Vom Mitarbeiter- zum Kundenfokus Zusammenhänge und Unterschiede zwischen IAM und CIAM
Anbieter zum Thema
Wer digitale Dienste für seine Kunden einführen möchte, steht vor zwei Herausforderungen: einerseits soll die Verwaltung von Identitäten und Zugriffsberechtigungen möglichst zentralisiert sein, andererseits soll das Management sicher und flexibel auf Kundenanwendungen anpassbar sein. Um beides zu adressieren, muss man die Zusammenhänge und Unterschiede zwischen IAM und CIAM kennen.

Wie der Name schon sagt, geht es bei IAM (Identity and Access Management) sowohl um das Prüfen einer Nutzeridentität (Authentifizierung) als auch um die Zugriffsberechtigung auf Daten. Im Enterprise-IT-Umfeld geht es vor allem darum, Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu verwalten. Die Kernaufgabe besteht dabei immer darin, einem Individuum eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie - über den gesamten Access Lifecycle eines Users hinweg - gewartet, aktualisiert und überwacht werden. Üblicherweise hat jedes Unternehmen für seine Authentifizierungs- sowie Autorisierungsprozesse mehrere Benutzerklassen mit individuellen Identitäts-, Rechte- und Rollenanforderungen. Das können sowohl die Mitarbeiter selbst, aber auch die Geschäftspartner oder Endkunden sein. Werden alle drei Benutzerklassen über dieselbe IAM-Plattform verwaltet, sollten idealerweise für alle drei Klassifizierungen individuelle Ansätze zum Datenschutz gewählt werden. Soweit so klar.
Stellen wir uns jetzt vor, ein Unternehmen möchte sukzessive seine Geschäftsprozesse digitalisieren und nutzt dafür webbasierte Anwendungen wie Slack und Wordpress, aber auch selbst entwickelte Business Applikationen. Hier benötigt jeder dieser Einsatzbereiche anschließend wiederum eigene Zugriffsrechte, Rollen und Identitäten. Die größte Schwierigkeit für die Verantwortlichen, dafür eine IAM-Plattform nutzen möchten, besteht nun darin, alle Informationen zu unterschiedlichen Nutzeridentitäten über alle Anwendungen hinweg zu synchronisieren. Denn üblicherweise loggen sich ja ganz unterschiedliche Nutzergruppen über unterschiedliche Geräte auf verschiedenste Applikationen ein. Mit dieser Fülle an diversen Zugangs- und Autorisierungsmöglichkeiten gerät eine IAM-Plattform schnell an seine Grenzen. Denn sie ist auf die gezielte Verwaltung von Zugriffs- und Berechtigungsstrukturen innerhalb eines Unternehmens ausgelegt, und ist nur schwer auf eine mögliche Integration mit externen Anwendungen adaptierbar.
Was kann IAM
IAM bildet die Basis für das Identity and Access Management. Klassische IAM Systeme verwalten die Identität der Beschäftigten, sprich die Identitäten tausender Personen, die das Unternehmen kennt und damit eine fixe Größe. Es werden entsprechende Authentifizierungs-Richtlinien festgelegt , (Gerät, Standort, Netzwerk, Anwendung, Tageszeit, Geolocation) , um die Nutzeridentitäten rollenspezifisch zu implementieren.
CIAM bricht interne Perspektiven auf
Genau hier setzt das Customer Identity and Access Management, kurz CIAM, an. Es handelt sich um eine Art strukturelle Erweiterung des IAM und fokussiert die Zugriffssteuerung auf extern verfügbare Anwendungen, also das Management der Kundenidentitäten. Genau daran wird nochmals ganz deutlich, wie wichtig Flexibilität und Adaptierbarkeit sind, um eigene IT-Architekturen aufzubrechen. Nehmen wir beispielsweise den Datenschutz. Jedes Identitätsprofil eines Kunden unterliegt der Einhaltung von regulatorischen und sicherheitspolitischen Vorgaben, weshalb beim CIAM sehr häufig auch der Chief Security Officer und der Datenschutzbeauftragte mitreden müssen. Hier geht es im Kern um die ständige möglichst zentralisierte Zugriffskontrolle auf Kundendaten. Sie kann beispielsweise Datensilos vermeiden, doppelte Datensätze löschen und zentral Berechtigungen erteilen oder entziehen. Diese einheitliche Sicht auf das Kundenprofil hat aber noch weitere Vorteile. Sie begünstigt Analysen und hilft Unternehmen dabei, die strengen Berichtsanforderungen der Datenschutzgesetze zu erfüllen, da alle Profildaten zugänglich und übertragbar sind. Aber es geht auch darum, den Schutz der Kundendaten möglichst vollumfänglich zu gewährleisten und alle Arten von Cyberattacken erfolgreich abzuwehren. Kurzum: CIAM regelt die Verschlüsselung und Anonymisierung persönlicher Daten, um sie für Internetkriminelle unbrauchbar zu machen.
