:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Nutzerfreundliches Identity und Access Management Sicherheit braucht gute Erfahrungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Studien zeigen, dass Menschen Komfort der Sicherheit und dem Datenschutz oft vorziehen. IT-Security ist jedoch keine Entweder-oder-Entscheidung: Wenn die Sicherheit fehlt, steht das Vertrauen in die jeweilige Marke auf dem Spiel. In unserer hypervernetzten Welt braucht es Security-Erfahrungen, die sicher und nutzerfreundlich sind. Aber wie geht das?
Der Boom von Remote Work, Cloud und Mobile Computing so wie „Bring your own Device”-Initiativen haben den Schutz digitaler Identitäten und Zero Trust ganz nach oben auf die Agenda von CIOs, CISOs und CTOs gespült. Mitarbeitende werden in viele Fällen auch in Zukunft nicht mehr täglich im Büro in einem geschützten Unternehmensnetzwerk sitzen; der Perimeter hat sich verschoben. Hinzu kommt, dass Unternehmen immer mehr Anwendungen nutzen. Laut des Okta Businesses@Work Reports 2022 sind es im Durchschnitt 187 Apps bei Unternehmen mit 2.000 oder mehr Mitarbeitenden. Das sind bis zu 187 Passwörter pro Person und genauso viele mögliche Accesspoints für Cyberkriminelle.
Auf der Seite der Konsumenten ergibt sich ein ähnliches Bild: Die Verbraucher in Deutschland sind digitaler geworden. Online-Apps und -Services sind nicht mehr aus dem Alltag wegzudenken: vom Online-Shopping, über Remote Learning und Homeoffice bis hin zum Socializing über digitale Plattformen.
Was alle Services und Anwendungen gemein haben: Sichere digitale Identitäten sind die Voraussetzung, um Nutzerkonten – mitarbeiter- oder kundenseitig – bestmöglich vor Cyberangriffen zu schützen.
Identity-First
In einer hypervernetzten Welt agieren nicht nur Menschen, sondern auch Unternehmen, Geräte, Systeme und Anwendungen. Sie alle müssen eindeutig authentifiziert werden, um sichere und reibungslose Nutzererfahrungen zu ermöglichen. Identitäten sind also der Vertrauensanker in der digitalen Welt, gleichzeitig haben Cyberkriminelle es jedoch genau auf diese abgesehen.
Ransomware-Attacken, Botnetangriffe, Credential Stuffing und Spearfishing-Attacken machen fast täglich Schlagzeilen. Laut des Verizon Data Breach Investigation Reports gehen dabei 61 Prozent aller Cyberattacken auf gestohlene Anmeldedaten zurück - und Angreifer haben häufig leichtes Spiel: So gaben z. B. 86 Prozent der Konsumenten in der aktuellen „Expectation vs. Reality“ Studie von Auth0, einer Produkteinheit von Okta, an, Passwörter mehrfach zu verwenden. Zudem kommen außer einem Passwort häufig keine zusätzlichen Authentifizierungsfaktoren zum Einsatz – Stichwort Multi-Faktor-Authentifizierung (MFA).
Von der Hürde zum Wettbewerbsvorteil
Im Grunde kann man Usern keinen Vorwurf machen: zu viele Zugänge, zu viele Passwörter. Comfort is King. Die Verantwortung liegt bei den Unternehmen, Authentifizierungs- und Login Erfahrungen zu kreieren, die intuitiv und einfach sind. So hat knapp die Hälfte (46 Prozent) der Verbraucher schon einmal eine Anmeldung abgebrochen und den vollen Warenkorb “stehen gelassen”, weil der Login-Prozess eines Online-Shops zu umständlich war. Hier entscheidet die Nutzerfreundlichkeit direkt über den Verkaufsabschluss und ökonomischen Erfolg einer Marke.
Um hohe Absprungraten zu vermeiden und den Aufwand des Helpdesks zu verringern, braucht es daher einen soliden Passwort-Reset-Workflow, oder noch besser: Optionen, die ganz ohne Passwörter auskommen. Es ist Zeit, Authentifizierungsmöglichkeiten auszuschöpfen, die über das klassische Passwort hinausgehen und situationsabhängig und nach einer Risikobewertung alternative Faktoren abfragen. Bei der adaptiven Multi-Faktor-Authentifizierung können User zum Beispiel ihren Fingerabdruck und eine Pushnachricht als Faktoren hinterlegen. Diese werden jedoch nur dann abgefragt, wenn verdächtiges Verhalten erkannt wird. Das sorgt für eine reibungslose Login-Experience, produktivere Arbeitsprozesse und höhere Konversionsraten bei den Kunden. Gleiches gilt für Single-Sign-On-Optionen (SSO), über die Kunden mit einer einzigen Anmeldung auf alle Angebote eines Unternehmens zugreifen können – oder Teams auf alle für sie relevanten Systeme und Inhalte. Entsprechend ergab die Auth0-Studie, dass 49 Prozent der Verbraucher eine App eher nutzen, wenn sie MFA unterstützt, 48 Prozent wenn sie SSO anbietet, 44 Prozent Biometrie usw.
