Wie schon in den vergangenen Jahren haben die Analysten von Kuppinger Cole + Partner die 10 Top-Trends im Identity Management identifiziert. Einige Entwicklungen haben in den vergangenen Wochen ja schon für Aufmerksamkeit gesorgt. Dazu zählen der Ausstieg von HP, aber insbesondere die massiv gestiegene Unterstützung für OpenID als einem der wichtigsten Standards für Identity 2.0, wie eine stärker auf den Endanwender ausgerichtete Sichtweise für das Identity Management auch genannt wird.
Es gibt aber viele weitere Entwicklungen im Identity Management, die nicht so im Blickpunkt der IT-Öffentlichkeit stehen, nichtsdestotrotz aber bedeutsam sind und sich im Jahr 2008 auf die Entwicklung der IT und manchmal bis hin in gesellschaftliche Diskussionen auswirken werden.
Die 10 Top-Trends
Trend Nr. 1: OpenID, Infocards, CardSpace - Identity 2.0 wird gelebte Realität
Das dominierende Thema ist zweifelsohne Identity 2.0. Die Unterstützung von OpenID durch große Unternehmen wie Yahoo, Google, Microsoft und IBM ist ein wichtiges Signal. Es steht zwar außer Frage, dass sich bei den Standards noch einiges tun muss, auch im Hinblick auf die Interoperabilität von OpenID und CardSpace. Es wird aber innovative CardSpace-Implementierungen geben. Und das Thema kommt in den Köpfen nicht nur der "geeks" an, sondern wird auch für die breite Masse der Benutzer relevant. Daher ist es für alle Anbieter von Web-Sites zwingend, sich nun mit Identity 2.0 zu beschäftigen, um die geänderten Erwartungen ihrer Benutzer zukünftig optimal bedienen zu können.
Trend Nr. 2: Governance, Risk Management, Compliance - der "Überbau"
Auch wenn oft von Compliance gesprochen wird - das Thema ist heute breiter und wird zu Recht als GRC (Governance, Risk Management, Compliance) bezeichnet. Es ist inzwischen der wichtigste Treiber für das Identity Management und mit verantwortlich für den Wandel von einem eher "administrativen" Identity Management hin zu einer stärkeren Business-Orientierung. Das wird sich in diesem Jahr noch verstärken. Neben dem bereits prominenten Thema des Business Role Managements werden mehr und mehr spezialisierte Anwendungen für das Identity Risk Management und das Auditing auf den Markt kommen - ein Markt, der schon im Entstehen ist, mit vielen interessanten, innovativen Anbietern.
Trend Nr. 3: Modularität und Offenheit statt monolithischer Suiten
Schon im vergangenen Jahr hat sich abgezeichnet, dass sich insbesondere die Kernprodukte des Identity Managements, die meist als "Identity Manager" bezeichneten Provisioning-Lösungen öffnen müssen. Die Unterstützung auch von externen Workflows und von Standards wie BPEL (Business Process Execution Language) sind aber nur ein Schritt in diese Richtung. Ein flexibles Zusammenspiel mit GRC-Lösungen gehört ebenso dazu wie eine Strategie für die Unterstützung von ESBs (Enterprise Service Bus) für die Kommunikation. Die Zukunft gehört Anwendungen, die flexibel mit anderen Komponenten der IT-Infrastruktur zusammenarbeiten. Das bietet auch die Chance für einen Markteintritt neuer Anbieter aus Feldern wie dem MDM (Master Data Management) und dem BPM (Business Process Management), aber auch für Spezialisten, die dann Connectoren zu den verschiedenen Identitätsspeichern wie beispielsweise LDAP-Verzeichnissen liefern.
Trend Nr. 4: SOA und IAM wachsen zusammen
Es hat lange gedauert. Inzwischen ist die Bedeutung des Zusammenspiels von SOA (Service-orientierten Architekturen) und dem Identity Management aber in den Köpfen nicht nur der Anbieter auf beiden Seiten, sondern auch der Anwendungsarchitekten angekommen. Die Diskussion darüber, welche Modelle für die Ausführung von Services im Kontext von Identitäten für eine Ende-zu-Ende-Sicherheit sorgen, kommt in Gang und wird im kommenden Jahr an Gewicht gewinnen - und damit die Bedeutung des Identity Managements und hier insbesondere von Teilthemen wie der Identity Federation für die anwendungsübergreifende Nutzung von Identitätsinformationen und von virtuellen Verzeichnissen für die flexible Bereitstellung eines Ausschnitts von Identitätsinformationen steigern.
Trend Nr. 5: Authentifizierung und Autorisierung im Kontext des Benutzers
Foto:
Insbesondere im eBanking wird das Thema der risiko-basierenden Authentifizierung bereits adressiert. Dabei geht es zunächst primär darum, Informationen der Fraud Detection bei der Authentifizierung zu berücksichtigen. Mit der Erweiterung hin zu einer kontext-basierenden Authentifizierung und Autorisierung wird das aber in Zukunft ein Thema für alle sicherheitssensitiven Bereiche, vom eBanking über eCommerce bis hin zu internen IT-Systemen, werden. Dabei geht es darum, beispielsweise Informationen von physischen Zugangskontrollsystemen, aus der NAC (Network Access Control), über das verwendete Gerät und seinen Standort, aus der Fraud Detection und anderen Quellen zu kombinieren und über Regeln zu entscheiden, unter welchen Bedingungen eine Authentifizierung zugelassen wird und welche Anwendungen genutzt werden dürfen.
