Wie genau funktioniert Identity Management (IDM)?

Sie müssen Ihre User kennen, um ihre Daten zu schützen. Erfahren Sie wie IDM Anwender authentifiziert, damit Daten nicht in falsche Hände gelangen.

Nov 24, 2020 - 3 Min.

Wenn Sie online shoppen, einen TV-Serien-Marathon veranstalten oder Ihre Urlaubsfotos in Ihren Social-Media-Account hochladen, teilen Sie mitunter sehr persönliche Daten mit den Betreibern von Online-Angeboten: Ihre Interessen und Vorlieben, Ihre E-Mail-Adresse, Ihre Wohnungsadresse und Ihre Kreditkarten-Informationen. Identity Management (IDM) stellt dabei sicher, dass diese Daten nicht in die falschen Hände gelangen.

 

Was ist Identitäts-Management?

Ganz einfach ausgedrückt: IDM überprüft, ob Sie wirklich die Person sind, die Sie vorgeben zu sein. Wenn man jemanden direkt trifft, ist es relativ einfach herauszufinden, um wen es sich handelt – indem man der Person ins Gesicht schaut und dieses – falls notwendig – mit einem Foto vergleicht. Online läuft das anders. Ohne ein Identitäts-Management-System mit den erforderlichen Checks und Sicherheitsmassnahmen könnte jeder einfach behaupten, er wäre Sie. Stellen Sie sich vor, Sie könnten all Ihre E-Mails lesen, indem Sie nur Ihren Benutzernamen, aber kein Passwort angeben. Das wäre im besten Fall ein heilloses Chaos und kann im schlimmsten Fall mit kriminellem Datendiebstahl enden. Aus diesem Grund ist es enorm wichtig, die Identität eines Benutzers zu überprüfen, bevor er Zugriff auf die gewünschten Daten erhält.

Und so arbeitet Identity Management

Der Markt bietet eine ganze Reihe unterschiedlicher Identity-Management-Lösungen mit ganz speziellen Technologien und Werkzeugen. Doch sie gleichen sich alle in der Struktur:

  • Zuweisen einer Benutzer-Identität: Während eines Registrierungsprozesses erhält der User eine Kennung (identifier), die er selbst wählen kann oder die ihm zugewiesen wird (ein Benutzername, die E-Mail-Adresse, ein Code etc.). Alle hier preisgegebenen persönlichen Informationen werden in der Datenbank des Dienstanbieters unter dieser Kennung gespeichert. Der User wählt ein Passwort, um seine Daten zu schützen.
  • Benutzer-Authentisierung: Der User muss seine Identität authentisieren, um seine persönlichen Daten zu schützen. Dies erfolgt mit einem Passwort, über eine Push-Benachrichtigung aufs Handy, einem via SMS verschickten Verifizierungs-Code oder einer Bestätigung per E-Mail. Diese Methoden werden aber immer unsicherer, weil Hacker und unbefugte Dritte immer gerissenere Methoden einsetzen, um sich illegal Zugang zu Systemen und Diensten zu verschaffen.
  • Benutzer-Log-in: Jetzt kann sich der User bei dem Dienst anmelden, indem er mit seiner Kennung seine Identität bestätigt.

Sobald all diese Schritte erfolgreich durchgeführt sind, kann der Benutzer für den Zugriff auf die gewünschten Daten und Dienste autorisiert werden.

Auf welche Daten und Dienste der Anwender zugreifen kann, wird durch definierte Parameter, Freigaben und Zugriffsrechte spezifiziert. Diese legt der Dienstanbieter in der Regel auf Basis des verwendeten Gerätetyps, des Standorts und spezifischer Benutzerrollen fest: Klienten, Endkunden, Manager etc. Abhängig von ihrer Rolle erhalten sie Zugang zu einigen oder allen Informationen in der Datenbank. Dies ist die IDM-System-Architektur. Auch sie ist in derselben Datenbank gespeichert, in der auch das Kennwort und all die Daten aus dem Registrierungsprozess aufbewahrt werden. Diese Datenbank kann sich entweder vor Ort beim Dienstanbieter oder in einer Cloud befinden.

