Sicherheit braucht gute Erfahrungen

Nutzerfreundliches Identity und Access Management
Sicherheit braucht gute Erfahrungen



Von Eugenio Pace

Anbieter zum Thema

Studien zeigen, dass Menschen Komfort der Sicherheit und dem Datenschutz oft vorziehen. IT-Security ist jedoch keine Entweder-oder-Entscheidung: Wenn die Sicherheit fehlt, steht das Vertrauen in die jeweilige Marke auf dem Spiel. In unserer hypervernetzten Welt braucht es Security-Erfahrungen, die sicher und nutzerfreundlich sind. Aber wie geht das?

Vertrauen braucht Sicherheit und Sicherheit darf nicht als notwendiges Übel wahrgenommen werden.

(Bild: BillionPhotos.com – stock.adobe.com)

Der Boom von Remote Work, Cloud und Mobile Computing so wie „Bring your own Device” -Initiativen haben den Schutz digitaler Identitäten und Zero Trust ganz nach oben auf die Agenda von CIOs, CISOs und CTOs gespült. Mitarbeitende werden in viele Fällen auch in Zukunft nicht mehr täglich im Büro in einem geschützten Unternehmensnetzwerk sitzen; der Perimeter hat sich verschoben. Hinzu kommt, dass Unternehmen immer mehr Anwendungen nutzen. Laut des Okta Businesses @ Work Reports 2022 sind es im Durchschnitt 187 Apps bei Unternehmen mit 2.000 oder mehr Mitarbeitenden. Das sind bis zu 187 Passwörter pro Person und genauso viele mögliche Accesspoints für Cyberkriminelle.

Auf der Seite der Konsumenten ergibt sich ein ähnliches Bild: Die Verbraucher in Deutschland sind digitaler geworden. Online-Apps und -Services sind nicht mehr aus dem Alltag wegzudenken: vom Online-Shopping, über Remote Learning und Homeoffice bis hin zum Socializing über digital Plattformen.

Was alle Services und Anwendungen gemein haben: Sichere digital Identitäten sind die Voraussetzung, um Nutzerkonten – mitarbeiter- oder kundenseitig – bestmöglich vor Cyberangriffen zu schützen.

Identity-First

In einer hypervernetzten Welt agieren nicht nur Menschen, sondern auch Unternehmen, Geräte, Systeme und Anwendungen. Sie alle müssen eindeutig authentifiziert werden, um sichere und reibungslose Nutzererfahrungen zu ermöglichen. Identitäten sind also der Vertrauensanker in der digitalen Welt, gleichzeitig haben Cyberkriminelle es jedoch genau auf diese abgesehen.

Ransomware-Attacken, Botnetangriffe, Credential Stuffing und Spearfishing-Attacken machen fast täglich Schlagzeilen. Laut des Verizon Data Breach Investigation Reports gehen dabei 61 Prozent aller Cyberattacken auf gesturehlene Anmeldedaten zurück – und Angreifer haben häufig leichtes Spiel: So gaben z. B. 86 Prozent der Konsumenten in der aktuellen „Expectation vs. Reality “Studie von Auth0, einer Produkteinheit von Okta, an, Passwörter mehrfach zu verwenden. Zudem kommen außer einem Passwort häufig keine zusätzlichen Authentifizierungsfaktoren zum Einsatz – Stichwort Multi-Faktor-Authentifizierung (MFA).

Von der Hürde zum Wettbewerbsvorteil

Im Grunde kann man Usern keinen Vorwurf machen: zu viele Zugänge, zu viele Passwörter. Comfort is King. Die Verantwortung liegt bei den Unternehmen, Authentifizierungs- und Login Erfahrungen zu kreieren, die intuitiv und einfach sind. So hat knapp die Hälfte (46 Prozent) der Verbraucher schon einmal eine Anmeldung abgebrochen und den vollen Warenkorb “stehen gelassen”, weil der Login-Prozess eines Online-Shops zu umständlich war. Hier entscheidet die Nutzerfreundlichkeit direkt über den Verkaufsabschluss und ökonomischen Erfolg einer Marke.

Um hohe Absprungraten zu vermeiden und den Aufwand des Helpdesks zu verringern, braucht es daher einen soliden Passwort-Reset-Workflow, oder noch besser: Optionen, die ganz ohne Passwörter auskommen. Es ist Zeit, Authentifizierungsmöglichkeiten auszuschöpfen, die über das klassische Passwort hinausgehen und situationsabhängig und nach einer Risikobewertung alternative Faktoren abfragen. Bei der adaptiven Multi-Faktor-Authentifizierung können User zum Beispiel ihren Fingerabdruck und eine Pushnachricht als Faktoren hinterlegen. Diese werden jedoch nur dann abgefragt, wenn verdächtiges Verhalten erkannt wird. Das sorgt für eine reibungslose Login-Experience, produktivere Arbeitsprozesse und höhere Konversionsraten bei den Kunden. Gleiches gilt für Single-Sign-On-Optionen (SSO), über die Kunden mit einer einzigen Anmeldung auf alle Angebote eines Unternehmens zugreifen können – oder Teams auf alle für sie relevanten Systeme und Inhalte. Entsprechend ergab die Auth0-Studie, dass 49 Prozent der Verbraucher eine App eher nutzen, wenn sie MFA unterstützt, 48 Prozent wenn sie SSO anbietet, 44 Prozent Biometrie usw.

