Im Tagesgeschäft haben IT-Security und Marketing meist kaum Berührungspunkte. Geht es allerdings um die Umsetzung einer tragfähigen CIAM-Strategie, sollten die Bereiche zusammenarbeiten. Denn der Kunde entscheidet über das Zusammenspiel von Sicherheit und User-Experience.
Nur bei ganz wenigen Themen in den Unternehmen herrscht eine derart große Uneinigkeit über Herangehensweisen und Verantwortlichkeiten, wie bei der Entwicklung einer Customer-Identity-and-Access-Management-Strategie. Das hat die Trendstudie „CIAM 2022“ von Auth0 und Okta herausgefunden, zu der 288 Entscheider aus den Bereichen Geschäftsführung, IT, Security sowie Marketing und Entwicklung befragt wurden.
CIAM ist bisher eine Frage der Perspektive
Geht es bei der Implementierung von CIAM-Konzepten für die IT-Security vor allem um den Datenschutz und die Compliance, legen IT-Administratoren hingegen eher Wert auf unterschiedliche Nutzerprofile. Und Marketingverantwortliche möchten den Kunden über einen einheitlichen Anmeldeprozess möglichst schnell binden. Die Entwicklungsabteilung hat demgegenüber das Interesse, möglichst viel selbst zu entwickeln, um mit der eigenen Lösung am Ende Wettbewerbsvorteile zu schaffen. Die Umsetzung einer CIAM-Strategie hängt also von ganz unterschiedlichen Perspektiven ab, was wiederum erklärt warum es laut Studie nicht den einen Fokus gibt. 69 Prozent der befragten Entscheider*innen nennen beispielsweise IT-Infrastrukturen und IT-Sicherheit als wichtigstes Kriterium in ihrer Strategie. Der einheitliche und damit einfache Kunden-Login für mehrere Dienste spielt dagegen nur für 22 Prozent überhaupt eine Rolle. Schaut man sich allerdings ausschließlich die Antworten der Marketingverantwortlichen an, befürworten immerhin 33 Prozent einheitliche Kundenanmeldungen als wesentlichen Baustein der CIAM-Strategie. Für IT-Verantwortliche hat dieser Punkt allerdings nachrangige Bedeutung.
Quantität statt Qualität der Daten
Und da das Thema „Customer-Access and Identity-Management“ vorwiegend technisch gesehen wird, tendiert das Gros der IT-Entscheider denn auch dazu, seine CIAM-Strategie aus der klassischen Infrastrukturbrille heraus zu starten. Dieser Ansatz hat allerdings Grenzen, insbesondere, wenn es um die verfügbaren Daten geht. Denn IAM-Systeme verwalten in erster Linie „qualitative“ Datenströme ihrer Mitarbeiter. Das bedeutet, sie erheben, wann sich wer von wo aus im Firmen-Netzwerk anmeldet. Diese Mitarbeiterdaten sind wichtig, um jederzeit die größtmögliche Sicherheit gewährleisten zu können. Alle Beschäftigten erhalten dafür entsprechende Datenschutzrichtlinien, die sie penibel einhalten müssen.
Im Umfeld von CIAM liegt der Fokus allerdings nicht auf der Qualität von Daten, sondern sondern vielmehr auf deren Quantität. Denn der Datenschutz richtet sich am Kunden-Login aus. Ein Unternehmen hat hier die Aufgabe, anhand der Authentifizierungsangaben der Nutzer, zu prüfen, ob er derjenige ist, der er vorgibt zu sein und was genau er tun möchte. Genau diese Unterscheidung zwischen der Qualität (IAM) und der Quantität (CIAM) der Daten ist wichtig, um technisch gesehen, einen zukunftsfähigen Identitäts-Ansatz verfolgen zu können. Denn während das Zugriffsmanagement für Mitarbeiter inklusive entsprechender Authentifizierungsrichtlinien und Berechtigungsstrukturen eher eine fixe Größe darstellt, die lediglich verwaltet werden will, hat man es bei CIAM mit Millionen von unbekannten Identitäten und Kundendaten zu tun. Das Management dieser Kundendaten beschränkt sich lediglich auf den Login, ansonsten sind die Kunden für das Unternehmen unbekannt. Das scheinen die befragten Entscheider*innen aus der Auth0-Studie noch nicht zu wissen, denn bereits 70 Prozent der Unternehmen verarbeiten nach eigenen Angaben Kundendaten in ihren IAM-Systemen. Die Mehrheit der Befragten versucht also, CIAM aus ihren bestehenden IAM-Umgebungen zu entwickeln.
