channelpartner.de: Pusht die aktuelle Home Office-Situation das Identitätsmanagement, und gibt es hier großes Potenzial für den Channel?
Andre Priebe, CTO bei IC Consult: Die aktuelle Situation erhöht den Bedarf an cloudbasierten Anwendungen, wie zum Beispiel Videokonferenzen, um es Mitarbeitern auch von zu Hause aus zu ermöglichen, ihre Aufgaben auszuführen. Dadurch entstehen mehr und mehr Berührpunkte, bei denen die Wichtigkeit von sicheren Zugängen und der Schutz von Daten besonders hoch ist.
Cyber Security und der Channel
Durch diesen Anstieg gewinnt das Thema Identitätsmanagement an Bedeutung und das bei Unternehmen in fast allen Branchen und Größen. Das Identity and Access Management (IAM) spielt nicht nur für DAX-Unternehmen eine wichtige Rolle. Auch kleine und mittelständische Unternehmen stehen Herausforderungen gegenüber, die Sicherheitslücken bergen - aktuell mehr denn je.
channelpartner.de: Warum nehmen viele Kunden, gerade auch die größeren, das Identitätsmanagements nicht selbst in die Hand?
"Selbstentwicklung wird schnell zum Millionengrab"
Andre Priebe, IC Consult: Unsere Erfahrung zeigt, dass sich die Eigenentwicklung eines Identity and Access Management-Systems (IAM) für viele Unternehmen, egal welcher Größe, oftmals als nicht sinnvoll darstellt.
Dies hat unterschiedliche Gründe: Man kann natürlich ein Produkt statt eines Service nehmen und das in eigener Hoheit betreiben - sei es aus strategischen Gründen oder weil man sich die Kontrolle und Unabhängigkeit bewahren will. Aber in den Lösungen etablierter Anbieter stecken in Summe viele hundert Personenjahre anSoftwareentwicklung und umfangreiche Erfahrung. Wer das selbst in die Hand nimmt, setzt am Anfang nur wenige Funktionen um.
Mit der Anwendungslandschaft und der Zahl der Partner, die man integrieren muss, braucht man aber eine Vielzahl neuer Funktionen und Protokolle, die man unter einen Hut bekommen muss. Wir empfehlen daher sich für eine Identity as a Service-Lösung zu entscheiden, zum Beispiel für die Lösung unseres Partners Auth0, oder ein Identity and Access Management Produkt, aber nicht selbst zu entwickeln. Denn eine Eigenentwicklung würde schnell zum Millionengrab werden. Ich kann jedem nur davon abraten.
channelpartner.de: Wenn es konkret zu Projekten bei Kunden kommen soll, von wem kommt meistens der Anstoß?
Andre Priebe: Das ist sehr unterschiedlich. Oft kommt der Anstoß heute aus Digitalisierungsprojekten, aus dem Produktmanagement oder vom Marketing, wo es heißt: "Wir müssen viel besser mit unseren Kunden interagieren - und das produktübergreifend." In einigen Fällen ist es aber auch die IT-Security und / oder die Compliance-Abteilung, die sagt, wir haben hier ein designtechnisches Sicherheitsproblem und suchen daher nach einer professionellen Lösung für digitale Identitäten.
"Die Customer-Journey und Sicherheit müssen stimmen"
channelpartner.de: Warum ist Identity und Access Management gerade bei der digitalen Transformation und den Aufbau digitaler Services relevant?
Priebe: Identitätsmanagement ist oft das "Missing Piece". Das fällt vielleicht nicht beim ersten digitalen Service auf, den man seinen Kunden bereitstellt, aber dann beim Zweiten oder Dritten. Wenn man weitere digitale Touchpoints hinzuzählt, merkt man sofort, dass man für die Kunden eine katastrophal schlechte User-Journey geschaffen hat. Mit Identity and Access Managementhat man die Chance, die User Journey über alle Touchpoints hinweg sehr konsistent und benutzerfreundlich zu gestalten. Wenn man das nicht tut, wird man schnell auf Grenzen stoßen und riskieren, dass die Kundenzufriedenheit darunter leidet.
channelpartner.de: Warum kommt es dann dennoch immer wieder zu Datenpannen?
