„Disruptive change“

Der richtige Zeitpunkt, Sicherheit neu zu denken

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Da die IT komplett im Umbruch ist, kann man auc hgleich die Sicherheit von Grund auf neu planen.
Da die IT komplett im Umbruch ist, kann man auc hgleich die Sicherheit von Grund auf neu planen. (Bild: Archiv)

Die „Digitale Transformation“ ist Realität. Der schnelle Wandel gilt oft als Hemmschuh dafür, neue, bessere, zeitgemäße und zukunftssichere Sicherheitskonzepte in Anwendungen umzusetzen. Genau das Gegenteil ist aber der Fall.

Mit vernetzten Dingen und vernetzter Produktion verändern sich die Geschäftsmodelle von Unternehmen. Die Kommunikation mit Kunden läuft längst nicht mehr nur über traditionelle Websites, sondern umfasst längst die Apps und zunehmend auch vernetzte Dinge.

Sich schnell verändernde Geschäftsmodelle und Partnerschaften führen zu neuen Anwendungsarchitekturen wie Microservice-Modellen, insbesondere aber einer intensiveren Nutzung von APIs (Application Programming Interfaces, Schnittstellen von Anwendungen für externe Funktionsaufrufe), um Funktionen verschiedener interner und externer Dienste zu neuen Lösungen zu verbinden.

Genau dieser Wandel ist die Chance, mehr Sicherheit schneller umzusetzen als je zuvor. Denn für die Kommunikation von Apps zu Backend-Systemen und externen Systemen, für die Authentifizierung von Nutzern an Apps und natürlich für den gesamten Umgang mit vernetzten Dingen kann man ohnehin nicht die gleichen Konzepte verwenden, die man vor fünf, zehn oder fünfzehn Jahren für die Websites eingeführt hat.

Darüber hinaus gibt es inzwischen eine ganze Reihe an etablierten Standards, vom eher traditionellen SAML hin zu modernen Standards für die Welt, in der REST-basierende Zugriffe von Apps auf Services und zwischen Services der Standard sind. OAuth 2.0 und OpenID Connect stehen exemplarisch dafür. Anders formuliert: Es gibt ausgereifte Möglichkeiten für bessere Sicherheitslösungen, sowohl in Form von Standards als auch auf konzeptioneller Ebene.

Ein weiteres gutes Beispiel ist der neue (und noch nicht so etablierte) Standard UMA (User Managed Access) der Kantara-Initiative. Damit können Nutzer gezielt „ihre“ Daten für Anwendungen freigeben, über die Grundfunktionen von OAuth 2.0 hinaus. Wenn man nun beispielsweise einige der Herausforderungen von Daten beim „connected car“ betrachten, wird schnell deutlich wie nützlich neue Konzepte sein können.

Zugriffssteuerung muss einfacher werden

Mit UMA und den anderen neuen Standards kann man einfach steuern, wer wann Zugriff auf welche Daten hat. Traditionelle Konzepte kennen diese Funktionen nicht – sobald unterschiedliche Benutzergruppen Zugriff auf unterschiedliche Daten in unterschiedlichen Situationen haben müssen, stößt man an die Grenzen oder muss (aufwändig) Lösungen „basteln“.

Wenn man nun beispielsweise an den Unfalldatenrekorder denkt, dann müssen auf diesen Versicherungen, Hersteller oder die Polizei zugreifen können – aber nicht jeder immer und schon gar nicht auf alle Daten. Das zeigt,, wie komplex manche neuen Herausforderungen in der Digitalen Transformation zu lösen sind, wenn man nicht auf moderne Sicherheitskonzepte setzt.

„Disruption“, also der grundlegende Wandel, den wir in der Digitalen Transformation an vielen Stellen erleben statt der langsamen und kontinuierlichen Entwicklung, die in vielen Branchen für lange Jahre die Regel war, ist die Chance, schneller, agiler und sicherer zu werden, indem man neue Konzepte nutzt, die auf die neuen Anforderungen ausgerichtet sind. Schon beim ersten Projekt ist man damit meist schneller als beim Versuch, alte Konzepte auf neue Probleme zu adaptieren.

Wir sollten die Chance nutzen, Sicherheit besser zu machen, gerade in der Transformation. Die Alternative ist zu riskieren, dass man wegen alter Software- und Sicherheitsarchitekturen nicht ausreichend agil ist, um im Wettbewerb zu bestehen.

* Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43868447 / Zugangskontrolle)