Ist IAM das fehlende Element?

DSGVO-Hürden mit IAM erfolgreich bewältigen

| Autor / Redakteur: Chris Adriaensen / Peter Schmitz

IAM-Lösungen können Unternehmen speziell beim Consent Management helfen, die Anforderungen der DSGVO dauerhaft zu erfüllen.
IAM-Lösungen können Unternehmen speziell beim Consent Management helfen, die Anforderungen der DSGVO dauerhaft zu erfüllen. (Bild: gemeinfrei / Pixabay)

Dank der DSGVO hat Europa sich offiziell als Wegbereiter für Datenschutz etabliert. Ein Konzept welches aus rechtlicher Sicht hoch gelobt wurde, doch für Unternehmen stand die DSGVO gleichbedeutend für ein lästiges Ärgernis ohne direkt erkennbaren Nutzen. Identitäts- und Access-Management (IAM) kann Unternehmen dabei helfen, die DSGVO korrekt zu adressieren.

Ein Jahr ist seit der Einführung der DSGVO bereits vergangen, in 2018 waren nur wenige Unternehmen der Auffassung „DSGVO-ready” zu sein. Heute ist man zwar mit den Feinheiten der Verordnung vertrauter, doch spiegelt sich dieser Fortschritt auch in der Konformität wider?

Zwischen Diskussionen um Brexit, Online-Tests für gewerbliche Compliance und Bußgeldstrafen, tritt die Besorgnis um Konformität immer weiter in den Vordergrund, infolgedessen investieren Unternehmen stärker in Identitäts- und Access-Management (IAM). Das Ziel ist Erfolg und erhöhte Effizienz bei der Verwaltung von Sicherheitsprotokollen und -prozessen durch IAM, welche dem rechten Nutzer ordnungsgemäßen Zugang zu Inhalten gestattet. Je einfacher die Lösung, desto besser, durch investieren allein, kann dies jedoch nicht erreicht werden. Wo soll man also mit dem Integrieren solcher Systeme anfangen? Was sind die wichtigsten Schritte?

Sicherheit und Datenschutz am digitalen Arbeitsplatz

Nutzen und Datenschutz im Einklang

Sicherheit und Datenschutz am digitalen Arbeitsplatz

08.04.19 - Cloud-basierte Kollaborationsplattformen begeistern nicht nur technikaffine Mitarbeiter, sondern treffen auch den Nerv einer breiten Nutzergemeinde. Unternehmen sollten aber darauf achten, dass ihre Lösung weit mehr Sicherheitsstandards bieten muss als etwa WhatsApp. Verschlüsselung allein reicht nicht. lesen

Des Datenschutzes neue Kleider

Entgegen allgemeiner Auffassung, handelt es sich bei der Datenschutz-Grundverordnung keineswegs um eine brandneue Legislation. Sie fungiert vielmehr als eine Erweiterung und Konsolidierung bereits bestehender Datenschutzreformen, die es erleichtert, eine klare, gemeinsame Grundlage für Datenschutz innerhalb der EU festzulegen. Dennoch zeigt eine zu Beginn des Jahres veröffentlichte Studie von Cisco, dass nur etwa 59 Prozent aller Unternehmen in Europa sich bisher vollständig den Vorgaben der DSGVO angepasst haben und somit, laut eigener Aussage, „compliant” sind.

Inzwischen haben Geschäftsführer begonnen, die wahre Tragweite und Werthaftigkeit der Grundverordnung sowie anderen Datenschutzregulationen zu verstehen. Nicht zuletzt, aufgrund der immer wieder in den Medien auftauchenden Datenpannen-Skandale und den daraus folgenden Strafen für die Verursacher. Die Bußgelder sind immens und die bisher gemeldeten Vorfälle verdeutlichen, auch Tech-Giganten und zuvor scheinbar zuverlässige, als konform verstandene Organisationen sind nicht immun gegenüber der DSGVO.

Grundlagen der IAM-Systeme

Identity- und Access-Management (IAM)

Grundlagen der IAM-Systeme

18.01.19 - Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungs­plattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben. lesen

DSGVO-Hürden erfolgreich bewältigen mit IAM

Es bilden sich drei ausschlaggebende Punkte, in denen Identitäts- und Access-Management Unternehmen dabei helfen, die DSGVO korrekt zu adressieren. „Consent-Management” hat hier deutlich oberste Priorität, direkt gefolgt von hochmodernen Sicherheitssystemen. Transparenz und Kontrolle über ein User-Portal sowie Self-Service-Profile sind weitere wichtige Schritte:

Schritt 1: Consent-Management

Sorgt für das Erfassen expliziten Einverständnisses, wenn persönliche Informationen der Nutzern gesammelt oder an Drittanbieter weitergegeben werden. Vor der Einführung der DSGVO war diese Maßnahme nicht explizit vorgeschrieben: Viele Unternehmen verscharrten ihre Anfrage auf das freie Verwenden der Nutzerdaten in den AGBs und hakten diese häufig ohne Einfluss des Zustimmenden automatisch ab. IAM-Lösungen fungieren hier als "Wächter" und bestimmen den Zugang - den Punkt, an dem Einverständnis eingeholt oder geprüft werden muss. Dies ist ein immenser Fortschritt von der Zeit, als die einzige Entscheidung des Nutzers zwischen Akzeptanz und Absage des kompletten Service lag.

