lösung eine „Open View Select Federation“ heraus und Sun hat eine „Identity Management Suite“ in petto.

Denn Sicherheit ist ein beherrschendes IT-Thema. Und Identity Management verspricht mehr davon in Zeiten, in denen Meldungen über Security-Probleme nahezu täglich in den Nachrichten zu lesen sind, gleichzeitig aber das Transaktionsvolumen im elektronischen Handel von Unternehmen, Lieferanten, Partnern und Endkunden immer mehr zunimmt. Dies impliziert einen erweiterten Begriff von Sicherheit, der über die Grenzen des eigenen Unternehmens hinausgeht und auch vertrauenswürdigen Externen den Zugriff auf eigene Datenbanken, Intranets oder Portale ermöglichen muss.

Autorisierung, Authentifizierung, Vergabe von Benutzerrechten, Zugriffskontrolle und User-Verwaltung gehören somit zu den elementaren Maßnahmen, die sowohl Schutz vor unbefugten Dritten bieten als auch interne Sicherheitsrisiken beherrschen helfen sollen. „Eine Sammlung von Prozessen und eine unterstützende Infrastruktur zur Erstellung, Pflege und Nutzung digitaler Identitäten“, so umreißen die Berater von ic consult die Eigenschaften von Identity Management. Als Prozess, der die Authentifizierung, die Zugriffsrechte und die eingeräumten Vorrechte eines digitalen Nutzers verwaltet, beschreibt Jose Lopez, Sicherheitsspezialist bei dem Marktforschungsunternehmen Frost & Sullivan, die Disziplin.

Nun bleibt aber zunächst einmal das Konzept der ‚Identität’ zu klären. Wolfgang Schneider, Bereichsleiter TAD (Transaktions- und Dokumentenmanagement) beim Fraunhofer Institut für Sichere Telekooperation SIT, erläutert den Begriff im IT-Kontext: „Die Identität besteht aus inhärenten Merkmalen, wie zum Beispiel dem Namen einer Person, die digital abgebildet werden.“ Nicht nur bei natürlichen Personen, sondern auch bei Maschinen (wie etwa Servern), Programmen und Anwendungen kann eine digitale Identifikation notwendig sein.

Die Identität ist ein langfristiges Kennzeichen, das für sich allein in den meisten Anwendungsfällen aber gar nicht gefragt ist, sondern erst durch die Zuordnung von Eigenschaften oder Rollen Bedeutung gewinnt. ‚Rollen’ sind im Gegensatz zu ‚Identitäten’ eher kurzfristiger Natur und werden beispielsweise zur Ableitung von Zugriffsrechten benötigt. Nutzer von IT-Netzen wollen allerdings oft in verschiedenen Systemen mit verschiedenen Merkmalskombinationen in unterschiedlichen Rollen erscheinen, ohne ihre komplette Identität preisgeben zu müssen.

Diese für den Nutzer anonymer und sicherer anmutende Zugriffsmöglichkeit sei allerdings nicht immer praktikabel, wie Schneider zu bedenken gibt: „Bei geschäftlichen Transaktionen im Internet lehrt die Erfahrung, dass es häufig zu aufwändig und teuer ist, die Identität hinter der Rolle zu verbergen und dabei gleichzeitig geschäftlichen und gesetzlichen Anforderungen an Bezahlvorgänge zu genügen. Anonymes Bezahlen ohne Preisgabe der Identität, so wie man es mit Bargeld gewohnt ist, ist in der digitalen Welt nicht kostengünstig realisierbar.“

Herstellung und Handhabung digitaler Identitäten und Rollen bestimmt mithin das Identity Management. Die einfachste und zugleich unsicherste Form der Erzeugung einer digitalen Kennung ist dabei die User-ID mit Passwort. Unsicher, weil sowohl leicht zu knacken als auch leicht zu vergessen. Laut dem IT-Dienstleister Materna beziehen sich rund 80 Prozent aller Help Desk-Anfragen auf verloren gegangene Passwörter. Und je mehr verschiedene ein Anwender benutzen muss, weil er in unterschiedlichen betrieblichen Systemen unterwegs ist, desto größer die Wahrscheinlichkeit, dass er bald einen Anruf tätigen muss.

Abhilfe schaffen soll hier der so genannte Single Sign On (SSO): Mit einer einmaligen Anmeldung der eigenen digitalen Identität erhält der User Zugriff auf alle für ihn betrieblich relevanten Dienste, Programme und IT-Infrastrukturen. Ein einfaches Beispiel wäre der kombinierte Zugang zu Linux, Windows und SAP. So könnte SSO sowohl Nutzern als auch Administratoren das Leben leichter und übersichtlicher machen.

PIN und Passwort für sicherheitskritisch Anwendungen werden dabei bald ausgedient haben, denn die Alternativen sind schon im Einsatz. Der Aufbau von PKI (Public Key Infrastructure) schreitet voran; die Verbreitung von Verschlüsselungsverfahren und Zertifizierungen gemäß der X509-Norm nimmt zu. „Die User-ID wird dann durch den digitalen Ausweis mit geheimem Schlüssel ersetzt, der durch ein internes oder externes Trust Center bestätigt wird, und Hardwaretoken wie Smartcard oder USB-Token werden in Zukunft die digitale Identität repräsentieren“, ist Wolfgang Schneider überzeugt.

Auch der kombinierte Einsatz von mehreren der noch fehleranfälligen biometrischen Verfahren zur Aktivierung der digitalen Identität sei in lokal gebundenen Umgebungen relativ unproblematisch. „Letztlich ist es eine Frage des Sicherheitsniveaus, das man anstrebt“, resümiert der Fraunhofer-Experte.