Eine kollaborative Kundenbeziehung
Diese Denke dürfte dazu führen, den Zugriff auf digitale Dienste seitens der Kunden entsprechend stark abzusichern. Was allerdings nicht zur Folge haben sollte, die Kundenerwartungen an einen einfachen und sicheren Anmeldevorgang aus den Augen zu verlieren. Denn anders als die Beschäftigten, wünscht der Kunde eine andere Art der Sicherheit, wenn er auf digitale Services zugreift. Er möchte die Entscheidungshoheit darüber behalten, wie er sich anmeldet, ob er den Vorgang durchläuft oder doch abbricht. Denn erscheint ihm ein Anmeldeprozess zu kompliziert oder zu lang, ist der Wettbewerber nur einen Klick entfernt. Anders als beim Management der Mitarbeiter-Identitäten, unterhält ein Unternehmen mit seinem Kunden eine kollaborative Beziehung, die sich an der Authentifizierung festmacht. Jeder Kunde möchte situativ entscheiden, ob er einen Multifaktor-Authentifizierung anwendet oder nicht.
Kunden wollen moderne Logins
Mit dieser Perspektive tun sich allerdings laut Studie zumindest die IT-Entscheider noch schwer. Sie befürchten eher, den Kunden mit allzu fortschrittlichen Login-Möglichkeiten zu überfordern. Daher setzen die meisten Befragten auf Benutzername und Passwort, PIN und Sicherheitsfragen als die Verfahren der Authentifizierung für die kommenden fünf Jahre. Endkunden möchten aber innerhalb des Anmeldeprozesses keinesfalls bevormundet werden. Das zeigt die Auth0-Verbraucherstudie „Die Login-Erfahrung“, die aufzeigt, dass deutsche Verbraucher sich eher bei einem Online-Dienst authentifizieren würden, wenn ihnen ein biometrischer Login (31 Prozent) oder ein passwortloser Login (25 Prozent) angeboten werden würde. Kundenidentitäten und -zugriffe stellen also andere Anforderungen an Anmeldeverfahren, als die sogenannte Workforce-Identity.
Dem beschriebene Kundenfokus in Bezug auf die Güte der Daten sowie der Kundenbeziehung beim Login messen innerhalb der Studie weniger als 30 Prozent der Befragten überhaupt eine Bedeutung bei. Unsere Empfehlung lautet deshalb, bei CIAM-Projekten stärker die kundennahen Bereiche wie Marketing und Produktentwicklung an den Tisch zu holen. Denn erst in dieser Konstellation wird es allen Beteiligten möglich, den Kunden mit seinen Bedürfnissen in den Mittelpunkt zu stellen, und moderne Authentifizierungsverfahren in der CIAM-Strategie stärker zu berücksichtigen.
Grundsätzliche Unterschiede CIAM / IAM
| Skalierbarkeit | CIAM-Systeme müssen hohe Datenströme bewältigen und für Millionen von Kunden skalieren. | IAM-Systeme müssen Datenströme für Hunderte Mitarbeiter skalieren. |
| Sicherheit | Die Kunden, die auf die Dienste zugreifen, sind den Unternehmen nicht bekannt. Der Schutz ihrer Daten kann nur über den Login funktionieren. | Die Mitarbeiter, die auf die Dienste zugreifen, sind den Unternehmen bekannt. Für den Schutz gibt es verschiedene Möglichkeiten, da sie sich über unterschiedliche Zugänge anmelden. |
| Verfügbarkeit | CIAM braucht einen Cloud-Service mit hoher Redundanz. Denn wenn Kunden der Zugang auf die Dienste nicht möglich ist oder Online-Portale ausfallen, verliert das Unternehmen Umsatz. | IAM-Systeme sollten ebenfalls in die Cloud verlagert werden. Wenn jedoch ein Mitarbeiter nicht auf die Dienste zugreifen kann, schadet dies nur dem Unternehmen. |
| Flexibilität | Use-Cases von Endkunden sind vielfältiger und erfordern daher je nach Szenario mehr Flexibilität. Denn Kunden können von jedem Gerät aus auf einen Dienst zugreifen und sie haben individuelle Anmeldemöglichkeiten, zum Beispiel mit Benutzername und Passwort oder Profile von Social-Media. Diese müssen möglicherweise im Hintergrund verknüpft werden, damit die Nutzer auf einen zentralen Zugang zugreifen können. | Mitarbeiter nutzen im Idealfall ein oder zwei firmeneigene Geräte oder zugelassene private Geräte. Sie authentifizieren sich grundsätzlich auf die immer gleiche Weise. |
Von Vitor de Sousa, Auth0/Okta, Vice President Enterprise Sales, Western & Eastern Europe