Trend Nr. 6: Privacy und Datenschutz werden wieder zum Thema
Gerade die in der Folge der Entscheidung des Bundesverfassungsgerichts zum "Bundestrojaner" aufgekommene Diskussion, aber auch die Sicherheitsdiskussionen rund um OpenID zeigen, dass langsam Themen wie der Schutz der Privatsphäre und des Datenschutzes wieder mehr in den Blickpunkt rücken. Wir erwarten hier ein wachsendes Bewusstsein, auch durch die Erkenntnis, dass man sich selbst im Internet oft zum gläsernen Menschen macht und es zumindest eines bewussten Umgangs mit dieser Entwicklung bedarf.
Trend Nr. 7: Mehr Anbieter - nicht weniger
Auch wenn sich HP aus dem Identity Management-Markt verabschiedet hat: Die Zahl der Anbieter wächst. Daran ändern auch strategisch fragwürdige (Fehl-)Einschätzungen einzelner Unternehmen nichts. Die oft weit über dem Durchschnitt des IT-Marktes liegenden Umsatzzuwächse vieler Anbieter machen auch deutlich, dass der Identity Management-Markt zu den Boom-Märkten der IT gehört. Die neuen Trend-Themen wie GRC-Applikationen und die Chancen, die sich durch mehr Modularität und Offenheit ergeben, sind ebenso wie die kontext-basierende Authentifizierung Segmente, in denen es schon jetzt viele interessante neue Anbieter gibt. Und deren Zahl wird nach der Einschätzung von Kuppinger & Cole noch wachsen.
Trend Nr. 8: Endlich sicheres Online-Banking
In den USA, aber auch in Großbritannien ist es schon unübersehbar: Online-Banking wird sicherer und man geht deutlich über die archaischen PIN-/TAN-Verfahren und ihre Derivate wie die iTAN hinaus. Ausgefeilte Verschlüsselungsmechanismen, Flash Player-basierende Mechanismen und viele andere Entwicklungen werden von Banken ausprobiert, um einen ebenso einfachen wie sicheren Zugang zum eBanking zu realisieren. Dieser Trend wird sich auch auf Deutschland auswirken, auch wenn die deutsche Bankenlandschaft wohl weiterhin keine Vorreiterrolle übernehmen wird, sondern den Entwicklungen sowohl in den USA und Großbritannien als auch vielen asiatischen und südamerikanischen Ländern hinterherhinken wird.
Trend Nr. 9: Information und Identitäten werden verknüpft - "Enterprise Information Management"
Sicherlich erst als zarter Trend erkennbar, aber doch unübersehbar: In Folge einer stärker business-orientierten wird sich auch der Blick auf das Identity Management verändern. Die Zielrichtung ist ein Enterprise Information Management, bei dem die Information im Mittelpunkt steht. Für diese wird festgelegt, wer sie wie nutzen darf und wie sie generell geschützt wird. Zugriffsberechtigungen, Information Rights Management, aber auch die Archivierung lassen sich in diesem Konzept zentral steuern. Business-Rollen werden benötigt, damit Benutzer entscheiden können, wer was mit der Information machen darf. Identity Management ist ein wichtiges Fundament in diesem Modell, aber keineswegs der einzige Baustein. Enterprise Information Management ist aber der Ansatz, der den Benutzern die Kontrolle über die Informationen gibt, vor allem aber für einen konsistenten, durchgängigen Schutz von Informationen sorgt.
Trend Nr. 10: Federation reift - wenn auch nur langsam
Federation, über lange Zeit einer unserer Top-Trends, ist etwas aus dem Blickpunkt verschwunden. Das liegt nicht daran, dass Federation keine Bedeutung mehr hätte - im Gegenteil, es gibt immer mehr Implementierungen von immer mehr Anbietern. Auch die Frage der Interoperabilität ist inzwischen auf hohem Niveau adressiert. Wie bei allen Hypes ist Federation aber nun in der Phase angekommen, in der es um praktische Lösungen geht. Und diese kommen mehr und mehr, auch wenn das Wachstum langsam ist. Das liegt auch an den organisatorischen und rechtlichen Voraussetzungen für die Identity Federation, die oft eine Hürde sind. Klar ist aber: Inzwischen hat man sowohl für den Einsatz im B2B-Umfeld als auch im B2C-Bereich - und hier kommen Standards wie CardSpace ins Spiel - ein praxisgeprägtes Verständnis, das die ersten oft recht theoretischen Ideen in diesem Bereich, die noch vor einigen Jahren die Diskussion geprägt ("Circles of Trust") haben, abgelöst hat. (rw)