Kennzeichen S(icherheit):Trends von der European Identity Conference

Die European Identity Conference (EIC) – inzwischen eine der größten ihrer Art in Europa – hat aktuelle Themen im Identity- und Security-Bereich näher beleuchtet. Ein neuer Track zu Cloud Computing setzte sich detailliert mit Anwendungsszenarien unter Berücksichtigung von Sicherheitsanforderungen auseinander. Besucher und Experten waren sich einig: Sicherheit ist der Knackpunkt solcher Anwendungen.

Für Unternehmensanwendungen wurde einmal mehr deutlich, dass man zwar die Bearbeitung von Informationen und zu einem gewissen Grad auch die Sicherheitsadministration in die Cloud verlagern kann, nicht aber das Risiko. Das Unternehmen ist für die Sicherheit der Daten auch in der Cloud verantwortlich. Das ist aber gerade für Mittelständler – parallel fand auch ein Forum "Mittelstandsdialog Informationssicherheit" statt – ein gutes Argument, Anwendungen in der Cloud zu verwenden, denn mit hoher Wahrscheinlichkeit sind die Daten dort sicherer verwaltet als bei einem kleinen Mittelständler, "wo der Sohn des Geschäftsführers sich um die IT kümmert" (O-Ton eines Referenten und mehrfach aufgegriffen auf der Konferenz).

Ein sich verfestigender Trend ist die Herauslösung der Identitätsverwaltung aus den Anwendungen. Zum einen sind die dafür erforderlichen Protokolle inzwischen ausreichend reif, zum anderen hat mit OpenID eine leichtgewichtige (wenn auch noch leicht unsichere) Variante bemerkenswerte Verbreitung unter den verbraucherorientierten Anwendungen gefunden. Passend dazu hat der neue elektronische Personalausweis den European Identity Award erhalten, unter anderem auch für seine Architektur. Sie erlaubt es, Attribute zu bestätigen, ohne die Identität preiszugeben (etwa die Volljährigkeit).

Für Unternehmen, die Cloud-Services verwenden wollen, ist es folgerichtig wichtig, zum einen die Identitäten der eigenen Mitarbeiter gut verwaltet zu wissen und zum anderen Prozesse aufzusetzen, um das mit der Verwendung der Cloud verbundenen Risiken kontrollieren zu können. Entsprechend sind neben professionellen, selbst betriebenen Identity-Providern oder genutzten "Identity as a Service"-Angeboten zentrale Anwendungsplattformen wichtig, die erlauben, die Governance-, Risk- & Compliance-Aspekte (GRC) zu verfolgen und einen Status über die aktuelle Situation zu bekommen. Zitat: "Identity Management und GRC wandern als Letztes in die Cloud."

Gerade in den Cloud-relevanten Sessions wurde deutlich, dass Identitätsmanagement keine "Commodity" mehr ist. Statt Bereinigung von komplexen User-Management-Landschaften – klassischerweise der Business Case für Identitätsmanagement – stand vielmehr im Vordergrund, wie man die Identitäten aus Anwendungen "externalisieren" kann und wie Softwarehersteller auf diesen Trend reagieren. Gut ist, dass alle großen Softwarehersteller auf der Konferenz den Trend bestätigt und ihre Softwarearchitekturen größtenteils darauf ausgerichtet haben. Gerade Microsoft, früher für seine Rückständigkeit in dem Bereich geschmäht, ist inzwischen einer der innovativsten Anwendungshersteller.

Microsoft hat ebenfalls einen Award bekommen (gemeinsam mit IBM), und zwar für sein "Claim-based Identity Management", das inzwischen in Produkte Eingang gefunden hat. Dabei gehen Microsoft und IBM noch einen Schritt weiter: Identitäten benötigen streng genommen gar keine zentrale Datenhaltung mehr, vielmehr lässt sich der Zugriff auf Anwendungsservices allein über die Bestätigung von bestimmten Attributen der Identität freigeben – unter Verwendung von kryptographischen Protokollen wie Zero-Knowledge-Proofs und "blinden" Signaturen – sowohl standardisiert als auch mit wissenschaftlicher Absicherung, was die Sicherheit dieser Verfahren anbetrifft.

Überhaupt haben viele Hersteller, die sich auf der EIC präsentiert haben, neue Lösungen mitgebracht und sind überwiegend "Cloud-ready". Die Frage ist eher, ob die Anwenderunternehmen mitziehen werden. Es gab dazu kontroverse Positionen durch die Keynote-Speaker, zum Teil selbst in verantwortungsvollen Positionen von IT-Organisationen. Sicherlich wird sich die IT-Landschaft in den nächsten Jahren dramatisch ändern und die Rolle des CIO sich wandeln müssen – eine klassische Full-Service-Organisation bleibt garantiert nur in Ausnahmen bestehen.

Wie Martin Kuppinger während der Konferenz schön bemerkte: "It is about the 'I' in IT, not about the 'T'."

Sachar Paulus
ist Senior Analyst bei Kuppinger Cole, einem auf IAM, GRC, Cloud Computing und verwandten Themen spezialisierten Analystenunternehmen. (ane)