IT-Security und Identity sind keine reinen IT-Themen mehr
Diese Beispiele verdeutlichen, dass IT-Security kein reines IT-Thema mehr ist. Vielmehr sollten auch das Marketing und ggf. die HR-Abteilung in die Themen Kundenlogin und Identitätsmanagement einbezogen werden, um maßgeschneiderte Nutzererfahrungen zu schaffen, mit denen sich Unternehmen positiv vom Wettbewerb absetzen können – als Anbieter von Produkten und Dienstleistungen, aber immer stärker auch als moderner Arbeitgeber, der in Zeiten von Fachkräftemangel ein attraktives und flexibles Arbeitsumfeld bietet.
Identity- und Access-Management: Build or Buy?
Bevor es richtig losgehen kann, muss wie bei den meisten IT-Projekten auch hier zunächst die Frage “Build or Buy?” geklärt werden. Dabei sind vor allem zwei Aspekte zu berücksichtigen: Haben wir im Unternehmen die Expertise und Ressourcen, um eine IAM-Lösung langfristig, sicher, wirtschaftlich und nutzerfreundlich zu betreiben? Das kann insbesondere für kleinere und mittelständische Unternehmen angesichts dünn besetzter IT-Abteilungen und ressourcenintensiver Entwicklung und Wartung eine Herausforderung sein.
Ein zweiter wichtiger Faktor ist Zeit. Die letzten beiden Jahren haben gezeigt, wie schnell sich Markt- und Lebensbedingungen ändern können – Stichwort Remote Work und E-Commerce-Boom, um nur zwei Aspekte zu nennen. Arbeitsprozesse und ganze Geschäftsmodelle ändern sich schneller als je zuvor. Wenn ein Unternehmen beispielsweise quasi über Nacht einen Online-Shop auf die Beine stellen muss, braucht es Lösungen, die schnell einsatzbereit sind und dabei keine Kompromisse bei Sicherheit oder Nutzererfahrung machen.
Anbieter von Identity-und Access Management aus der Cloud, bieten Lösungen, die schnell zu implementieren und leicht skalierbar sind. So hat beispielsweise Zeotap, ein deutscher Anbieter einer Data-as-a-Service-Plattform für das Management von Kundendaten, seine Lösung mithilfe der Okta Identity Platform in nur sechs Monaten implementiert und dabei 120 Wochen Entwicklerzeit und bis dato 22.500 Servicestunden des Helpdesks gespart.
Sicherheit Plus
Unabhängig davon, ob inhouse eigene Lösungen entwickelt oder die Services eines Identity Provider in Anspruch genommen werden, sollten neben der Sicherstellung, dass alle Richtlinien zur IT-Security, Compliance und zum Datenschutz, wie DSGVO erfüllt sind, folgende Aspekt abgedeckt sein:
Kundenerfahrung: Sicher allein reicht nicht mehr. Für eine moderne User-Experience braucht es MFA, SSO und Branding-Optionen für die Nutzeroberfläche, um insbesondere bei der Absicherung von Kundenaccounts eine reibungslose und einheitliche Erfahrung sicherzustellen. Einige Identity Provider bieten hier vielfältige Customizing-Optionen.
Agilität: Hosting in der Cloud ermöglicht maximale, Agilität und Flexibilität sowie Skalierbarkeit, um schnell auf veränderte Bedarfe oder Prozesse zu reagieren.
Effizienz: Um den Verwaltungsaufwand zu reduzieren, braucht es Optionen für automatisierte Identity-Workflows, wie die für Passwort-Reset und Lifecycle-Management – von der Vergabe von rollenbasierten Zugriffsrechten bis hin zu deren Löschung. Customer Identity und Access Management (CIAM) und Workforce Identity und Access Management sollten zudem als ein “Komplettpaket” konzipiert bzw. gekauft und so Synergieeffekte genutzt und Admins entlastet werden. Wird ein externer Identity Provider genutzt, ist es zudem sinnvoll, darauf zu achten, dass vorgefertigte Integrationen für gängige Anwendungen und Systeme vorhanden sind.
Fazit
Vertrauen braucht Sicherheit und Sicherheit muss derart aufbereitet sein, dass sie nicht als notwendiges Übel wahrgenommen wird, sondern als Tool, das die Nutzererfahrung sogar verbessern kann und eine einfache und sichere Verwendung von Produkten und Diensten ermöglicht. Modernes Identity und Access Management aus der Cloud verbindet beides.
Über den Autor: Eugenio Pace ist CEO und Mitgründer von Auth0, einer Produkteinheit von Okta.
(ID:48610123)
:quality(80)/p7i.vogel.de/wcms/d7/f8/d7f810045d218a1bf1d3567864a3a0be/0108707706.jpeg "Im Rahmen der Konferenz Oktane22 stellte Okta verschiedene Neuheiten vor. (Bild: Okta)")
:quality(80)/p7i.vogel.de/wcms/f6/b3/f6b334bbadd3a8caa6dfdbcd830f6141/0112206946.jpeg "Mit der steigenden Anzahl von Online-Konten wachsen auch Sorgen seitens der Verbraucher, wenn es um die Sicherheit im Umgang mit persönlichen Daten geht. Das zeigt ein Report von Okta in Zusammenarbeit mit Statista. (Bild: Irene - stock.adobe.com)")