Identity & Access Management
"CISOs brauchen Unterstützung"
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
"Und keiner hat Durchblick"
Nach Meinung von Roland Markowski wird die Cloud-Technologie maßgeblichen Einfluss auf die künftige Entwicklung und Wahrnehmung des Customer Identity- und Access-Management nehmen. Das Stichwort Cloud lenkte die Diskussion schließlich auf die EU-Datenschutzgrundverordnung (DSGVO). Ein heikles Thema, wie Carsten Hufnagel deutlich machte: "Unternehmen müssen sich fragen, welche Cloud-Umgebungen sie noch nutzen können und werden nur noch Dienstleister akzeptieren, die ihnen die Rechtskonformität garantieren können."
Auch im Unternehmen von Markowski ist die DSGVO ein brandaktuelles und vieldiskutiertes Thema. Bei den Kunden stifte die GDPR hingegen vor allem Verwirrung, wie Markowski zu berichten wusste: "Für mich ist das momentan noch ein Hühnerhaufen: Es gibt oft multiple Ansprechpartner und keine stringente Strategie bei diesem Thema. Ich behaupte einfach mal, dass am 18. Mai 2018 nicht einmal fünf Prozent der deutschen Unternehmen für die DSGVO bereit ist."
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Das brachte Moderator Martin Bayer zu der Frage, ob Unternehmen das Thema EU-Datenschutz auf die leichte Schulter genommen haben. Die Diskutanten waren sich an dieser Stelle schnell einig, dass dringender Handlungsbedarf besteht. Markowski wiederum brachte den Status Quo beim Thema DSGVO auf den Punkt: "Durch die sehr weit gefasste Definition der personenbezogenen Daten sind in vielen Firmen hunderte von Applikationen betroffen. Und keiner hat Durchblick."
Etwas differenzierter sah das hingegen Carsten Hufnagel: "Die großen Konzerne sind in dieser Hinsicht schon tätig geworden. Sie werden die ersten sein, die in Regress genommen werden. Diese Firmen müssen wie so oft Vorreiter sein. Es gibt genügend Punkte, wo man die Anforderungen noch gar nicht genau kennt. Da ist das Identity- und Access-Management bereits in einer sehr guten Position, weil die Anforderungen durch die EU-DSGVO nicht viel anders sind, als die, die beispielsweise die Bafin bislang bereits gestellt hat."
So sieht die IAM-Zukunft aus
Zum Abschluss des Roundtable bat Moderator Martin Bayer die Runde nach einer abschließenden Einschätzung, wie sich das Thema IAM in den nächsten Jahren weiterentwickeln wird. Werden die Trendthemen Künstliche Intelligenz und Machine Learning auch im IAM-Umfeld relevant?
"Ich glaube, dass die Themen KI und ML Berechtigung haben", sagte Alsbih. "Ich weiß nur nicht, ob das auch im Bereich IAM der Fall ist. Wir sprechen - zumindest im Access-Layer - immer noch über Zugriffe. Und man muss sich dann die Frage stellen, ob man ein System haben will, von dem man nicht weiß, wie es funktioniert, das aber über den Zugriff bestimmt. Es gibt einige schöne Beispiele für KI-Fehler. Diese Systeme können in der Security weiterhelfen, wenn es um die Erkennung von Anomalien geht und haben auch in anderen Bereichen Berechtigung - etwa im Marketing. Aber wenn es um Zugang geht, sehe ich das eher nicht."
Carsten Hufnagel stimmte dem zwar grundsätzlich zu, sah die KI-Technologie jedoch in einem anderen Bereich als relevant: "Ich könnte mir schon vorstellen, dass Künstliche Intelligenz beim Thema Risk Management künftig helfen kann. Das würde ich mir wünschen."
Auch Fabian Guter sah für die artifizielle Intelligenz keine Zukunft, wenn es um IAM geht. Zuvor seien erst einmal ganz andere Herausforderungen zu bewältigen: "Die Entwicklung geht weg vom antiquierten Passwort - es wird künftig eher um die tatsächliche Identifikation einer Person gehen und nicht mehr darum, Login-Daten zu kennen. Das ist die wesentliche Herausforderung für das Access-Management."
Roland Markowski sah hingegen das Themenfeld der Biometrie als besonders zukunftsrelevant für IAM an. Künstliche Intelligenz sei für den Bereich Anomalie-Erkennung durchaus sinnvoll sagte Markowski. "Aber ansonsten sehe ich das Thema KI vor allem im Zusammenhang mit der Customer Experience und ganz generell dem Marketing-Umfeld."
Zum Thema Identity & Access Management führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT- und Security-Verantwortlichen durch. Die Studie soll zeigen, wie deutsche Manager das Thema IAM in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Jessica Schmitz-Nellen (jschmitz-nellen@idg.de, Telefon: 089 36086 745) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download.