Identität ist der Schlüssel
Nach zwei Tagen Catalyst Conference der Burton Group in der vergangenen Woche hier in München frage ich mich, wann das Problem der digitalen Identität endlich gelöst sein wird. Es ist einfach unglaublich, dass Anwender sich immer noch damit herumschlagen müssen, etliche unterschiedliche Kennungen und Profile zu pflegen - sei es beim Onlindienst, bei der Bank, in der Arbeit.
Wenn ich so grob überschlage, dann existiere ich in digitaler Form etwa 20 mal. An allen erdenklichen Stellen gibt es einen Martin Seiler (einen Teilaspekt des “echten”), der sich am System anmeldet, um Mails abzurufen, auf die Computerwoche-Ressourcen zuzugreifen, Bankgeschäfte abzuwickeln oder - wie jetzt gerade - zu bloggen. Nicht nur, dass ich in den meisten dieser Systeme ein Profil hinterlegen und pflegen muss; nein, ich habe zusätzlich die Pflicht, mir die jeweiligen Kennungen und Passwörter zu merken. Und das ist nicht einfach, wenn man nicht das Geburtsdatum dazu verwenden will - was viel zu viele leider immer noch tun.
Neben der Unsicherheit verursacht der jetzige Zustand gerade in Unternehmen enorme Kosten: Weil die Mitarbeiter sich die Kennungen nicht merken können und ihre Passwörter vergessen (wem ist das noch nicht passiert?), rufen sie den Helpdesk an, um das Problem beseitigen zu lassen. Ein Vertreter von XL Capital erzählte auf der Konferenz etwa, dass bei ihnen im Konzern (3500 Mitarbeiter weltweit) pro Jahr 16.800 mal der Helpdesk bemüht werden musste, um Passwörter zurückzusetzen. Bei durchschnittlichen Kosten von 25 Dollar pro Call kostete das das Unternehmen die stolze Summe von 420.000 Dollar pro Jahr. Diese Summe konnte zumindest teilweise eingespart werden, indem ein Identity-Management-System eingerichtet wurde, dass es den Anwendern ermöglicht, ihre Passwörter selbst zurückzusetzen.
Es hat aber auch andere Vorteile gebracht: Alle Mitarbeiter besitzen nun eine eindeutige Kennung, die sich nicht ändert. Statt sich wie bisher an etlichen Anwendungen separat anmelden zu müssen, geschieht das nun zentral mit Hilfe von Simplified Sign-On. Das Provisioning für neue Mitarbeiter (die Burton Group definiert das als den automatisierten Prozess, einer Identität einen oder mehrere Accounts und Rechte auf IT-Systemen zuzuordnen) lässt sich nun bereits fünf Tage VOR dem Eintritt eines neuen Mitarbeiters erledigen. Spitze!
Lassen wir uns überraschen, wann ein einheiltiches und übergreifendes System für uns alle existiert. Ganz sicher wird das noch einige Zeit dauern, ich gehe mal von mindestens zehn Jahren aus, bis sich die Situation enstpannt und ich nach einer einmaligen Identifizierung im Internet weitere Dienste sicher nutzen kann, ohne jedesmal ein Login, Passwort und weitere Daten eingeben zu müssen.
Am 8. November 2005 um 19:32 Uhr
Endlich jemand der die Problematik verstanden hat die viele Administratoren, IT Leiter und auch CIOs im echten Leben noch ignorieren. Seit 4 Jahren evangelisiere ich dieses Thema in Deutschland und muss sagen es ist ernüchternd. Identitiy Management wie sie es beschreiben senkt nicht nur Kosten sondern es bringt, jedenfalls so wie wir das Thema anfassen, Sicherheit. In diesem Fall definieren wir die gewonnene Sicherheit nicht nur als Transparenz, also zu wissen wer, wann Zugriff auf die Ressourcen des Unternehmens hat. Es geht auch um Terminierungssicherheit, also den kleinen aber wichtigen Punkt das ein ehemaliger Mitarbeiter auch keine Rechte mehr hat. Der nächste logische Schritt wäre aber eine Nachweisbarkeit der Rechte die ein ehemaliger Mitarbeiter zu einem Zeitpunkt X in seiner Karriere hatte darzustellen.
