Auch wenn beim IoT vieles im Bereich der Sicherheit noch in den Kinderschuhen steckt ist doch offensichtlich, dass auf das IAM viel größere Herausforderungen zukommen als bisher. Es geht nicht mehr nur um ein paar Tausend, Zehntausend oder auch Hunderttausend Mitarbeiter, sondern um Millionen von Devices und ihre Beziehungen zu anderen Dingen, Geräten, Personen und Organisationen.
Sicherheit richtig gemacht schafft Agilität
Ein ebenso häufiges wie falsches Argument, das in diesem Zusammenhang zu hören ist, ist das von Sicherheit als Verhinderer: In einer schnelllebigen Zeit und der in der Digitalen Transformation geforderten Agilität von Unternehmen sowohl bezüglich der Geschäftsmodelle als auch der Produkte seien die ständigen Rufe nach mehr Sicherheit kontraproduktiv.
Auf der einen Seite haben viele Leute in der IT-Sicherheit über viele Jahre hart daran gearbeitet, dass es zu dieser Wahrnehmung kommt, weil sie als ständige Neinsager aufgetreten sind und weniger an sinnvollen Lösungen interessiert sind. Die Forderung nach perfekter Sicherheit (und 100% Sicherheit sind ohnehin nicht erreichbar) ist falsch. Es geht darum, mehr Sicherheit zu erreichen.
Richtig gemacht, wird Sicherheit aber die Agilität erhöhen und nicht reduzieren: Ein sicheres Produkt oder System (mit gutem Design) erfüllt hohe Anforderungen. Es lässt sich aber auch einfach „öffnen“, wenn die Anforderungen nicht so hoch sind. Anders herum ist es aber schwierig und aufwändig, manchmal sogar unmöglich, ein wenig sicheres Produkt oder System nachträglich sicher zu machen.
Anders formuliert: Wer mit Sicherheit und Datenschutz als Designprinzip entwickelt, kann einfach auf sich ändernde Anforderungen oder unterschiedliche lokale Regelungen reagieren und entsprechend agil sein können. Wer es nicht macht, wird daran scheitern und eben genau die geforderte Agilität allenfalls um den Preis massiver Sicherheitsrisiken und daraus resultierend Geschäftsrisiken erreichen können.
Mehr noch: Manche Herausforderungen der Digitalen Transformation lassen sich viel einfacher lösen, wenn man gute Konzepte für Sicherheit und Datenschutz hat. Ein gutes Beispiel ist der EDR, auf dessen Daten sowohl Automobilhersteller als auch Versicherungsunternehmen (und ein paar andere Gruppen) Zugriff haben möchten, aus unterschiedlichen Motivationen. Mit modernen Konzepten für die Authentifizierung, die Pseudonymisierung von Daten (Datenschutz) und die Zugriffssteuerung (wer darf wann welche Daten sehen) lassen sich unterschiedliche Interessen einfach unter einen Hut bekommen. Wenn man mit archaischen Konzepten arbeitet, bei denen man mit einem bestimmten digitalen Zertifikat Zugriff auf alle Daten bekommt, wird das nicht funktionieren.
Natürlich muss man dazu einmal, zu Beginn der Entwicklung von Produkten oder Software, richtig über IAM, Sicherheit im Allgemeinen und Datenschutz nachdenken. Dann ist man aber viel agiler, weil man sich an geänderte Geschäftsmodelle und –prozesse oder regulatorische Vorgaben durch Konfiguration anpassen kann statt durch ein oft umfassendes Redesign der Software.
Höchste Zeit, IAM in den Mittelpunkt zu stellen
IAM befindet sich im Wandel – von einer internen Hilfe für Administratoren hin zu einem wichtigen Enabler der Digitalen Transformation. Deshalb müssen IAM-Strategien überdacht und weiterentwickelt werden, um diesen neuen Anforderungen gerecht zu werden, aber auch um die Chancen, die sich durch gut gemachtes IAM und Sicherheitsdesign ergeben, nutzen zu können. IAM wird mit dem IoT wichtiger denn je.
Über den Autor:
Martin Kuppinger ist Gründer und Principal Analyst von KuppingerCole
Weitere Artikel und Whitepaper zum Thema Identity und Access Management finden Sie hier.