Customer Identity and Access Management: Zwischen Privatsphäre und dem gläsernen Online-Kunden

Die Speicherung und Bereitstellung von Identitäten über Kunden ist für Unternehmen heute im Umfeld von Onlinediensten und mobilen Applikationen eine zentrale Herausforderung. Hier laufen Funktionalitäten und die Erfüllung von Anforderungen zusammen, die üblicherweise in zwei traditionell voneinander getrennten Disziplinen verwaltet worden: Hier ist auf der einen Seite das klassische CRM (Customer Relationship Management) zu sehen, das auch eines eher traditionell aufgestellten Unternehmens einen Kunden oder Interessenten über seine gesamte Lebenszeit innerhalb der „Kundendatenbank“ verfolgte.

Mit der Digitalen Transformation sind auf der anderen Seite mit der Verwaltung von Identitäten von Kunden und Interessenten völlig neue Anforderungen entstanden, die viele Systeme und Anbieter von Produkten und Dienstleistungen online vor neue Herausforderungen stellen:  Neue Gruppen von Anwendern greifen auf Systeme des Anbieters direkt zu, Hier sind viele Zugriffswege möglich und es werden kontinuierlich mehr. Diese reichen von der traditionellen Website über den Zugriff via dedizierter Applikationen auf den unterschiedlichen mobilen Plattformen bis hin zum Zugriff durch Geräte, die als zusätzliche Manifestationen eines einzelnen Users Daten an Onlinedienste liefern (etwa Gesundheits-Tracker, Set-Top-Boxen für die heimische Unterhaltung zwischen Video und Online-Gaming, Heimautomation, Navigationsgeräte, intelligente Fahrzeuge und Uhren).  Der Trend ist klar: Viele Konsumenten sind bereit, einen unterschiedlich großen Teil ihrer persönlichen Daten an kommerzielle Unternehmen zu übermitteln, wenn diese Preisgabe mit einem individuell als angemessen betrachteten Mehrwert verbunden sind.

CRM, IAM und Analytics für die Digitale Transformation

Die sichere Identifikation und Autorisierung von Online-Identitäten sind klassische Disziplinen, die eigentlich im traditionellen Identitäts-& Zugriffsmanagement (Identity and Access Management, IAM) angesiedelt sind. Systeme zur Verwaltung von relevanten Identitäten (Angestellte, Partner, Externe Mitarbeiter) stellen im Unternehmensumfeld schon heute belastbare und ausgereifte Verfahren für die Verwaltung der unterschiedlichen Lebenszyklen zur Verfügung. Über die letzten beiden Jahrzehnte haben sich diese Infrastrukturen zu einer zentralen Komponente einer Unternehmens-Architektur für die Gewährleistung von Sicherheit und den Nachweis der Compliance zu rechtlichen und regulatorischen Anforderungen, aber auch zu einem effizienten und im Idealfall auch hochautomatisierten Administrationswerkzeug entwickelt.

Eine direkte Übertragung dieser Systeme auch auf die Anforderungen einer Infrastruktur für die Unterstützung von Kunden-orientierten Geschäftsprozessen für das Internet und damit für die Handhabung von sehr vielen und weitgehend neuen Benutzeridentitäten ist in den meisten Fällen nicht ohne weiteres möglich. Neue Zugangswege, neue Identitäten, völlig neue Mengengerüste und Prozesse (gerade im Marketing und in der Analyse der entstehenden Kundendaten) machen hier oft erheblichen Entwicklungsaufwand und damit Kosten notwendig, wobei die entstehenden Systeme dennoch nicht funktional vollständig angemessen sind

Benutzermanagement für Mobile und das Internet

Hier hat sich ein neuer Markt an Anbietern herausgebildet, die mit sogenannten Customer Identity and Access Management-Systemen (CIAM) genau dieses Marktsegment abdecken. Diese ist aus Skalierungsgründen oft als Software as a Service (SaaS) konzipiert und stellt diese Mechanismen bereit, die für die erfolgreiche Handhabung von Benutzer-Identitäten auch in Internet-Dimensionen notwendig sind.  Wie im klassischen IAM geht es hier um die sichere Authentifikation und notwendige Autorisierung von Benutzern, um die Erfüllung rechtlicher Anforderung und die Gewährleistung von Sicherheit und Privatsphäre. Darüber hinaus sind dieses System die Grundlage neuer Geschäftsmodelle, gewähren einen weitgehenden Blick auf die Aktivitäten von ganzen Benutzergruppen und damit das Basis-Datenmaterial für unternehmerische Entscheidungen und nicht zuletzt auch die Basis für langlebige Kundenbeziehungen und maßgeschneiderte Angebote für individuelle Kunden=Anwender (Customer experience) und eine möglichst hohe Kundenzufriedenheit.

