:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vom Mitarbeiter- zum Kundenfokus Zusammenhänge und Unterschiede zwischen IAM und CIAM
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Wer digitale Dienste für seine Kunden einführen möchte, steht vor zwei Herausforderungen: einerseits soll die Verwaltung von Identitäten und Zugriffsberechtigungen möglichst zentralisiert sein, andererseits soll das Management sicher und flexibel auf Kundenanwendungen anpassbar sein. Um beides zu adressieren, muss man die Zusammenhänge und Unterschiede zwischen IAM und CIAM kennen.
Wie der Name schon sagt, geht es bei IAM (Identity and Access Management) sowohl um das Prüfen einer Nutzeridentität (Authentifizierung) als auch um die Zugriffsberechtigung auf Daten. Im Enterprise-IT-Umfeld geht es vor allem darum, Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu verwalten. Die Kernaufgabe besteht dabei immer darin, einem Individuum eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie - über den gesamten Access Lifecycle eines Users hinweg - gewartet, aktualisiert und überwacht werden. Üblicherweise hat jedes Unternehmen für seine Authentifizierungs- sowie Autorisierungsprozesse mehrere Benutzerklassen mit individuellen Identitäts-, Rechte- und Rollenanforderungen. Das können sowohl die Mitarbeiter selbst, aber auch die Geschäftspartner oder Endkunden sein. Werden alle drei Benutzerklassen über dieselbe IAM-Plattform verwaltet, sollten idealerweise für alle drei Klassifizierungen individuelle Ansätze zum Datenschutz gewählt werden. Soweit so klar.
Stellen wir uns jetzt vor, ein Unternehmen möchte sukzessive seine Geschäftsprozesse digitalisieren und nutzt dafür webbasierte Anwendungen wie Slack und Wordpress, aber auch selbst entwickelte Business Applikationen. Hier benötigt jeder dieser Einsatzbereiche anschließend wiederum eigene Zugriffsrechte, Rollen und Identitäten. Die größte Schwierigkeit für die Verantwortlichen, dafür eine IAM-Plattform nutzen möchten, besteht nun darin, alle Informationen zu unterschiedlichen Nutzeridentitäten über alle Anwendungen hinweg zu synchronisieren. Denn üblicherweise loggen sich ja ganz unterschiedliche Nutzergruppen über unterschiedliche Geräte auf verschiedenste Applikationen ein. Mit dieser Fülle an diversen Zugangs- und Autorisierungsmöglichkeiten gerät eine IAM-Plattform schnell an seine Grenzen. Denn sie ist auf die gezielte Verwaltung von Zugriffs- und Berechtigungsstrukturen innerhalb eines Unternehmens ausgelegt, und ist nur schwer auf eine mögliche Integration mit externen Anwendungen adaptierbar.
Was kann IAM
IAM bildet die Basis für das Identity and Access Management. Klassische IAM Systeme verwalten die Identität der Beschäftigten, sprich die Identitäten tausender Personen, die das Unternehmen kennt und damit eine fixe Größe. Es werden entsprechende Authentifizierungs-Richtlinien festgelegt , (Gerät, Standort, Netzwerk, Anwendung, Tageszeit, Geolocation) , um die Nutzeridentitäten rollenspezifisch zu implementieren.
CIAM bricht interne Perspektiven auf
Genau hier setzt das Customer Identity and Access Management, kurz CIAM, an. Es handelt sich um eine Art strukturelle Erweiterung des IAM und fokussiert die Zugriffssteuerung auf extern verfügbare Anwendungen, also das Management der Kundenidentitäten. Genau daran wird nochmals ganz deutlich, wie wichtig Flexibilität und Adaptierbarkeit sind, um eigene IT-Architekturen aufzubrechen. Nehmen wir beispielsweise den Datenschutz. Jedes Identitätsprofil eines Kunden unterliegt der Einhaltung von regulatorischen und sicherheitspolitischen Vorgaben, weshalb beim CIAM sehr häufig auch der Chief Security Officer und der Datenschutzbeauftragte mitreden müssen. Hier geht es im Kern um die ständige möglichst zentralisierte Zugriffskontrolle auf Kundendaten. Sie kann beispielsweise Datensilos vermeiden, doppelte Datensätze löschen und zentral Berechtigungen erteilen oder entziehen. Diese einheitliche Sicht auf das Kundenprofil hat aber noch weitere Vorteile. Sie begünstigt Analysen und hilft Unternehmen dabei, die strengen Berichtsanforderungen der Datenschutzgesetze zu erfüllen, da alle Profildaten zugänglich und übertragbar sind. Aber es geht auch darum, den Schutz der Kundendaten möglichst vollumfänglich zu gewährleisten und alle Arten von Cyberattacken erfolgreich abzuwehren. Kurzum: CIAM regelt die Verschlüsselung und Anonymisierung persönlicher Daten, um sie für Internetkriminelle unbrauchbar zu machen.
