:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vom Mitarbeiter- zum Kundenfokus Zusammenhänge und Unterschiede zwischen IAM und CIAM
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Wer digitale Dienste für seine Kunden einführen möchte, steht vor zwei Herausforderungen: einerseits soll die Verwaltung von Identitäten und Zugriffsberechtigungen möglichst zentralisiert sein, andererseits soll das Management sicher und flexibel auf Kundenanwendungen anpassbar sein. Um beides zu adressieren, muss man die Zusammenhänge und Unterschiede zwischen IAM und CIAM kennen.
Wie der Name schon sagt, geht es bei IAM (Identity and Access Management) sowohl um das Prüfen einer Nutzeridentität (Authentifizierung) als auch um die Zugriffsberechtigung auf Daten. Im Enterprise-IT-Umfeld geht es vor allem darum, Rollen, Zugriffsberechtigungen und -voraussetzungen einzelner Nutzer zu verwalten. Die Kernaufgabe besteht dabei immer darin, einem Individuum eine digitale Identität zuzuweisen. Wurde diese einmal erstellt, muss sie - über den gesamten Access Lifecycle eines Users hinweg - gewartet, aktualisiert und überwacht werden. Üblicherweise hat jedes Unternehmen für seine Authentifizierungs- sowie Autorisierungsprozesse mehrere Benutzerklassen mit individuellen Identitäts-, Rechte- und Rollenanforderungen. Das können sowohl die Mitarbeiter selbst, aber auch die Geschäftspartner oder Endkunden sein. Werden alle drei Benutzerklassen über dieselbe IAM-Plattform verwaltet, sollten idealerweise für alle drei Klassifizierungen individuelle Ansätze zum Datenschutz gewählt werden. Soweit so klar.
Stellen wir uns jetzt vor, ein Unternehmen möchte sukzessive seine Geschäftsprozesse digitalisieren und nutzt dafür webbasierte Anwendungen wie Slack und Wordpress, aber auch selbst entwickelte Business Applikationen. Hier benötigt jeder dieser Einsatzbereiche anschließend wiederum eigene Zugriffsrechte, Rollen und Identitäten. Die größte Schwierigkeit für die Verantwortlichen, dafür eine IAM-Plattform nutzen möchten, besteht nun darin, alle Informationen zu unterschiedlichen Nutzeridentitäten über alle Anwendungen hinweg zu synchronisieren. Denn üblicherweise loggen sich ja ganz unterschiedliche Nutzergruppen über unterschiedliche Geräte auf verschiedenste Applikationen ein. Mit dieser Fülle an diversen Zugangs- und Autorisierungsmöglichkeiten gerät eine IAM-Plattform schnell an seine Grenzen. Denn sie ist auf die gezielte Verwaltung von Zugriffs- und Berechtigungsstrukturen innerhalb eines Unternehmens ausgelegt, und ist nur schwer auf eine mögliche Integration mit externen Anwendungen adaptierbar.
Was kann IAM
IAM bildet die Basis für das Identity and Access Management. Klassische IAM Systeme verwalten die Identität der Beschäftigten, sprich die Identitäten tausender Personen, die das Unternehmen kennt und damit eine fixe Größe. Es werden entsprechende Authentifizierungs-Richtlinien festgelegt , (Gerät, Standort, Netzwerk, Anwendung, Tageszeit, Geolocation) , um die Nutzeridentitäten rollenspezifisch zu implementieren.
CIAM bricht interne Perspektiven auf
Genau hier setzt das Customer Identity and Access Management, kurz CIAM, an. Es handelt sich um eine Art strukturelle Erweiterung des IAM und fokussiert die Zugriffssteuerung auf extern verfügbare Anwendungen, also das Management der Kundenidentitäten. Genau daran wird nochmals ganz deutlich, wie wichtig Flexibilität und Adaptierbarkeit sind, um eigene IT-Architekturen aufzubrechen. Nehmen wir beispielsweise den Datenschutz. Jedes Identitätsprofil eines Kunden unterliegt der Einhaltung von regulatorischen und sicherheitspolitischen Vorgaben, weshalb beim CIAM sehr häufig auch der Chief Security Officer und der Datenschutzbeauftragte mitreden müssen. Hier geht es im Kern um die ständige möglichst zentralisierte Zugriffskontrolle auf Kundendaten. Sie kann beispielsweise Datensilos vermeiden, doppelte Datensätze löschen und zentral Berechtigungen erteilen oder entziehen. Diese einheitliche Sicht auf das Kundenprofil hat aber noch weitere Vorteile. Sie begünstigt Analysen und hilft Unternehmen dabei, die strengen Berichtsanforderungen der Datenschutzgesetze zu erfüllen, da alle Profildaten zugänglich und übertragbar sind. Aber es geht auch darum, den Schutz der Kundendaten möglichst vollumfänglich zu gewährleisten und alle Arten von Cyberattacken erfolgreich abzuwehren. Kurzum: CIAM regelt die Verschlüsselung und Anonymisierung persönlicher Daten, um sie für Internetkriminelle unbrauchbar zu machen.