Merkmale von CIAM
Skalierbarkeit: Im Gegensatz zu einem traditionellen IAM, einer Workforce-Identity-Lösung, die Mitarbeiter und Lieferanten unterstützt, die einen relativ statischen Zugriff auf eine vorab zugewiesene Liste von Anwendungen benötigt, muss CIAM auf Millionen von Nutzern sowie eine Vielzahl von Anwendungen resp. digitalen Services skalieren.
Single Sign-On (SSO): SSO ermöglicht es Nutzern, sich bei einer Anwendung anzumelden und automatisch bei einer Reihe von weiteren Applikationen angemeldet zu werden. Eines der bekanntesten Beispiele für SSO ist die Google G Suite, bei der man nach der Anmeldung bei Google Mail automatisch bei weiteren Google-Diensten angemeldet ist. Eine Alternative zu SSO, die speziell für Endnutzer entwickelt wurde, ist die Anmeldung über soziale Netzwerke, wie Facebook, um ihre Identität zu verifizieren. Diese Social Logins vereinfachen den Anmeldeprozess für Nutzer erheblich, was das Risiko von Anmelde- und Kaufabbrüchen verringert.
Multi-Faktor-Authentifizierung (MFA): MFA ist eine sicherere Methode zur Authentifizierung der Benutzeridentität als die herkömmliche Kombination aus Benutzername und Kennwort, da MFA einen zusätzlichen Faktor verlangt, mit dem Nutzer ihre Identität nachweisen können. Dies kann eine einmalige PIN sein, die an das mobile Gerät des Nutzers gesendet wird, eine E-Mail oder ein biometrisches Merkmal, wie ein Fingerabdruck. MFA wird zunehmend als Grundvoraussetzung für Sicherheit angesehen, weshalb diese Technologie in einigen Branchen zur Pflicht wurde. MFA sollte jedoch nur kontextbezogen auf Basis des bewerteten Risikos ausgelöst werden, z.B. wenn sich ein Kunde mit einem neuen Gerät anmeldet oder eine verdächtige Transaktion durchführt (adaptive MFA), da Anmeldeprozesse sonst unnötig komplex werden und die Kundenzufriedenheit darunter leiden kann.
Unterschiede zwischen IAM und CIAM
CIAM ist eine Erweiterung von IAM und verwaltet die Identitäten von Kunden, sprich dem Unternehmen unbekannte hunderttausende oder sogar Millionen Nutzer. Da in diesem Fall mit einem größeren Maßstab gerechnet wird, gelten Sicherheitsrichtlinien für viele Tausende von Nutzern, wobei das eingesetzte Gerät und die Geo-Lokalisierung die wichtigsten Faktoren für den Authentifizierungsprozess ausmachen. Klassische IAM Systeme sind für diese komplexen Anforderungen an das Management tausender Kundenidentitäten nicht gemacht und verfügen auch meist nicht über die benötigte Skalierbarkeit, welche über die Cloud realisierbar ist.
IAM legt seinen Schwerpunkt auf die Sicherheit des Nutzerprofils, CIAM hingegen nimmt die Kundensicht ein, und fokussiert sich auf die Realisierung eines nahtlosen Kundenerlebnisses, auf Basis einer robust und redundant angelegten Web-Präsenz. CIAM-Lösungen sind die Basis, um personalisierte Kunden-Services anzubieten, denn Kundenprofile können entsprechend der vorhandenen Zugänge (social logins) datentechnisch angereichert werden. Zudem zeichnen sich CIAM-Lösungen dadurch aus, dass sie Anomalien im Authentifizierungsprozess aufspüren und automatisiert gegen Bot- oder Credential Stuffing Angriffe auf Kundenprofile vorgehen.
Fazit
Effizient und lohnenswert wird der Einsatz von CIAM-Systemen erst ab einer gewissen Unternehmensgröße und geschäftlichen Ausrichtung. Nämlich dann, wenn das Management von Nutzeridentitäten aufgrund erweiterter Zielgruppen vielschichtig und damit komplex und kostspielig wird. Unternehmen im B2B-Umfeld, die sich vorwiegend auf das Identitätsmanagement der eigenen Workforce konzentrieren möchten, sind mit dem IAM-Ansatz gut bedient. Werden im Zuge des Managements von Kundenidentitäten Skalierbarkeit und Flexibilität relevant, macht ein rechtzeitiger Schwenk auf CIAM Sinn.
Über den Autor: Kevin Switala ist Enterprise Account Executive beim Identitätsanbieter Auth0.
(ID:47469462)