Merkmale von CIAM
Skalierbarkeit: Im Gegensatz zu einem traditionellen IAM, einer Workforce-Identity-Lösung, die Mitarbeiter und Lieferanten unterstützt, die einen relativ statischen Zugriff auf eine vorab zugewiesene Liste von Anwendungen benötigt, muss CIAM auf Millionen von Nutzern sowie eine Vielzahl von Anwendungen resp. digitalen Services skalieren.
Single Sign-On (SSO): SSO ermöglicht es Nutzern, sich bei einer Anwendung anzumelden und automatisch bei einer Reihe von weiteren Applikationen angemeldet zu werden. Eines der bekanntesten Beispiele für SSO ist die Google G Suite, bei der man nach der Anmeldung bei Google Mail automatisch bei weiteren Google-Diensten angemeldet ist. Eine Alternative zu SSO, die speziell für Endnutzer entwickelt wurde, ist die Anmeldung über soziale Netzwerke, wie Facebook, um ihre Identität zu verifizieren. Diese Social Logins vereinfachen den Anmeldeprozess für Nutzer erheblich, was das Risiko von Anmelde- und Kaufabbrüchen verringert.
Multi-Faktor-Authentifizierung (MFA): MFA ist eine sicherere Methode zur Authentifizierung der Benutzeridentität als die herkömmliche Kombination aus Benutzername und Kennwort, da MFA einen zusätzlichen Faktor verlangt, mit dem Nutzer ihre Identität nachweisen können. Dies kann eine einmalige PIN sein, die an das mobile Gerät des Nutzers gesendet wird, eine E-Mail oder ein biometrisches Merkmal, wie ein Fingerabdruck. MFA wird zunehmend als Grundvoraussetzung für Sicherheit angesehen, weshalb diese Technologie in einigen Branchen zur Pflicht wurde. MFA sollte jedoch nur kontextbezogen auf Basis des bewerteten Risikos ausgelöst werden, z.B. wenn sich ein Kunde mit einem neuen Gerät anmeldet oder eine verdächtige Transaktion durchführt (adaptive MFA), da Anmeldeprozesse sonst unnötig komplex werden und die Kundenzufriedenheit darunter leiden kann.
Unterschiede zwischen IAM und CIAM
CIAM ist eine Erweiterung von IAM und verwaltet die Identitäten von Kunden, sprich dem Unternehmen unbekannte hunderttausende oder sogar Millionen Nutzer. Da in diesem Fall mit einem größeren Maßstab gerechnet wird, gelten Sicherheitsrichtlinien für viele Tausende von Nutzern, wobei das eingesetzte Gerät und die Geo-Lokalisierung die wichtigsten Faktoren für den Authentifizierungsprozess ausmachen. Klassische IAM Systeme sind für diese komplexen Anforderungen an das Management tausender Kundenidentitäten nicht gemacht und verfügen auch meist nicht über die benötigte Skalierbarkeit, welche über die Cloud realisierbar ist.
IAM legt seinen Schwerpunkt auf die Sicherheit des Nutzerprofils, CIAM hingegen nimmt die Kundensicht ein, und fokussiert sich auf die Realisierung eines nahtlosen Kundenerlebnisses, auf Basis einer robust und redundant angelegten Web-Präsenz. CIAM-Lösungen sind die Basis, um personalisierte Kunden-Services anzubieten, denn Kundenprofile können entsprechend der vorhandenen Zugänge (social logins) datentechnisch angereichert werden. Zudem zeichnen sich CIAM-Lösungen dadurch aus, dass sie Anomalien im Authentifizierungsprozess aufspüren und automatisiert gegen Bot- oder Credential Stuffing Angriffe auf Kundenprofile vorgehen.
Fazit
Effizient und lohnenswert wird der Einsatz von CIAM-Systemen erst ab einer gewissen Unternehmensgröße und geschäftlichen Ausrichtung. Nämlich dann, wenn das Management von Nutzeridentitäten aufgrund erweiterter Zielgruppen vielschichtig und damit komplex und kostspielig wird. Unternehmen im B2B-Umfeld, die sich vorwiegend auf das Identitätsmanagement der eigenen Workforce konzentrieren möchten, sind mit dem IAM-Ansatz gut bedient. Werden im Zuge des Managements von Kundenidentitäten Skalierbarkeit und Flexibilität relevant, macht ein rechtzeitiger Schwenk auf CIAM Sinn.
Über den Autor: Kevin Switala ist Enterprise Account Executive beim Identitätsanbieter Auth0.
(ID:47469462)
:quality(80)/p7i.vogel.de/wcms/d6/cb/d6cb86ff67651b8683ade77a1e3a72bb/0107266293.jpeg "Vertrauen braucht Sicherheit und Sicherheit darf nicht als notwendiges Übel wahrgenommen werden. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")