Dabei lässt Schneider keinen Zweifel daran, dass er IM für den idealen „Enabler“ und die Voraussetzung für ein umfassendes Security Management hält, welches wiederum aus seiner Perspektive für Unternehmen heutzutage unverzichtbar ist: „Security Management dient der Abwehr eines potenziellen Verlustes und ist ein Gewinn an Produktivität und Rationalisierung. Der Schlüssel dazu ist aber in jedem Fall SSO, egal ob per Smartcard oder USB-Stick, oder etwas allgemeiner Federated Identity, d.h. die Zusammenführung von Identitäten aus verschiedenen Kontexten.“

Als Kandidaten für den Einsatz von IM-Lösungen kämen Unternehmen in Frage, die einen wesentlichen Teil ihrer Arbeit über IT-Netze realisierten, „und das dürften inzwischen fast alle sein“, merkt der SIT-Experte an. Banken und Finanzdienstleister könnten heutzutage ohnehin nicht mehr auf IM verzichten, doch sei die gesamte Industrie betroffen, da Firmengrenzen zunehmend verschwänden. Denn Outsourcing, Zusammenarbeit mit Zulieferern und verstärkte Kooperation machen Firmen zu Firmennetzwerken, die die Öffnung von IT-Ressourcen erfordern.

Aber auch öffentliche Einrichtungen setzen inzwischen vermehrt auf IM und SSO. Insbesondere Universitäten und Hochschulen statten ihre Mitarbeiter und Studierenden zunehmend mit Smartcards aus, die für die unterschiedlichsten Anwendungsfälle und -orte wie Rechenzentrum, Bibliothek, Kopiergerät und Mensakasse nutzbar sind. Und sowohl privatwirtschaftliche Unternehmen als auch öffentliche Einrichtungen können laut Schneider mit IM Kosten senken, Zeit sparen und Sicherheit hinzugewinnen.

Nach Einschätzung des Fraunhofer-Experten wird IM in Zukunft noch sehr viel stärker im Austausch zwischen Unternehmen, Partnern, Lieferanten und Kunden zum Einsatz kommen, auch wenn das Einführungsszenario in diesem Fall ungleich komplexer und schwieriger sei. Denn hier stellen sich natürlich verschärft die Fragen: Welche Datenbanken will man wem öffnen, wie viele Informationen wem zugänglich machen? Schließlich teilt niemand gerne seine Betriebsgeheimnisse mit anderen.

Abgesehen davon ist der Datenschutz für die Anwender-Identitäten schwerer zu gewährleisten, wenn die Möglichkeiten zur Überwachung, Rückverfolgung und Erkennung von IDs durch IM vereinfacht werden. Wolfgang Schneider geht ebenso wie die Frost & Sullivan-Analysten trotzdem davon aus, dass der Zugang via Extranet und der Zugriff Dritter auf Unternehmensnetzwerke weiter zunehmen und damit auch der Verbreitung von Identity Management zuträglich sein wird: „Wo immer Automatisierungen in der Kommunikation und im Systemzugang möglich und rechtlich vertretbar sind, ob betriebsintern oder zwischen Unternehmen, sollten sie auch eingerichtet werden.“

Hinzu kommt, dass sicherheitskritische Bereiche wie Web-Services oder auch E-Government Systeme zur Erzeugung und Erkennung digitaler Identitäten befördern werden. Das nächste große Projekt dieser Art steht schon vor der Tür: Die elektronische Gesundheitskarte. Und damit auch die nächste Güterabwägung zwischen Datenschutz und IT-technischer Machbarkeit.

Weitere Backgrounder

Virtualisierung - Ressourcen lassen sich effizienter nutzen

Mit Hilfe von Verfahren der so genannten „Virtualisierung“ können IT-Ressourcen besser aus

...
ITIL entwickelt sich zum Renner

ITIL (IT Infrastructure Library) für das Management der IT-Services soll innerhalb der näc

...
IBM-Studie: Mittelstand bekennt sich zum König Kunde

Laut aktueller Mittelstandsstudie „Inside the Midmarket: A 2011 Perspective“ von IBM hat s

...
Praxishilfe für Electronic Bill Presentment (EBP)

Einen umfangreichen Leitfaden zur Gestaltung durchgängig elektronischer Rechnungsstellungs

...
Schlechte Datenqualität führt zu hohen Risiken bei Business-Entscheidungen

Ein großer Teil von Geschäftsentscheidungen basieren laut einer internationalen Studie im

...
Frauen ärgern sich über unpersönliche Post von Unternehmen mehr als Männer

Eine unpersönliche Unternehmenskommunikation wirkt dann besonders negativ, wenn Frauen die

...
Dreamteam ECM und CRM: Unternehmensweit Kundendaten im Griff

Einen positiven Einfluss auf Unternehmenserfolg, Kundenservice und Kundenzufriedenheit erw

...
Höheres Risiko für Produktmängel - Globalisierung kontra Qualität

Die Kehrseite der Globalisierungsmedaille sind Qualitätsrisiken durch die weltweit immer k

...
Kosteneinsparungen und Flexibilität verbessern durch den Gang in die Wolke

Die Kostenschraube zurückdrehen und die Flexibilität steigern – das versprechen sich die U

...
Cyber-Ark mit Tipps für mobile Datensicherheit

Die zunehmende Verbreitung mobiler Endgeräte lässt Smartphones und Co. für Internetkrimine

...