2014 veröffentlichte die Bundesregierung die „digitale Agenda“. Diese machte unmissverständlich klar, dass der digitale Wandel nicht nur unseren Alltag, wie und wo wir arbeiten und das Zusammenleben verändert, sondern dass er auch mitentscheidend sein wird für den Wohlstand, die Lebensqualität und die Zukunftsfähigkeit in Deutschland. Im Bereich „digitale Wirtschaft und digitales Arbeiten“, einem der sieben Handlungsfelder der Agenda, setzt sich die Regierung folgendes Ziel: Unternehmen sollen darin unterstützt werden, ihre Innovationsfähigkeit durch neue digitale Technologien zu erhöhen. Zudem soll die Digitalisierung – Stichwort Industrie 4.0 – vorangetrieben werden.
Das Potenzial, welches die Digitalisierung der traditionellen Wertschöpfungsketten bietet, eröffnet völlig neue Perspektiven und Geschäftsmodelle. Unternehmen aus nahezu allen Branchen profitieren davon. Es ist nicht mehr alleine das Produkt, sondern der gesamte Wertschöpfungsprozess vor, während und nach dem Produktverkauf, der Kunden stärker an die Unternehmen bindet und somit zur Steigerung von Umsatz und Profitabilität beiträgt. Bei der Ausrichtung der Wertschöpfungskette an einer direkten Beziehung zum Kunden spielen digitale Identitäten eine zentrale Rolle – die digitale Identität muss, in dieser rein im virtuellen Raum stattfindenden Geschäftsbeziehung, Vertrauen und Sicherheit bieten. Nur über digitale Identitäten kann sichergestellt werden, dass Informationen vertraulich bleiben und Dienste nur von dafür autorisierten Personen oder Geräten in Anspruch genommen werden. Auch für die Nachvollziehbarkeit der Vorgänge in der Wertschöpfungskette ist die digitale Identität essenziell. Digitale Identitäten von Personen, Geräten und Dingen werden damit zum Rückgrat der Digitalisierung.
Die Finanzbranche, die derzeit regelrecht durch Fintech-Startups revolutioniert wird, ist ein gutes Beispiel dafür, wie technologiegetriebene Unternehmen digital und mit großer Dynamik in den Markt drängen und neue Geschäftsfelder erschließen. Das Berliner Fintech-Unternehmen WebID Solutions GmbH, weltweiter Pionier im Segment der GwG-konformen Face2Face-Online-Identifikation, schafft mit seinen patentierten Systemlösungen im Bereich der Video-Identifikation sowie des digitalen Vertragsabschlusses die Voraussetzungen für das „Banking von morgen“. Bis vor zwei Jahren war das altbekannte Post- oder BankIdent-Verfahren, bei dem der Gang zur Filiale für den Vertragsabschluss nötig war, der einzige seitens der BaFin zugelassene Identifizierungsmechanismus. Heute kann der Kunde auch per neu zugelassener Video-Identifizierung via Webcam oder Smartphone-Kamera seinen Kredit oder sein neues Konto rechtskonform abschließen. Vor allem Banken und Versicherungen treiben den Einsatz neuer flexibler Identifizierungs- und Authentifizierungsverfahren stark voran, nicht zuletzt auch, um mittelfristig die bekannten, aber als benutzerunfreundlich und unsicher geltenden Passwort- und TAN-Mechanismen abzulösen.
Neubewertung von Identity Management ist erforderlich
Die Schlüsselfunktion der „digitalen Identität“, die wachsende Zahl von Benutzergruppen (Mitarbeiter, Partner, Kunden …), die über immer mehr Zugänge wie Cloud und Mobile auf eine immer komplexere IT-Umgebung zugreifen sowie die steigende Bedrohungslage erfordern ein Umdenken im Identity Management. Für die Verwaltung von Benutzeridentitäten und Zugriffsrechten in einer digitalen Wirtschaft reicht eine IT-zentrische Form des Identity Management alleine nicht mehr aus. Früher ging es bei Identity Management im Wesentlichen darum, die Benutzerverwaltung zu automatisieren und den für das eigene Unternehmen geltenden Datenschutz- und Compliance-Richtlinien zu entsprechen. In der digitalen Wirtschaft geht es darum in einem komplexen, hoch dynamischen und zudem nicht mehr vollständig der eigenen Kontrolle unterliegendem Umfeld den Überblick zu behalten und Sicherheit für alle Beteiligten zu gewährleistenen. Die Automatisierung bleibt damit zwar weiterhin ein Teilaspekt, die Frage der Steuerung und damit der Identity Governance rückt aber in den Mittelpunkt.
