Letzte News:

P&I Personal & Informatik AG setzt auf ein Informationssicherheitsmanagementsystem

TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA unterstützte das Zertifizierung

... [mehr]
Impulse zur Digitalisierung der Produktion

8. Best Practice Day der FELTEN Group am 15. November 2016 in Höxter (Niedersach

... [mehr]
Silo-Denken in der IT-Sicherheit erzeugt Schwächen und steigert die Kosten

CARMAO-Studie: Kein ganzheitlicher Umgang mit den zahlreichen Teilbereichen vom

... [mehr]
Atos und Felten entwickeln Data Analytics Use Cases für Produktionsbetriebe

Atos Codex Cloud-Plattform unterstützt Manufacturing Execution System (MES) PILO

... [mehr]
iCONOMY ePaper
Suchen & Finden  
erweiterte Suche  

Digitale Sicherheit - Wege aus der Identitätskrise

„Single Sign On“ heißt das Schlagwort, mit dem Identity Management punkten will: Nur noch ein Passwort und eine einzige Anmeldeprozedur für alle Systeme, Anwendungen und Dienste, die einem Benutzer zugänglich sein sollen.

Identity Management (IM) ist ein noch relativ neues, beliebtes „Buzzword“ in der IT-Branche. Etwas dran sein muss aber gleichwohl an dem Thema, wenn nahezu alle Schwergewichte mit klangvollem Namen IM-Lösungen im Angebot haben, respektive Spezialanbieter übernehmen. So geschehen in den Fällen Netegrity, dessen neuer Eigner Computer Associates heißt, und Silverstream, die inzwischen unter dem Dach von Novell angesiedelt sind. Die Phalanx der Großen wird abgerundet durch die üblichen Verdächtigen IBM, HP und Sun. Big Blue nennt sein entsprechendes IM-Produkt „Tivoli Identity Manager“ (TIM), HP bringt im Rahmen seiner Systemmanagement-Lösung eine „Open View Select Federation“ heraus und Sun hat eine „Identity Management Suite“ in petto.

Denn Sicherheit ist ein beherrschendes IT-Thema. Und Identity Management verspricht mehr davon in Zeiten, in denen Meldungen über Security-Probleme nahezu täglich in den Nachrichten zu lesen sind, gleichzeitig aber das Transaktionsvolumen im elektronischen Handel von Unternehmen, Lieferanten, Partnern und Endkunden immer mehr zunimmt. Dies impliziert einen erweiterten Begriff von Sicherheit, der über die Grenzen des eigenen Unternehmens hinausgeht und auch vertrauenswürdigen Externen den Zugriff auf eigene Datenbanken, Intranets oder Portale ermöglichen muss.

Autorisierung, Authentifizierung, Vergabe von Benutzerrechten, Zugriffskontrolle und User-Verwaltung gehören somit zu den elementaren Maßnahmen, die sowohl Schutz vor unbefugten Dritten bieten als auch interne Sicherheitsrisiken beherrschen helfen sollen. „Eine Sammlung von Prozessen und eine unterstützende Infrastruktur zur Erstellung, Pflege und Nutzung digitaler Identitäten“, so umreißen die Berater von ic consult die Eigenschaften von Identity Management. Als Prozess, der die Authentifizierung, die Zugriffsrechte und die eingeräumten Vorrechte eines digitalen Nutzers verwaltet, beschreibt Jose Lopez, Sicherheitsspezialist bei dem Marktforschungsunternehmen Frost & Sullivan, die Disziplin.

Nun bleibt aber zunächst einmal das Konzept der ‚Identität’ zu klären. Wolfgang Schneider, Bereichsleiter TAD (Transaktions- und Dokumentenmanagement) beim Fraunhofer Institut für Sichere Telekooperation SIT, erläutert den Begriff im IT-Kontext: „Die Identität besteht aus inhärenten Merkmalen, wie zum Beispiel dem Namen einer Person, die digital abgebildet werden.“ Nicht nur bei natürlichen Personen, sondern auch bei Maschinen (wie etwa Servern), Programmen und Anwendungen kann eine digitale Identifikation notwendig sein.