Schritt 2: Transparenz und Kontrolle

Nutzern verleiht die DSGVO erweiterte Sichtbarkeit und Kontrolle über den beabsichtigten Verwendungszweck ihrer Daten. Das Einrichten eines Portals, in dem Benutzer sich sicher, bedenkenlos einloggen, Korrekturen anfragen und ihr Recht auf das Vernichten gespeicherter Daten einfordern können, sollte für Unternehmen daher eine logische Schlussfolgerung sein. Mit IAM-Lösungen wird ihnen eine einzelne, digitale Identität ermöglicht, welche es vereinfacht, Self-Service-Pages und Multifaktor- Authentifizierung zu kreieren um sensible Informationen besser zu schützen. Viele handhaben die genannten Abläufe noch manuell, wenn automatische Workflow-Engines diese ohne externen Eingriff effizient abwickeln können.

Schritt 3: Best Practices für Sicherheit

Best Practices für Sicherheit hat es schon immer gegeben, aber die DSGVO gibt ihnen Nachdruck und verstärkt den Prozess. Sie bevollmächtigt einen minimalen Grad an Sicherheitsprotokollen wie Verschlüsselung und Pseudonymisierung. Der beste Weg um Sicherheit vorzuweisen ist das Einstellen von Identitätsexperten sowie regelmäßiges Updaten von Protokollen, anstatt interne Ressourcen zu belasten und Daten auf betriebseigenen Servern zu vernachlässigen.

Über Compliance hinaus ist es entscheidend, dass Einwilligungserklärungen regelmäßig aktualisiert werden um das Vertrauen zu Nutzern zu festigen. Identitätsplattformen haben sowohl Standardfunktionalitäten, sowie nutzerspezifische Anpassungen, um eben diese Beziehung zu fördern und zukunftsfähige Sicherheitsmaßnahmen einzurichten. Hierzu gehören unter anderem: Multifaktor- und risikobasierte Authentifizierung (MFA/RBA), föderierte Integrationen mit vertrauenswürdigen Identitätsanbietern und Erkennung von Anomalien und Datenschutzpannen.

Tools zur Umsetzung der ePrivacy-Verordnung

Aktuelles zur E-Privacy-Verordnung

Tools zur Umsetzung der ePrivacy-Verordnung

04.01.19 - Auch wenn die Verabschiedung der E-Privacy-Verordnung (ePVO) noch auf sich warten lässt, lohnt es sich, die Möglichkeiten zur Umsetzung genauer anzusehen. Gerade das Consent Management (Einwilligungsmanagement) ist nicht nur für die ePVO wichtig, sondern auch für die bereits anzuwendende DSGVO (Datenschutz-Grundverordnung). Eine Reihe von Tools bietet Unterstützung an. lesen

Durch Vertrauen an die Spitze

IAM-Plattformen müssen ihre Flexibilität und Reaktionsfähigkeit gegenüber den Ansprüchen ihrer Nutzer beibehalten, immerhin war die DSGVO selbst eine Antwort auf das Verlangen nach mehr Sicherheit und strengerem Datenschutz. Es fällt daher nicht schwer, sich den Erwartungen anzuschließen, dass es vom Nutzerverlangen gesteuerte Entwicklungen sind, welche in Zukunft an Bedeutsamkeit gewinnen werden.

Persönliche Daten sind das neue Öl - ein wertvolles, weit begehrtes und dennoch schmutziges Business - ihren korrekten Umgang zu erlernen, sollte daher nicht auf die leichte Schulter genommen werden. Vertrauen von Seiten des Nutzers spielt eine bedeutende Rolle, ist sich dieser nicht sicher sich auf das jeweilige Unternehmen verlassen zu können, wird er zu sicherheitsbewusster Konkurrenz übergehen.

Wer also in Sicherheit investiert und Datenschutz aufrichtig handhabt, zeichnet sich als Vorreiter und vertrauenswürdiger Anbieter heraus, ein Faktor der kritisch für anhaltende Loyalität und erfolgreichen Upsell ist. Unternehmen, welche sich hingegen weiterhin allmächtig im Bezug zu Nutzerdaten verhalten und an die „Single Check-Box” klammern, werden binnen kurzer Zeit gravierende Verluste tolerieren müssen.

Über den Autor: Chris Adriaensen leitet zur Zeit Auth0's EMEA Solutions Engineering Team und arbeitete zuvor bei ForgeRock und Verizon an diversen strategischen Identitäts-Projekten. Mit über 10 Jahren Erfahrung innerhalb der Industrie rund um digitale Identität, setzt er Auth0’s Plattform ein, um erfolgreiche, vertrauenswürdige Lösungen zu schaffen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45972217 / Benutzer und Identitäten)