GlobalSign Blog

03 Mär 2015

Fokus 2015: Eine Frage der Identität. Sechs Bereiche belegen, warum das so ist

Im sogenannten Internet of Things ist eine wachsende Zahl von „Dingen“ nicht nur miteinander verbunden, sondern sie kommunizieren auch ständig miteinander. Aber welche dieser Identitäten sind tatsächlich vertrauenswürdig? Eine der zentralen Fragen für 2015.

Dabei spielen ganz unterschiedliche Bereiche eine Rolle. Unternehmen werden sich zwangsläufig für strengere Formen der Authentifizierung entscheiden wie beispielsweise die Multi-Faktor-Authentifizierung. Kontextabhängige Identitätslösungen minimieren die Risiken und tragen dazu bei, Compliance-Richtlinien einzuhalten. Und auch die Browser-Anbieter sind gefragt, wenn es darum geht Online-Transaktionen in der veränderten Umgebung sicherer zu machen. SSL-verschlüsselte Websites und Extended Validation (also die im Browser grün angezeigte Adresszeile, die für eine vertrauenswürdige Website bürgt) werden aktiv gefördert.

Identity & Access Management (IAM), das bislang primär als interner Dienst für die Mitarbeiter eines Unternehmens verstanden wurde, verschiebt sich in Richtung des sogenannten „Extended Enterprise“. Gedacht, und in Bezug auf die Infrastruktur umgesetzt, ist es eine Art erweitertes Unternehmen, in dem nicht nur die eigenen Mitarbeiter sicher interagieren, sondern auch Kunden und Partner.

Und nicht zu vergessen das Internet of Everything, in dem alle Dinge vertrauenswürdige Identitäten als Teil einer zunehmend vernetzten Welt benötigen – das gilt für Intelligente Städte (Smart Cities) genauso wie für jedes einzelne intelligente Gerät (Smart Appliances). Sämtliche dieser Identitäten müssen während ihrer gesamten Laufzeit verwaltet werden. Das ist nicht ganz trivial: Prüfen der Identitäten, Validieren der Laufzeit und schließlich die Möglichkeit, die Identitäten zu widerrufen sind alles Bestandteile dieses Prozesses.

Wir haben insgesamt sechs Bereiche identifiziert, bei denen das Thema Identität in diesem Jahr zwangsläufig in den Mittelpunkt rücken wird:

1. Authentifizierung - endlich mehr als Benutzername und Passwort

Biometrische Daten, digitale Zertifikate, Sicherheitsfragen, Einmal-Passwörter und Geolokalisierung sorgen alle für einen sicheren Zugang. Was wir in Zukunft allerdings häufiger sehen werden sind soziale Sicherheitsüberprüfungen, Claims-basierte Authentifizierung und Step-up-Authentifizierung. Administratoren müssen digitale Identitäten bedarfsgerecht bereitstellen und verwalten, verbunden mit einer möglichst einfachen Form der Authentifizierung. Mit den altehrwürdigen Anmeldeinformationen Benutzername und Passwort ist das nicht mehr zu schaffen. Mit Ausnahme der grundlegendsten Zugriffsberechtigungen wird die Kombination aus Benutzernamen und Passwörtern über kurz oder lang verschwinden.

2. Online-Transaktionen werden sicherer

Nicht nur Google hat sich dafür eingesetzt, sämtliche Websites mit SSL zu sichern. Generell drängt die Branche auf wirksamere Sicherheitsüberprüfungen und Extended Validation-Zertifikate. Sie bieten derzeit die stärkste Form eine Website zu authentifizieren. Das Certificate Authority and Browser (CAB)-Forum setzt sich für weitere Maßnahmen ein, die SSL sicherer machen. So sollen beispielsweise128-Bit-Zertifikate auslaufen und OCSP-Stapling sowie Certificate Transparency gefördert werden. Auch Open-Source-Projekte, wie OpenSSL, werden inzwischen von branchenführenden Unternehmen unterstützt - eine Reaktion auf die gravierenden Sicherheitslücken, die im letzten Jahr bekannt geworden sind. Die Zusammenarbeit wird sich an dieser Stelle weiter intensivieren, um den Standard zu stärken.

3. Der Bedarf an Identitätsstandards wächst

Im Internet of Everything sind Identitäten ein Wegbereiter für bessere Zusammenarbeit. Das ist die eine Seite. Die andere sind wachsende Sicherheitsanforderungen. Das schafft neue Geschäfts-modelle für Hersteller, Dienstleister, Entwickler und Unternehmen. Man braucht also Identitäten, die in ganz verschiedenen Ökosystemen und Branchen einsetzbar sind. Menschen, Geräte, Transaktionen und Geschäftsprozesse sind betroffen. Für ein sicheres Internet of Everything sind Standards, Identity Federation und vertrauenswürdige Identitäten zentrale Bausteine.

4. Identity Relationship & Access-Management für das Extended Enterprise

IAM ist traditionell mit dem Personalwesen und der IT verknüpft. Es ging in erster Linie darum, dass Mitarbeiter produktiver zusammenarbeiten und Compliance-Richtlinien eingehalten werden. Heute wird Identity Relationship & Access Management (IRAM) von den Bedürfnissen der Unternehmensbereiche angetrieben. In erster Linie, um neue E-Dienste/Dienstleistungen und Geschäftsmodelle umzusetzen. CRM-Integration, soziale Sicherheitsüberprüfung und Identity Federation erweitern die traditionellen Unternehmensstrukturen. Das gesamte Geschäftsumfeld aus Subunternehmern, Kunden, Partnern und Interessengruppen soll davon profitieren. Im Idealfall sind die dafür notwendigen Transaktionen benutzerfreundlich und dennoch authentifiziert. Das sind die Voraussetzungen will man tatsächlich neue Erlösquellen erschließen, mit Kunden besser interagieren und Identitäten im IoE besser verwalten.

5. Sicherheit und Identität? Beim „Thing Design“ zu wenig berücksichtigt

Infolgedessen ist es leider nur zu wahrscheinlich, dass die Angriffe auf solche Plattformen zunehmen, solange die Anbieter nicht  berücksichtigen, dass es ohne vertrauenswürdige Identitäten nicht geht.

6. Identity-Services verschieben sich in die Cloud

Der Bedarf nach Identitäten und nach mehr Sicherheit nehmen gleichermaßen zu, unabhängig von der Größe eines Unternehmens. Folglich werden mehr und häufiger Cloud-basierte Identitätsdienste angeboten. Sie vereinfachen es Herstellern und Unternehmen, Identitäten sowohl in der eigenen Firma als auch in erweiterten Kunden- und Partnernetzwerken zu implementieren und zu verwalten.

PKI im IoT Webinar

Artikel teilen

Jetzt Blog abonnieren