Priebe: Ich glaube, es gibt mehrere Gründe für Datenpannen. Zum einen haben sich die Kunden oft nicht mit dem Thema Identity and Access Managementbeschäftigt, digitale Identitäten liegen deshalb dupliziert, ohne zentrale Kontrolle in verschiedenen Systemen. Damit steigt auch die Wahrscheinlichkeit, dass eines dieser Systeme die Daten unbeabsichtigt exponiert. Wer IAM zentral betreibt, hat den Vorteil, die Zahl der möglichen bedrohten Systeme, aus denen potenziell Benutzerdaten abfließen, einfach limitieren zu können.
Managed Security und der Channel
Zum anderen gilt dies auch für die Stellen, an welchen sich die Benutzer anmelden, ihr Passwort eingeben und ihre Daten pflegen. Mit einem zentralen Ansatz, also einem zentralen Login wird die exponierte Fläche signifikant verkleinert. Außerdem erleben wir gerade einen Paradigmenwechsel weg von langer Planung und Entwicklung, bis etwas nach Monaten beim Kunden landet.
Heute sind wir alle agil und rollen die sichtbaren Anwendungen für die Kunden fast im Zweiwochenrhythmus, teils sogar täglich neu aus. Dabei steigt natürlich auch die Wahrscheinlichkeit, dass Fehler passieren. Das heißt, man muss viel schneller sein als früher. Wer heute zu langsam ist, verliert Marktanteile und Reputation. Man muss nicht alles neu entwickeln und selbst machen. Vielmehr empfiehlt sich, bei Identity and Access Management mit etablierten Anbietern wie Auth0 und Beratungsunternehmen wie iC Consult zusammenzuarbeiten, um das Thema zu beschleunigen.
Der Trend geht zur Cloud und Identity as a Service
channelpartner.de: Immer öfter wird auch Identitätsmanagement als Cloud-Service angeboten. Gibt es da nicht auch Vorbehalte auf Kundenseite?
Priebe: Der Trend geht tatsächlich mehr und mehr in die Cloud. Anbieter mit einem starken Identity as a Service-Angebot profitieren davon und werden es künftig noch mehr tun. Auf der anderen Seite gibt es auch Anbieter, die gut in hybriden Szenarien unterwegs sind.
Gemeint sind Cloud-Provider, die auch den On-Prem-Betrieb optimal unterstützen. Gegen die Cloud oder Identity as a Service gibt es natürlich auch Vorbehalte. Manche Kunden sagen: "Da liegen die Daten ja nicht mehr im eigenen Datacenter und arbeiten wir potenziell mit Personen zusammen, die wir gar nicht kennen. Ist das nicht viel unsicherer?"
Emotional ist das vielleicht nachvollziehbar. Aber wenn man die Probe aufs Exempel macht und sieht, wie die eigenen Daten im Rechenzentrum geschützt werden und welchen Aufwand professionelle Anbieter betreiben, muss mancher Kunde auch offen zugeben, dass die Daten bei einem Identity as a Service-Anbieter professioneller und besser geschützt sind.
Entsprechend wächst die Nachfrage nach Cloud-Diensten. Dabei sehen wir in der Praxis zwei Wege: Entweder man entscheidet sich für einen Public-Cloud-Provider, der jedem Kunden einen Mandanten in seinem System bereitstellt, oder für einen Anbieter, der für den Kunden eine Private Instance bereitstellt, in dem nur seine Daten liegen.
Strategische Beratung und Implementierung
channelpartner.de: In welcher Rolle ist Ihr Unternehmen in dem Markt unterwegs? Werden Sie in der Regel wegen Technik- oder Business-Themen ins Boot geholt?
Priebe: Wir haben uns als IT-Berater auf das Thema digitale Identitäten spezialisiert und decken mit unserem Tochterunternehmen xdi360 aber auch die Business-Seite ab. Häufig treten wir als Integrator für Identitätsmanagement-Lösungen in Erscheinung und kümmern uns um die Implementierung und die Einbindung der Systeme unserer Kunden.
Dabei stehen die Bedürfnisse unserer Kunden im Vordergrund. Heute bedienen wir mit über 300 Consultants und unseren Tochterunternehmen weltweit viele Großunternehmen und in Deutschland über die Hälfte aller DAX-Unternehmen, darunter Allianz und Siemens. Dabei achten wir darauf, dass jede Lösung genau auf das Bedürfnis des Kunden abgestimmt ist. Das muss strukturiert und konsequent angegangen werden und ist Voraussetzung für eine gute Implementierung.