Wenn Sie jetzt das Ganze noch mit Workflows untermahlen haben Sie schon eine Idee von dem was wir gerade gemeinsam mit der SBS (Siemens Business Services) für jetzt schon weit über 60.000 User liefern.
Spannend zu beobachten ist das immer mehr Unternehmen aufgrund der rechtlichen Lage (Basel II, SOX, Kontra G etc.) auch auf IT Anforderungen stoßen die eine größere Transparenz und Nachvollziehbarkeit im Usermanagement verlangen. Spannend ist es auch zu beobachten wer sich alles in diesem Umfeld tummelt. Vollmundige Versprechungen mit wenig oder keiner Leistung sind in diesem Umfeld an der Tagesordnung. Für uns als kleines, no name Unternehmen freut uns die mächtige Unterstützung die wir von MS erfahren. Ohne diese Unterstützung würde sich kaum jemand unsere Kundenliste einmal näher betrachten. Insbesondere die Referenzen in Köln und bei der SBS zeigen was mit beschränktem Aufwand tatsächlich machbar ist.
Wir hoffen also das Artikel wie der vorangegangene weiterhin viel Aufmerksamkeit auf das Thema prozessorientiertes & automatisiertes Usermanagement leiten.
MfG
Ernst Südmeyer
econet AG
http://www.econet.de
Am 9. November 2005 um 02:12 Uhr
Eines verstehe ich nicht ganz.
Es wird doch demnächst den “Reisepass mit Chip für Foto und Fingerabdrücke” geben http://www.chip.de/news/c1_news_15633455.html , inkl. digitaler Signaturen usw. Was steht im Wege diesen oder eine vergleichbare Methode (z.B den sicher demnächst kommenden Personalausweis mit Chip…) für die Lösung des Problems zu nutzen?
Mehr Identität geht (vorläufig) nicht. Und den ePass werden sich wohl die meisten gönnen… (müssen).
Einfach flächendeckend als Norm (die vom Staat eh vorgegeben ist) im Zusammenhang mit der IT-Infrastruktur einführen.
Dann wird keiner über die Nutzung der biometrischen Daten fluchen, sondern sie als Lösung des Passwortproblems begrüssen.
Am 9. November 2005 um 13:00 Uhr
Soviel ich weiß, ist es nicht so ganz einfach, ein offizielles Dokument wie den neuen Reisepass bzw. den darin integrierten Chip dafür zu benutzen, um Daten für irgendwelche möglicherweise kommerziellen Dienste zu speichern. Ich halte das auch nicht für sinnvoll.
Hier sollte klar getrennt werden zwischen der Möglichkeit, mich im “richtigen” Leben mithilfe von biometrischen Merkmalen zweifelsfrei zu identifizieren und zudem einen Schutz gegen Fälschungen zu schaffen. Das hat nichts damit zu tun, eine technische Möglichkeit zu schaffen, um digitale Identitäten in irgendeiener Form zu vereinfachen und zusammenzuführen. Was natürlich auch mit Hilfe von Chipkarten geschehen könnte, ganz klar. Nur sollte man beides eben nicht vermischen.
Am 9. November 2005 um 13:21 Uhr
> den darin integrierten Chip dafür zu benutzen, um Daten für irgendwelche möglicherweise kommerziellen Dienste zu speichern.
Ich meinte folgendes: wenn man bereits eine Unterlage besitzt, die den Besitzer eindeutig identifiziert (ePass) und die Passwörter und Login zu gleichem Zweck verwendet werden, warum nimmt man nicht gleich den Ausweis/Pass, um sich beim System zu identifizieren?
Es geht nicht darum, den Chip zu verwenden, um ihn mit Zusatzdaten zu beschreiben, er enthält bereits alle Identifikationsmerkmale eines Users.
