Kundenidentitäten

Warum es kein „Customer Identity Management“ braucht

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Ob sich ein Mitarbeiter oder ein Kunde an einem System anmeldet, sollte für das Identity- und Access-Management eigentlich nicht von Belang sein.
Ob sich ein Mitarbeiter oder ein Kunde an einem System anmeldet, sollte für das Identity- und Access-Management eigentlich nicht von Belang sein. (Bild: Archiv)

Das Customer Identity and Access Management (CIAM) wird von einigen Herstellern als wichtiges IAM-Thema „gehypt“. Zweifelsohne muss man Kunden-Identitäten verwalten. Daraus aber den Schluss zu ziehen, dass es eine spezielle Disziplin „Customer Identity Management“ mit eigenständigen technischen Lösungen bräuchte, ist falsch.

Um das zu erkennen, muss man sich eigentlich nur eine Frage stellen: Auf welche der Anwendungen eines Unternehmens haben ausschließlich Kunden Zugriff? Die Antwort wird immer die gleiche sein: Es gibt keine solche Anwendung, weil neben den Kunden immer auch Mitarbeiter darauf Zugriff haben werden.

Auch wenn man über die Kunden hinaus denkt und all die vernetzten Geräte und Dinge betrachtet, die es heute gibt wird klar, dass es nicht um ein Kunden-Identitätsmanagement geht. Es geht darum, dass man sein IAM in die Lage versetzt, mit allen Identitäten umgehen zu können – den Mitarbeitern, den Geschäftspartnern, den Kunden und denen, die noch kein Kunde sind, es aber werden könnten und natürlich mit den vernetzten Dingen und Geräten.

Wer diese Herausforderung erfolgreich bewältigen will, muss zwei Themen adressieren. Eines ist die Skalierbarkeit der Lösung, das andere ist die Vernetzung von Identitäten. Die Anforderungen an die Skalierbarkeit für Kunden oder gar vernetzte Dinge sind ungleich höher als beim Management von Mitarbeitern. Hier braucht es geeignete Lösungen, die auch mit Millionen von Kunden oder Dingen umgehen können.

Das zweite Thema wird heute oft als IRM (Identity Relationship Management) bezeichnet. Dabei geht es darum, die Beziehungen zwischen Identitäten verwalten zu können. Die Beziehung zwischen Geräten oder Dingen und den nutzenden Personen ist beispielsweise bei Authentifizierungs-Unterscheidungen von Bedeutung. Wenn jemand mit einem registrierten Gerät zugreift, ist das Risiko eines Missbrauchs geringer als beim Zugriff von einem Gerät, das bisher noch nie genutzt wurde.

Identity Lifecycle richtig abbilden

Gleichzeitig darf man aber die im klassischen Enterprise IAM oft gut gelösten Herausforderungen wie das Prozessmanagement und die Governance nicht unterschätzen. Es braucht Prozesse für das Management des Lebenszyklus von Identitäten, gleich ob ein Mitarbeiter nun beispielsweise auf Basis einer Information aus dem HR-System eingerichtet wird oder ein Kunde sich selbst registriert.

Die Anforderung an eine gute Prozessunterstützung wird gerade beim Umgang mit Kundenidentitäten oft unterschätzt. Gleiches gilt für die Governance. Während hier bei Mitarbeitern oft mehr der Entzug nicht mehr erforderlicher Berechtigungen im Vordergrund steht, rücken bei Kundenidentitäten und Systemen, in denen Kundendaten liegen, Datenschutzanforderungen in den Vordergrund.

Es gibt durchaus spezielle Anforderungen sowohl für den Umgang mit Kunden und Geräten als auch mit Mitarbeitern. Es gibt aber auch eine große Überlappung. Und letztlich geht es immer um die gleichen Anforderungen – Administration, Authentifizierung, Autorisierung und Auditing- und die gleichen Anwendungen, für die bestimmten Identitäten Zugriff gewährt werden muss. Das lässt sich nicht sinnvoll mit isolierten Ansätzen für ein Kunden-Identitätsmanagement lösen, sondern nur durch die konsequente Weiterentwicklung des „Mitarbeiter-Identitätsmanagements“ hin zu einer Gesamtlösung für alle Identitäten.

Es steht außer Frage, dass bei der Weiterentwicklung eines bestehenden IAM für Mitarbeiter hin zu einem, mit dem sich auch Kunden und Geräte verwalten lassen, auch neue technische Komponenten oder Dienste erforderlich sind. Diese dürfen aber nicht isoliert betrachtet, umgesetzt und betrieben werden. Vielmehr geht es darum, eine integrierte Lösung zu erhalten mit einem IAM, das sowohl die komplexeren Prozessanforderungen für Mitarbeiter als auch die Skalierbarkeitsanforderungen für Kunden abdeckt.

* Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43812773 / Authentifizierung)