Was sind die wichtigsten Komponenten einer IDM-Lösung?

Es gibt eine Reihe von Technologien, die gegenwärtig im Bereich Identity Management and Access eingesetzt werden. Sie dienen primär dem Authentisierungsprozess. Zu den gebräuchlichsten gehören:

  • Zwei-Faktor-Authentisierung (2FA) & Multi-Faktor-Authentisierung (MFA): Die Benutzer werden angewiesen, ihre Identität mit zwei oder mehr Authentisierungs-Faktoren zu belegen. Dabei kann es sich um ein Passwort, ein Token, einen nur einmal verwendbaren Code oder biometrische Merkmale handeln.
    Sie wünschen mehr Informationen zu diesen Technologien? Dann sollten Sie unseren Artikel über MFA versus 2FA lesen.
  • Single-Sign-on: Mit Hilfe dieser Funktion kann der User auf diverse Dienste oder Software-Angebote zugreifen, indem er lediglich einen Benutzernamen und ein Passwort angibt – eine anwenderfreundliche Lösung, da sich der Benutzer nicht viele Passwörter für unterschiedliche Dienste merken muss.
  • Public-Key-Zertifikat: Digitale Zertifikate speichern Informationen über den Eigentümer und Aussteller des Zertifikats, über das Ablaufdatum sowie über die vom Zertifikat erteilten Nutzungs- und Zugriffsrechte. Ebenfalls enthalten ist ein Schlüssel, der den Eigentümer des Zertifikats identifiziert.

Die Risiken, Herausforderungen und Vorteile von IDM

Kann zusätzliche Sicherheit tatsächlich Risiken beinhalten? Und welche Herausforderungen sollten Sie im Auge behalten?

MFA und 2FA könnten beispielsweise Authentisierungsfaktoren erfordern, die einige Benutzer von Ihren Diensten ausschliessen. Sollten Sie sich für diese Sicherheitsverfahren entscheiden, müssen Sie überprüfen, ob Ihre Zielgruppe tatsächlich über die nötige Hardware (Mobilgeräte wie Smartphone oder Laptop) verfügt, um die erforderlichen biometrischen Informationen wie Gesichtserkennung oder Fingerabdrücke bereitstellen zu können.

Bevor Sie Public-Key-Zertifikate einsetzen, bedenken Sie bitte, dass der Erwerb und die Installation solcher Zertifikate ein wenig technisches Know-how voraussetzen. Ist dieser Prozess für Ihre Anwender zu kompliziert, hält es sie möglicherweise davon ab, die Zertifikate zu installieren. Oder, was noch fataler wäre: Es könnte Ihre User dazu bewegen, einen anderen Dienstanbieter zu wählen.

Single Sign-on ist sehr anwenderfreundlich. Kritiker bemängeln jedoch, dass dieses Verfahren nicht das gleiche Mass an Sicherheit bietet wie andere IDM-Lösungen. Es würde genügen, ein Passwort zu entschlüsseln, um Zugriff auf viele Services und Software-Lösungen zu erhalten. Wenn Sie diesen Weg einschlagen wollen, sollten Sie sich Gedanken machen, welche anderen Möglichkeiten jenseits eines Passworts es noch gibt, die Identität eines Anwenders zu authentifizieren.

Wir fassen zusammen: IDM bietet bei Weitem mehr Vorteile als Probleme und Gefahren. Ein effektiver Schutz von Benutzer- und Unternehmensdaten ist entscheidend für die Vertrauensbildung und den Aufbau einer nachhaltigen Kundenbindung. Wenn Sie eine IDM-Lösung einsetzen wollen, sollten Sie dennoch abwägen zwischen dem positiven Aspekt der zusätzlichen Sicherheit und den damit verbundenen Herausforderungen und Risiken.

 

Was ist CIAM?