Login+Passwort ist doch bisher ein Pseudoersatz für die Identifizierung am IT-System. ePass-Daten sind die Identifizierung, d.h. machen Login obsolet, (sie sind das Login).
Der User muß sich weder sein Gesichtausdruck und Form noch seine Fingerabdrücke “notieren” und kann sie auch niemals “vergessen”.
> Nur sollte man beides eben nicht vermischen.
Beides?
Das Thema lautet doch “Identität ist der Schlüssel”, ich meinte: ePass könnte als Schlüssel verwendet werden.
Am 9. November 2005 um 14:34 Uhr
Ok, jetzt verstehe ich. Dann müssten bloß noch die anzusprechenden Systeme in der Lage sein, mit dem ePass zu “reden”, damit ich mich mit seiner Hilfe dort anmelden kann. Richtig?
Aber dann brauche ich schon noch eine weitere Komponente, die die Gesamtheit meiner digitalen Identität speichert. Wie bereits geschrieben muss ich mich ja an allen möglichen Systemen anmelden, immer in einem anderen Kontext. Mal bin ich der Redakteur, dann ein Kunde usw. Alle hierfür erforderlichen Informationen/Profile sollten irgendwo hinterlegt sein und nur für den jeweiligen Bedarf zugänglich gemacht werden.
Am 9. November 2005 um 14:40 Uhr
Stimmt genau! Darum wird in der Regel über ein Rollensystem gesteuert welcher User, also z.B. der Mensch der sich hinter dem Ausweis versteckt, welche Ressourcen benötigt. Noch spannender wird es wenn man von diesem Aspekt dann auch noch die automatisierte Durchführung in den einzelnen Zielsystemen realisieren möchte.
Alles keine Hexerei, aber doch immer wieder wesentlich komplexer als man sich das anfänglich vorgestellt hat!
Am 9. November 2005 um 15:02 Uhr
MS> Dann müssten bloß noch die anzusprechenden Systeme in der Lage sein, mit dem ePass zu “reden”, damit ich mich mit seiner Hilfe dort anmelden kann. Richtig?
Genau!
MS > Mal bin ich der Redakteur, dann ein Kunde usw.
Die Rollenverteilung kennt der User nicht immer, die Rollen definiert die jeweilige Administration (und ordnet diese der ID des Users zu), also braucht der User die Daten nicht zu wissen und zu speichern.
Es gibt doch nicht so viele Systeme, bie denen man die Rollen wechseln kann. Die paar wenigen wird man sich schon merken können.
Bei eBay, Amazon bin ich nur Kunde, in der Firma stets ein Miterbeiter mit gewissem, für eine Zeitspanne konstantem Profil…
ES > Alles keine Hexerei, aber doch immer wieder wesentlich komplexer als man sich das anfänglich vorgestellt hat!
Meine Herren, ich habe nur den Gedanken geliefert, der ist nun “open source”, gebe ihn frei. :)
Am 18. April 2006 um 14:35 Uhr
Ich schreibe zurzeit meine Diplomarbeit. In diesem Zusammenhang habe ich unter http://www.siemens.de/index.jsp?sdc_p=ft4ml0s3u0o1368423i1137554pc61z3 einen interessanten Fachartikel entdeckt, der aus meiner Sicht genau die Problematik bzgl. IT-Sicherheit und Identity Management, die der Artikel und auch Herr Südmeyer ansprechen, trifft. Die Meinung anderer Leser dazu würde mich sehr interessieren!
Viele Grüße
Tobias Schmid
Am 30. Oktober 2006 um 16:18 Uhr
Guten Tag,
ein sehr qualifizierter Artikel, der aber auch aufzeigt, wieviel in dem Gebiet noch zu tun ist!
MfG
Peter Hartung
Am 11. März 2008 um 00:01 Uhr
[…] und den Gefahren im Internet bzgl. E-Business, doch kann ich diesbezüglich bei der Deutschen Bank 24 keine Seriosität feststellen. Ich habe HBCI bei der Deutschen Bank beantragt und erhalte eine […]