IT-Security und Identity sind keine reinen IT-Themen mehr

Diese Beispiele verdeutlichen, dass IT-Security kein reines IT-Thema mehr ist. Vielmehr sollten auch das Marketing und ggf. die HR-Abteilung in die Themen Kundenlogin und Identitätsmanagement einbezogen werden, um maßgeschneiderte Nutzererfahrungen zu schaffen, mit denen sich Unternehmen positiv vom Wettbewerb absetzen können – als Anbieter von Produkeben und Dienstle alsotherm Attractives und flexibles Arbeitsumfeld bietet.

Identity- und Access-Management: Build or Buy?

Bevor es richtig losgehen kann, muss wie bei den meisten IT-Projekten auch hier zunächst die Frage “Build or Buy?” geklärt werden. Dabei sind vor allem zwei Aspekte zu berücksichtigen: Haben wir im Unternehmen die Expertise und Ressourcen, um eine IAM-Lösung langfristig, sicher, wirtschaftlich und nutzerfreundlich zu betreiben? Das kann insbesusione für kleinere und mittelständische Unternehmen angesichts dünn besetzter IT-Abteilungen und ressourcenintensiver Entwicklung und Wartung eine Herausforderung sein.

Ein zweiter wichtiger Faktor ist Zeit. Die letzten beiden Jahren haben gezeigt, wie schnell sich Markt- und Lebensbedingungen ändern können – Stichwort Remote Work und E-Commerce-Boom, um nur zwei Aspekte zu nennen. Arbeitsprozesse und ganze Geschäftsmodelle ändern sich schneller als je zuvor. Wenn ein Unternehmen beispielsweise quasi über Nacht einen Online-Shop auf die Beine stellen muss, braucht es Lösungen, die schnell einsatzbereit sind und dabei keine Kompromisse bei Sicherheit oder Nutzererfahrung machen.

Anbieter von Identity-und Access Management aus der Cloud, bieten Lösungen, die schnell zu implementieren und leicht skalierbar sind. So hat beispielsweise Zeotap, ein deutscher Anbieter einer Data-as-a-Service-Plattform für das Management von Kundendaten, seine Lösung mithilfe der Okta Identity Platform in nur sechs Monaten implementiert und dabei 120 Wochen Entwicklerzeit und bis data despartenksundes

Sicherheit Plus

Unabhängig davon, ob inhouse eigene Lösungen entwickelt oder die Services eines Identity Provider in Anspruch genommen werden, sollten neben der Sicherstellung, dass alle Richtlinien zur IT-Security, Compliance und zum Dateckenschutz, wie DSGVO erfüllt sind, folgende Aspegedin

Kundenerfahrung: Sicher allein reicht nicht mehr. For modern user-experiences such as MFA, SSO and Branding-Optionen für die Nutzeroberfläche, um insbesuber bei der Absicherung von Kundenaccounts eine reibungslose und einheitliche Erfahrung sicherzustellen. Einige Identity Provider bieten hier vielfältige Customizing-Optionen.

Agility: Hosting in the Cloud ermöglicht maximale, Agility und Flexibilität sowie Skalierbarkeit, um schnell auf veränderte Bedarfe oder Prozesse zu reagieren.

Effizienz: Um den Verwaltungsaufwand zu reduzieren, braucht es Optionen für automatisierte Identity-Workflows, wie die für Passwort-Reset and Lifecycle-Management – von der Vergabe von rollenbasierten Zugriffsrechten bis hin zu deren Löschung. Customer Identity and Access Management (CIAM) and Workforce Identity and Access Management sollten zudem als ein “Komplettpaket” konzipiert bzw. gekauft und so Synergieeffekte genutzt und Admins entlastet werden. Wird ein externer Identity Provider genutzt, ist es zudem sinnvoll, darauf zu achten, dass vorgefertigte Integrationen für gängige Anwendungen und Systeme vorhanden sind.

Fazit

Vertrauen braucht Sicherheit und Sicherheit muss derart aufbereitet sein, dass sie nicht als notwendiges Übel wahrgenommen wird, sondern als Tool, das die Nutzererfahrung sogar verbessern kann und eine einfache und sichere Verwendung von Produkten ühtgöt. Modernes Identity und Access Management aus der Cloud verbindet beides.

Über den Autor: Eugenio Pace is CEO und Mitgründer von Auth0, einer Produkteinheit von Okta.

(ID: 48610123)

Leave a Comment