Merkmale von CIAM
Skalierbarkeit: Im Gegensatz zu einem traditionellen IAM, einer Workforce-Identity-Lösung, die Mitarbeiter und Lieferanten unterstützt, die einen relativ statischen Zugriff auf eine vorab zugewiesene Liste von Anwendungen benötigt, muss CIAM auf Millionen von Nutzern sowie eine Vielzahl von Anwendungen resp. digitalen Services skalieren.
Single Sign-On (SSO): SSO ermöglicht es Nutzern, sich bei einer Anwendung anzumelden und automatisch bei einer Reihe von weiteren Applikationen angemeldet zu werden. Eines der bekanntesten Beispiele für SSO ist die Google G Suite, bei der man nach der Anmeldung bei Google Mail automatisch bei weiteren Google-Diensten angemeldet ist. Eine Alternative zu SSO, die speziell für Endnutzer entwickelt wurde, ist die Anmeldung über soziale Netzwerke, wie Facebook, um ihre Identität zu verifizieren. Diese Social Logins vereinfachen den Anmeldeprozess für Nutzer erheblich, was das Risiko von Anmelde- und Kaufabbrüchen verringert.
Multi-Faktor-Authentifizierung (MFA): MFA ist eine sicherere Methode zur Authentifizierung der Benutzeridentität als die herkömmliche Kombination aus Benutzername und Kennwort, da MFA einen zusätzlichen Faktor verlangt, mit dem Nutzer ihre Identität nachweisen können. Dies kann eine einmalige PIN sein, die an das mobile Gerät des Nutzers gesendet wird, eine E-Mail oder ein biometrisches Merkmal, wie ein Fingerabdruck. MFA wird zunehmend als Grundvoraussetzung für Sicherheit angesehen, weshalb diese Technologie in einigen Branchen zur Pflicht wurde. MFA sollte jedoch nur kontextbezogen auf Basis des bewerteten Risikos ausgelöst werden, z.B. wenn sich ein Kunde mit einem neuen Gerät anmeldet oder eine verdächtige Transaktion durchführt (adaptive MFA), da Anmeldeprozesse sonst unnötig komplex werden und die Kundenzufriedenheit darunter leiden kann.
Unterschiede zwischen IAM und CIAM
CIAM ist eine Erweiterung von IAM und verwaltet die Identitäten von Kunden, sprich dem Unternehmen unbekannte hunderttausende oder sogar Millionen Nutzer. Da in diesem Fall mit einem größeren Maßstab gerechnet wird, gelten Sicherheitsrichtlinien für viele Tausende von Nutzern, wobei das eingesetzte Gerät und die Geo-Lokalisierung die wichtigsten Faktoren für den Authentifizierungsprozess ausmachen. Klassische IAM Systeme sind für diese komplexen Anforderungen an das Management tausender Kundenidentitäten nicht gemacht und verfügen auch meist nicht über die benötigte Skalierbarkeit, welche über die Cloud realisierbar ist.
IAM legt seinen Schwerpunkt auf die Sicherheit des Nutzerprofils, CIAM hingegen nimmt die Kundensicht ein, und fokussiert sich auf die Realisierung eines nahtlosen Kundenerlebnisses, auf Basis einer robust und redundant angelegten Web-Präsenz. CIAM-Lösungen sind die Basis, um personalisierte Kunden-Services anzubieten, denn Kundenprofile können entsprechend der vorhandenen Zugänge (social logins) datentechnisch angereichert werden. Zudem zeichnen sich CIAM-Lösungen dadurch aus, dass sie Anomalien im Authentifizierungsprozess aufspüren und automatisiert gegen Bot- oder Credential Stuffing Angriffe auf Kundenprofile vorgehen.
Fazit
Effizient und lohnenswert wird der Einsatz von CIAM-Systemen erst ab einer gewissen Unternehmensgröße und geschäftlichen Ausrichtung. Nämlich dann, wenn das Management von Nutzeridentitäten aufgrund erweiterter Zielgruppen vielschichtig und damit komplex und kostspielig wird. Unternehmen im B2B-Umfeld, die sich vorwiegend auf das Identitätsmanagement der eigenen Workforce konzentrieren möchten, sind mit dem IAM-Ansatz gut bedient. Werden im Zuge des Managements von Kundenidentitäten Skalierbarkeit und Flexibilität relevant, macht ein rechtzeitiger Schwenk auf CIAM Sinn.
Über den Autor: Kevin Switala ist Enterprise Account Executive beim Identitätsanbieter Auth0.
(ID:47469462)
:quality(80)/images.vogel.de/vogelonline/bdb/1942400/1942474/original.jpg "Immerhin ein knappes Drittel der Deutschen wäre bereit, persönliche Daten für einen Preisnachlass herauszugeben. (Maksim Kabakou - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913855/original.jpg "Sind zu viele digitale Identitäten in Unternehmenssystemen hinterlegt, wird die Verwaltung schnell schwierig oder sogar zum Sicherheitsrisiko. (freshidea - stock.adobe.com)")