Sammeln, Konsolidieren und Auswerten

Zentrale Aspekte für diese Systeme sind ein Dreisprung aus Datensammlung, Datenkonsolidierung und Analyse: Im ersten Schritt sind hier Prozesse notwendig, die für die Registrierung von neuen Benutzern, für die eindeutige Identifikation dieser Benutzer über unterschiedliche Datenquellen hinweg und die Integration weiterer Accounts, etwa aus sozialen Medien (Facebook, Twitter und deren regionale Mitbewerber) sorgen. Hierauf baut im zweiten Schritt die kontinuierliche Sammlung von Benutzerdaten über die tägliche Benutzung einer Kunden-Plattform hinweg auf, hierbei wird durch Korrelation und verbindende Algorithmen für detaillierte Einblicke in das Verhältnis von Identitäten zueinander, aber auch in das Verhalten Einzelner (von Lokations- und Device-Daten, über „Likes“, Kommentare, Bewertungen und Empfehlungen bis hin zu individuellen Vorlieben) gesorgt. Diese hohe Menge an schon aufbereiteten und vorkonsolidierten Daten werden dann im Sinne einer Big Data-„Know Your Customer“-Vorgehensweise strategisch ausgewertet, wobei die Möglichkeiten der Verwertung dieser Informationen natürlich vielfältig sind. Diese können von maßgeschneiderten, individualisierten Online-Angeboten, über direkte Interaktionen mit den Kunden (etwa kontext-bezogene Pushnachrichten) reichen. Aber auch das Schalten von gezielter Werbung über die Integration in einen klassischen Multichannel-Marketingmix bis hin zur strategischen Weiterentwicklung des Unternehmensangebotes sind hier in weiteren Schritten der Analyse und Ableitung zielgerichteter Maßnahmen folgerichtig sinnvoll.

Datenschutz als stetige Herausforderung und Chance

Spätestens bei diesen detaillierten Möglichkeiten der zielgerichteten Auswertung ursprünglich personenbezogene Daten werden viele Anwender und Kunden hellhörig.  Nicht selten werden auch heute noch weiterhin lange, unübersichtliche Nutzerbedingungen bei der Registrierung schnell weggeklickt, damit der Dienst nutzbar wird. Aber schon heute unterliegt die Speicherung und Verarbeitung personenbezogener Daten strikten Regeln, die gerade im Umfeld von Kunden-orientierten Systemen konsequent umgesetzt werden müssen. Das kann gerade für Unternehmen, die international auftreten, eine erhebliche Herausforderung bei der täglichen Erfüllung dieser Anforderungen darstellen. CIAM-Systeme treten hier mit dem Anspruch an, die jeweiligen Anforderungen in sich angemessen zu erfüllen und die Grundlage für die Implementation von Anbietersystemen zu bieten, die mit deutlich vermindertem Aufwand wiederum diesen Anforderungen genügen können.

Mit der Europäischen Datenschutz-Grundverordnung ändern sich die Anforderungen für viele Unternehmen, die auf dem europäischen Markt aktiv sind, aber nicht notwendigerweise dort angesiedelt sind, noch einmal grundlegend. Die Rechte des Einzelnen werden in diesem europaweit im Frühling 2018 vermutlich gültig werdenden Dokument maßgeblich gestärkt. Diese Rechte gehen weit über das heute bekannte Maß hinaus. Sie reichen von dem schon heute häufig diskutierten „Recht auf Vergessen“, also der Verpflichtung der Anbieter Daten auch wieder regelbasiert oder auf Antrag zu löschen, die Zweckbindung der gespeicherten Daten (ein Kauf auf einer Plattform rechtfertigt nicht direkt auch die Auswertung für Marketingzwecke) über Vorgaben über die Anwendbarkeit automatisierter Verfahren zur Ermittlung von Profilen bis hin zu einer erheblichen Erweiterung des Geltungsbereichs, indem jeder Dienste-Anbieter, dessen Benutzer sich potentiell auch in Europa befinden, unter diese Regelungen fällt, auch wenn er selbst gar nicht im EU-Gebiet angesiedelt ist („Extraterritorial effect“).  Dies wird nicht zuletzt eine Vielzahl US-amerikanischen Unternehmen betreffen, die schon heute Identitäten von EU-Bürgern in ihren Systemen verwalten.  Der Gesamtumfang der Anforderungen ist für viele Unternehmen heute bereits ein zentraler Aspekt für die künftige Anpassung der kundenbezogenen Systeme.

Doch hier verbergen sich sowohl Chancen als auch Herausforderungen. Gerade für die Anbieter von Customer Identity and Access Management-Systemen ist eine zeitnahe Erfüllung dieser Anforderungen eine zentrale Verpflichtung, wollen sie sich dauerhaft – und das heißt auch über die bindende Einführung der Europäischen Datenschutz-Grundverordnung hinaus – als verlässlicher Partner positionieren. Für die Anbieter von Diensten und Produkten kann mit einer weitreichenden Erfüllung dieser Anforderungen schon heute ein zentrales Alleinstellungsmerkmal gegeben sein, das mit Blick auf das Vertrauen und die Sicherheit der Kundenidentitäten gerade auch mündige und Informierte Anwender binden hilft.  Der Aufbau einer konsequenten Unternehmensstrategie, die sich angemessen mit den Herausforderungen dieser Digitalen Transformation, der Behandlung von Benutzeridentitäten, ihrer Sicherheit und Privatsphäre und parallel mit der Weiterentwicklung und Umsetzung neuer Geschäftsmodelle auseinandersetzt, ist mit Sicherheit eine der zentralen Herausforderungen für einen großen Anteil heutiger Unternehmen.

Das Thema Kundenidentitäten, deren angemessene Speicherung und Handhabung im Spannungsfeld zwischen Privatsphäre und Sicherheit einerseits und der Digitalen Transformation andererseits  wird ein zentraler Aspekt bei der im Mai in München stattfindenden European Identity and Cloud Conference (EIC) sein. Hersteller, Anwender und Analysten werden hier das Thema CIAM als einen zentralen Themenblock sowohl strategisch als auch praxisorientiert beleuchten.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

14 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago