Die Speicherung und Bereitstellung von Identitäten über Kunden ist für Unternehmen heute im Umfeld von Onlinediensten und mobilen Applikationen eine zentrale Herausforderung. Hier laufen Funktionalitäten und die Erfüllung von Anforderungen zusammen, die üblicherweise in zwei traditionell voneinander getrennten Disziplinen verwaltet worden: Hier ist auf der einen Seite das klassische CRM (Customer Relationship Management) zu sehen, das auch eines eher traditionell aufgestellten Unternehmens einen Kunden oder Interessenten über seine gesamte Lebenszeit innerhalb der „Kundendatenbank“ verfolgte.
Die sichere Identifikation und Autorisierung von Online-Identitäten sind klassische Disziplinen, die eigentlich im traditionellen Identitäts-& Zugriffsmanagement (Identity and Access Management, IAM) angesiedelt sind. Systeme zur Verwaltung von relevanten Identitäten (Angestellte, Partner, Externe Mitarbeiter) stellen im Unternehmensumfeld schon heute belastbare und ausgereifte Verfahren für die Verwaltung der unterschiedlichen Lebenszyklen zur Verfügung. Über die letzten beiden Jahrzehnte haben sich diese Infrastrukturen zu einer zentralen Komponente einer Unternehmens-Architektur für die Gewährleistung von Sicherheit und den Nachweis der Compliance zu rechtlichen und regulatorischen Anforderungen, aber auch zu einem effizienten und im Idealfall auch hochautomatisierten Administrationswerkzeug entwickelt.
Eine direkte Übertragung dieser Systeme auch auf die Anforderungen einer Infrastruktur für die Unterstützung von Kunden-orientierten Geschäftsprozessen für das Internet und damit für die Handhabung von sehr vielen und weitgehend neuen Benutzeridentitäten ist in den meisten Fällen nicht ohne weiteres möglich. Neue Zugangswege, neue Identitäten, völlig neue Mengengerüste und Prozesse (gerade im Marketing und in der Analyse der entstehenden Kundendaten) machen hier oft erheblichen Entwicklungsaufwand und damit Kosten notwendig, wobei die entstehenden Systeme dennoch nicht funktional vollständig angemessen sind
Hier hat sich ein neuer Markt an Anbietern herausgebildet, die mit sogenannten Customer Identity and Access Management-Systemen (CIAM) genau dieses Marktsegment abdecken. Diese ist aus Skalierungsgründen oft als Software as a Service (SaaS) konzipiert und stellt diese Mechanismen bereit, die für die erfolgreiche Handhabung von Benutzer-Identitäten auch in Internet-Dimensionen notwendig sind. Wie im klassischen IAM geht es hier um die sichere Authentifikation und notwendige Autorisierung von Benutzern, um die Erfüllung rechtlicher Anforderung und die Gewährleistung von Sicherheit und Privatsphäre. Darüber hinaus sind dieses System die Grundlage neuer Geschäftsmodelle, gewähren einen weitgehenden Blick auf die Aktivitäten von ganzen Benutzergruppen und damit das Basis-Datenmaterial für unternehmerische Entscheidungen und nicht zuletzt auch die Basis für langlebige Kundenbeziehungen und maßgeschneiderte Angebote für individuelle Kunden=Anwender (Customer experience) und eine möglichst hohe Kundenzufriedenheit.
Zentrale Aspekte für diese Systeme sind ein Dreisprung aus Datensammlung, Datenkonsolidierung und Analyse: Im ersten Schritt sind hier Prozesse notwendig, die für die Registrierung von neuen Benutzern, für die eindeutige Identifikation dieser Benutzer über unterschiedliche Datenquellen hinweg und die Integration weiterer Accounts, etwa aus sozialen Medien (Facebook, Twitter und deren regionale Mitbewerber) sorgen. Hierauf baut im zweiten Schritt die kontinuierliche Sammlung von Benutzerdaten über die tägliche Benutzung einer Kunden-Plattform hinweg auf, hierbei wird durch Korrelation und verbindende Algorithmen für detaillierte Einblicke in das Verhältnis von Identitäten zueinander, aber auch in das Verhalten Einzelner (von Lokations- und Device-Daten, über „Likes“, Kommentare, Bewertungen und Empfehlungen bis hin zu individuellen Vorlieben) gesorgt. Diese hohe Menge an schon aufbereiteten und vorkonsolidierten Daten werden dann im Sinne einer Big Data-„Know Your Customer“-Vorgehensweise strategisch ausgewertet, wobei die Möglichkeiten der Verwertung dieser Informationen natürlich vielfältig sind. Diese können von maßgeschneiderten, individualisierten Online-Angeboten, über direkte Interaktionen mit den Kunden (etwa kontext-bezogene Pushnachrichten) reichen. Aber auch das Schalten von gezielter Werbung über die Integration in einen klassischen Multichannel-Marketingmix bis hin zur strategischen Weiterentwicklung des Unternehmensangebotes sind hier in weiteren Schritten der Analyse und Ableitung zielgerichteter Maßnahmen folgerichtig sinnvoll.