Die Identität ist ein langfristiges Kennzeichen, das für sich allein in den meisten Anwendungsfällen aber gar nicht gefragt ist, sondern erst durch die Zuordnung von Eigenschaften oder Rollen Bedeutung gewinnt. ‚Rollen’ sind im Gegensatz zu ‚Identitäten’ eher kurzfristiger Natur und werden beispielsweise zur Ableitung von Zugriffsrechten benötigt. Nutzer von IT-Netzen wollen allerdings oft in verschiedenen Systemen mit verschiedenen Merkmalskombinationen in unterschiedlichen Rollen erscheinen, ohne ihre komplette Identität preisgeben zu müssen.

Diese für den Nutzer anonymer und sicherer anmutende Zugriffsmöglichkeit sei allerdings nicht immer praktikabel, wie Schneider zu bedenken gibt: „Bei geschäftlichen Transaktionen im Internet lehrt die Erfahrung, dass es häufig zu aufwändig und teuer ist, die Identität hinter der Rolle zu verbergen und dabei gleichzeitig geschäftlichen und gesetzlichen Anforderungen an Bezahlvorgänge zu genügen. Anonymes Bezahlen ohne Preisgabe der Identität, so wie man es mit Bargeld gewohnt ist, ist in der digitalen Welt nicht kostengünstig realisierbar.“

Herstellung und Handhabung digitaler Identitäten und Rollen bestimmt mithin das Identity Management. Die einfachste und zugleich unsicherste Form der Erzeugung einer digitalen Kennung ist dabei die User-ID mit Passwort. Unsicher, weil sowohl leicht zu knacken als auch leicht zu vergessen. Laut dem IT-Dienstleister Materna beziehen sich rund 80 Prozent aller Help Desk-Anfragen auf verloren gegangene Passwörter. Und je mehr verschiedene ein Anwender benutzen muss, weil er in unterschiedlichen betrieblichen Systemen unterwegs ist, desto größer die Wahrscheinlichkeit, dass er bald einen Anruf tätigen muss.

Abhilfe schaffen soll hier der so genannte Single Sign On (SSO): Mit einer einmaligen Anmeldung der eigenen digitalen Identität erhält der User Zugriff auf alle für ihn betrieblich relevanten Dienste, Programme und IT-Infrastrukturen. Ein einfaches Beispiel wäre der kombinierte Zugang zu Linux, Windows und SAP. So könnte SSO sowohl Nutzern als auch Administratoren das Leben leichter und übersichtlicher machen.

PIN und Passwort für sicherheitskritisch Anwendungen werden dabei bald ausgedient haben, denn die Alternativen sind schon im Einsatz. Der Aufbau von PKI (Public Key Infrastructure) schreitet voran; die Verbreitung von Verschlüsselungsverfahren und Zertifizierungen gemäß der X509-Norm nimmt zu. „Die User-ID wird dann durch den digitalen Ausweis mit geheimem Schlüssel ersetzt, der durch ein internes oder externes Trust Center bestätigt wird, und Hardwaretoken wie Smartcard oder USB-Token werden in Zukunft die digitale Identität repräsentieren“, ist Wolfgang Schneider überzeugt.

Auch der kombinierte Einsatz von mehreren der noch fehleranfälligen biometrischen Verfahren zur Aktivierung der digitalen Identität sei in lokal gebundenen Umgebungen relativ unproblematisch. „Letztlich ist es eine Frage des Sicherheitsniveaus, das man anstrebt“, resümiert der Fraunhofer-Experte.

Dabei lässt Schneider keinen Zweifel daran, dass er IM für den idealen „Enabler“ und die Voraussetzung für ein umfassendes Security Management hält, welches wiederum aus seiner Perspektive für Unternehmen heutzutage unverzichtbar ist: „Security Management dient der Abwehr eines potenziellen Verlustes und ist ein Gewinn an Produktivität und Rationalisierung. Der Schlüssel dazu ist aber in jedem Fall SSO, egal ob per Smartcard oder USB-Stick, oder etwas allgemeiner Federated Identity, d.h. die Zusammenführung von Identitäten aus verschiedenen Kontexten.“

Als Kandidaten für den Einsatz von IM-Lösungen kämen Unternehmen in Frage, die einen wesentlichen Teil ihrer Arbeit über IT-Netze realisierten, „und das dürften inzwischen fast alle sein“, merkt der SIT-Experte an. Banken und Finanzdienstleister könnten heutzutage ohnehin nicht mehr auf IM verzichten, doch sei die gesamte Industrie betroffen, da Firmengrenzen zunehmend verschwänden. Denn Outsourcing, Zusammenarbeit mit Zulieferern und verstärkte Kooperation machen Firmen zu Firmennetzwerken, die die Öffnung von IT-Ressourcen erfordern.

Aber auch öffentliche Einrichtungen setzen inzwischen vermehrt auf IM und SSO. Insbesondere Universitäten und Hochschulen statten ihre Mitarbeiter und Studierenden zunehmend mit Smartcards aus, die für die unterschiedlichsten Anwendungsfälle und -orte wie Rechenzentrum, Bibliothek, Kopiergerät und Mensakasse nutzbar sind. Und sowohl privatwirtschaftliche Unternehmen als auch öffentliche Einrichtungen können laut Schneider mit IM Kosten senken, Zeit sparen und Sicherheit hinzugewinnen.

Nach Einschätzung des Fraunhofer-Experten wird IM in Zukunft noch sehr viel stärker im Austausch zwischen Unternehmen, Partnern, Lieferanten und Kunden zum Einsatz kommen, auch wenn das Einführungsszenario in diesem Fall ungleich komplexer und schwieriger sei. Denn hier stellen sich natürlich verschärft die Fragen: Welche Datenbanken will man wem öffnen, wie viele Informationen wem zugänglich machen? Schließlich teilt niemand gerne seine Betriebsgeheimnisse mit anderen.

Abgesehen davon ist der Datenschutz für die Anwender-Identitäten schwerer zu gewährleisten, wenn die Möglichkeiten zur Überwachung, Rückverfolgung und Erkennung von IDs durch IM vereinfacht werden. Wolfgang Schneider geht ebenso wie die Frost & Sullivan-Analysten trotzdem davon aus, dass der Zugang via Extranet und der Zugriff Dritter auf Unternehmensnetzwerke weiter zunehmen und damit auch der Verbreitung von Identity Management zuträglich sein wird: „Wo immer Automatisierungen in der Kommunikation und im Systemzugang möglich und rechtlich vertretbar sind, ob betriebsintern oder zwischen Unternehmen, sollten sie auch eingerichtet werden.“

Hinzu kommt, dass sicherheitskritische Bereiche wie Web-Services oder auch E-Government Systeme zur Erzeugung und Erkennung digitaler Identitäten befördern werden. Das nächste große Projekt dieser Art steht schon vor der Tür: Die elektronische Gesundheitskarte. Und damit auch die nächste Güterabwägung zwischen Datenschutz und IT-technischer Machbarkeit.

Weitere Backgrounder

Höheres Risiko für Produktmängel - Globalisierung kontra Qualität

Die Kehrseite der Globalisierungsmedaille sind Qualitätsrisiken durch die weltweit immer k

...
Im Einkauf fehlt es an IT-Unterstützung

Trotz der zunehmenden Bedeutung des strategischen Einkaufs betreiben viele Unternehmen die

...
Information Builders mit fünf Regeln für den Aufbau eines Kennzahlensystems

Soll ein Unternehmen gesteuert werden, sind betriebswirtschaftliche Kennzahlen die Instrum

...
Change Management wird immer wichtiger in IT-Projekten

Die Implementierung neuer IT-Systeme erzeugt in der Regel deutliche Änderungen in den Proz

...
Digitale Fabrik muss noch Hürden überwinden

Demnächst startet kaum noch ein Montageband, bevor nicht zunächst jeder Produktionsschritt

...
PAC: IT-Outsourcing gewinnt weiter an Bedeutung

Outsourcing und Managed Services haben sich in der Region DACH mittlerweile etabliert. Doc

...
Schlanke Projekte bei der Integration von E-Business-Lösungen

Obwohl das E-Business immer mehr zur Selbstverständlichkeit wird, weisen die technischen L

...
Informationssicherheit und Compliance - Absichten scheitern meist am begrenzten Budget

Weltweit werden Unternehmen immer häufiger Opfer von Computerangriffen auf ihre Informatio

...
Application Management verlangt nach neuen Ideen

Die Applikationslandschaften – nicht nur der großen Unternehmen – wirken mit ihren mehrere

...
Herkömmliches Desktop-Management schwächelt bei den modernen Anforderungen

Das Zukunftsmodell der Arbeitsplatzgestaltung führt weg von starren, ortsgebundenen Formen

...