Doch was ist Identity Governance genau?
Identity Governance-Lösungen sollen eine richtlinien-konforme Berechtigungsstruktur gewährleisten und nachweisen. Im Fokus stehen hierbei in erster Linie Sicherheitsrichtlinien, wie zum Beispiel eine restriktive Berechtigungsvergabe – auch als „Need-to-Know“ oder „Least Privilege“ Prinzip bekannt. Wichtig ist zu verstehen, dass Identity Governance zwar als Service durch die IT erbracht werden kann, die Verantwortung aber eine unternehmerische Verantwortung ist und nicht an die IT oder gar einen externen Dienstleister delegiert werden kann.
Identity Governance- in der digitalen Wirtschaft – muss Unternehmen dabei unterstützen trotz Kontrollverlust Sicherheit zu gewährleisten – dafür sind folgende Merkmale besonders wichtig:
- Zugriffsberechtigungsmanagement: Grundlage für alle weiteren Funktionen ist die zentrale Sichtbarkeit der vergebenen Berechtigungen. Die Konzepte werden auf Basis von Attributen, IT- und Geschäftsrollen sowie Richtlinien definiert.
- Attestierung und Rezertifizierung von Zugriffsrechten und Konten: In der Praxis ist es in Unternehmen häufig üblich, Zugangsberechtigungen zu klonen, sodass ein neuer Mitarbeiter die gleichen Berechtigungen wie ein bereits vorhandener Angestellter erhält. So kann es passieren, dass ein Mitarbeiter mehr Befugnisse erhält, als er eigentlich benötigen würde. Deshalb ist eine fortlaufende Überprüfung der Aktualität und Korrektheit der Berechtigungen unabdingbar. Mit Blick auf die Vereinfachung und Automatisierung von sogenannten Zugriffszertifizierungsprozessen benötigen Unternehmen intelligente Analysewerkzeuge, auf deren Basis die richtigen Entscheidungen getroffen werden können.
- Funktionstrennung / Separation of Duty: Die Gewaltentrennung zwischen Antragsteller und Genehmiger muss unter allen Umständen gewährleistet bleiben. Die Funktionstrennung verhindert, dass beispielsweise Mitarbeiter Kontrollmechanismen umgehen und ihre eigenen Transaktionen und Anfragen genehmigen können. Dies wäre der Fall, wenn ein Investmentbanker sich beispielsweise selbst Geld überweisen kann oder ein Angestellter eines Pharmaunternehmens sich Medikamente bestellt. Durch eine feste Richtlinie im System zur Rollenverteilung kann dies verhindert werden. Einzelne Nutzer dürfen Transaktionen dann nicht mehr gleichzeitig beauftragen und genehmigen.
- Verifikation der Identität – Es ist wichtig, festzulegen, welche Benutzer auf welche Daten und Systeme zugreifen – sowohl innerhalb der Firewall als auch in der Cloud. Zudem sollte diese Festlegung über die gesamte Lebensdauer hinweg nachvollziehbar
- Risikobasierte Zugriffskontrolle: Wenn Daten und Services in einem Rechnerverbund bereitgestellt werden, besteht immer das Risiko, dass Unberechtigte Zugang zu Informationen erhalten. Daher sollte die Implementierung einer risikobasierten Zugriffssteuerung die Basis eines jeden Sicherheitskonzeptes sein. Eine risikobasierte Authentifizierung ermöglicht die Auswertung einer Reihe von kontextbezogenen Faktoren, die in Zusammenhang mit dem Zugriff stehen.
In der digitalen Wirtschaft geben Unternehmen Kontrolle ab – Identity Governance wird eine zentrale Rolle spielen, um dennoch das für Geschäftsbeziehungen erforderliche Maß an Sicherheit und Vertrauen gewährleisten zu können. Nur Unternehmen die dies beherrschen werden bei der digitalen Transformation erfolgreich sein.