Spätestens bei diesen detaillierten Möglichkeiten der zielgerichteten Auswertung ursprünglich personenbezogene Daten werden viele Anwender und Kunden hellhörig. Nicht selten werden auch heute noch weiterhin lange, unübersichtliche Nutzerbedingungen bei der Registrierung schnell weggeklickt, damit der Dienst nutzbar wird. Aber schon heute unterliegt die Speicherung und Verarbeitung personenbezogener Daten strikten Regeln, die gerade im Umfeld von Kunden-orientierten Systemen konsequent umgesetzt werden müssen. Das kann gerade für Unternehmen, die international auftreten, eine erhebliche Herausforderung bei der täglichen Erfüllung dieser Anforderungen darstellen. CIAM-Systeme treten hier mit dem Anspruch an, die jeweiligen Anforderungen in sich angemessen zu erfüllen und die Grundlage für die Implementation von Anbietersystemen zu bieten, die mit deutlich vermindertem Aufwand wiederum diesen Anforderungen genügen können.
Mit der Europäischen Datenschutz-Grundverordnung ändern sich die Anforderungen für viele Unternehmen, die auf dem europäischen Markt aktiv sind, aber nicht notwendigerweise dort angesiedelt sind, noch einmal grundlegend. Die Rechte des Einzelnen werden in diesem europaweit im Frühling 2018 vermutlich gültig werdenden Dokument maßgeblich gestärkt. Diese Rechte gehen weit über das heute bekannte Maß hinaus. Sie reichen von dem schon heute häufig diskutierten „Recht auf Vergessen“, also der Verpflichtung der Anbieter Daten auch wieder regelbasiert oder auf Antrag zu löschen, die Zweckbindung der gespeicherten Daten (ein Kauf auf einer Plattform rechtfertigt nicht direkt auch die Auswertung für Marketingzwecke) über Vorgaben über die Anwendbarkeit automatisierter Verfahren zur Ermittlung von Profilen bis hin zu einer erheblichen Erweiterung des Geltungsbereichs, indem jeder Dienste-Anbieter, dessen Benutzer sich potentiell auch in Europa befinden, unter diese Regelungen fällt, auch wenn er selbst gar nicht im EU-Gebiet angesiedelt ist („Extraterritorial effect“). Dies wird nicht zuletzt eine Vielzahl US-amerikanischen Unternehmen betreffen, die schon heute Identitäten von EU-Bürgern in ihren Systemen verwalten. Der Gesamtumfang der Anforderungen ist für viele Unternehmen heute bereits ein zentraler Aspekt für die künftige Anpassung der kundenbezogenen Systeme.
Doch hier verbergen sich sowohl Chancen als auch Herausforderungen. Gerade für die Anbieter von Customer Identity and Access Management-Systemen ist eine zeitnahe Erfüllung dieser Anforderungen eine zentrale Verpflichtung, wollen sie sich dauerhaft – und das heißt auch über die bindende Einführung der Europäischen Datenschutz-Grundverordnung hinaus – als verlässlicher Partner positionieren. Für die Anbieter von Diensten und Produkten kann mit einer weitreichenden Erfüllung dieser Anforderungen schon heute ein zentrales Alleinstellungsmerkmal gegeben sein, das mit Blick auf das Vertrauen und die Sicherheit der Kundenidentitäten gerade auch mündige und Informierte Anwender binden hilft. Der Aufbau einer konsequenten Unternehmensstrategie, die sich angemessen mit den Herausforderungen dieser Digitalen Transformation, der Behandlung von Benutzeridentitäten, ihrer Sicherheit und Privatsphäre und parallel mit der Weiterentwicklung und Umsetzung neuer Geschäftsmodelle auseinandersetzt, ist mit Sicherheit eine der zentralen Herausforderungen für einen großen Anteil heutiger Unternehmen.
Das Thema Kundenidentitäten, deren angemessene Speicherung und Handhabung im Spannungsfeld zwischen Privatsphäre und Sicherheit einerseits und der Digitalen Transformation andererseits wird ein zentraler Aspekt bei der im Mai in München stattfindenden European Identity and Cloud Conference (EIC) sein. Hersteller, Anwender und Analysten werden hier das Thema CIAM als einen zentralen Themenblock sowohl strategisch als auch praxisorientiert beleuchten.
The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…