Identity Management ist schon 2004 zu einem immer wichtigeren Thema geworden. 2005 wird diese Entwicklung noch an Fahrt gewinnen. Identity-Management-Anbieter werden überdurchschnittlich vom Wachstum des IT-Marktes profitieren. Die Analysten von Kuppinger Cole + Partner (KCP) haben zehn Top-Trends in diesem Markt identifiziert.
Das Thema Nummer eins in dem ohnehin dynamischen Markt des Identity Management wird Identity Federation sein, die gemeinsame Nutzung von Identitätsdaten über Anwendungs- und Unternehmensgrenzen hinweg. Für die Identity Federation haben sich erste Standards wie SAML und Liberty etabliert. Die technische Reife für eine praktische Nutzung ist heute gegeben. Da Identity Federation die Umsetzung von sicheren Geschäftsprozessen wesentlich vereinfacht, wird dieser Ansatz vor allem im B2B-Umfeld und bei internen Anwendungen schnell an Bedeutung gewinnen. Die von IBM, Microsoft und weiteren Partnern definierten WS-*-Standards (WS-Federation, WS-Trust,...) werden noch einige Zeit benötigen, um sich zu etablieren, und dann vor allem bei internen Anwendungen eine Rolle spielen. Zum aktuellen Zeitpunkt sollten SAML als grundlegender Standard und Liberty favorisiert werden.
Neben der Federation wird Compliance als Treiber für das Identity Management an Bedeutung gewinnen. Dabei werden es nicht die IT-Abteilungen sein, die dieses Thema vorantreiben, sondern Geschäftsleitung und Controlling. Die Übereinstimmung mit gesetzlichen Regelungen in Bereichen wie Privacy und Risiko-Management setzt voraus, dass man einerseits klare Richtlinien hat, wer worauf zugreifen darf, und andererseits jederzeit nachvollziehen kann, wer welche Informationen genutzt oder verändert hat. Diese Anforderungen lassen sich aber ohne ein übergreifendes Identity Management nicht erfüllen. Themen wie der Schutz von IPR (Intellectual Property Rights), also dem in elektronischer Form hinterlegten Wissen von Unternehmen, spielen für das Risiko-Management eine zunehmende Rolle. Die wachsende Bedeutung solcher Anforderungen wird Identity-Management-Projekte vorantreiben.
Die Erkenntnis, dass die übliche Kombination von Benutzername und Kennwort – von PIN-Verfahren ganz zu schweigen – keine ausreichende Sicherheit bietet, wird sich mehr und mehr durchsetzen. Die Frage ist aber, was danach kommt. Nach Einschätzung von KCP wird die Zahl an Projekten für die Kennwortsynchronisation zunehmen, ohne dass aber der konsequente zweite Schritt gegangen wird. Denn wenn Kennwörter nur vereinheitlicht werden, ohne gleichzeitig starke Authentifizierungsmechanismen einzuführen, vergrössert man die Sicherheitsprobleme. Diese Entwicklung ist
eine Chance für die Anbieter von biometrischen Lösungen, Einmal-Kennwörtern und anderen Verfahren. Allerdings wird 2005 wohl vor allem die Unsicherheit wachsen. Einen Durchbruch bei der flächendeckenden Nutzung besserer Authentifizierungslösungen wird es frühestens 2006 geben.
Wer gedacht hat, dass die Phishing-Welle ihren Höhepunkt bereits erreicht hat, wird sich 2005 getäuscht sehen. Das Vortäuschen falscher Absender im Web und in Mails, um an Identitätsdaten und Kreditkartennummern zu gelangen, wird mehr und mehr von der organisierten Kriminalität beherrscht werden. Insbesondere die Finanzindustrie und der Online-Handel sind gefordert, hier schnell Lösungen in Form stärkerer Authentifizierungsmechanismen zu schaffen. Allerdings darf man gespannt sein, inwieweit sich die betroffenen Unternehmen unter dem wachsenden Druck des Phishing-Problems zu branchenweiten Lösungen bereitfinden. In der Finanzindustrie sind die Chancen zu solchen konzertierten Aktionen sicherlich höher als im Online-Handel, wo insbesondere eBay doch eher als von kurzfristiger Gewinnmaximierung statt langfristiger Strategie getriebener Bremser auftritt.
Schon 2004 hat die Diskussion um RFID an Gewicht gewonnen. Dabei handelt es sich um eine längst etablierte Technologie. Der geplante flächendeckende Einsatz in Einzelhandel und Logistik hat dem Thema aber neue Aufmerksamkeit verschafft. RFID wird trotz mancher technischer Herausforderungen sowohl beim Einlesen der Daten als auch bei der Verarbeitung wachsender Datenmengen durch bestehende ERP-Systeme 2005 weiter an Gewicht gewinnen. Die ersten grösseren Pilotprojekte beispielsweise in der Logistik werden in konkrete Implementierungszeitpläne münden. Gleichzeitig wird aber auch die öffentliche Diskussion um die Sicherheit an Gewicht gewinnen. Hier müssen die interessierten Parteien, also Anwenderunternehmen und Hersteller von RFID-Lösungen, aktiv werden, um eine offene, sachliche Diskussion der Risiken und Chancen von RFID zu erreichen.
Eng mit der Identitätsthematik gekoppelt ist auch das Risiko der PDAs und anderer mobiler Geräte. Diese verfügen einerseits über immer grössere Datenspeicher, andererseits aber immer noch über schwache Authentifizierungsmechanismen. Die Synchronisation von Daten mit internen Systemen ist vergleichsweise einfach möglich. Dabei erfolgt aber in der Regel keine starke Authentifizierung am Netzwerk. Sicherheitstechnisch sind PDAs und andere mobile Geräte heute faktisch auf dem Stand von PCs in den 80er Jahren. Unternehmen müssen und werden sich 2005 überlegen, ob und in welcher Form die Nutzung solcher Geräte und hier insbesondere privater Mobiltelefone, PDAs, Blackberries und so weiter innerhalb des Unternehmens überhaupt noch zugelassen werden kann. Und erst das wird den Druck auf die Anbieter erzeugen, professionelle Sicherheitsfunktionen in die Geräte zu
integrieren.
Die digitale Identität wird zunehmend auch für Anwendungen von Bedeutung. Neben spezifischen Feldern wie dem E-Government oder dem Digital Rights Management (DRM), bei dem die digitale Identität im Mittelpunkt steht, sind hier vor allem zwei Bereiche zu nennen. Zum einen werden Systemmanagement-Lösungen stärker an digitale Identitäten gekoppelt werden, weil die meisten Änderungsprozesse bei Softwareverteilung und Client-Konfiguration in direktem Zusammenhang zu Änderungen bei Identitäten stehen. Benutzer benötigen neue Software, wenn sie den Job wechseln – und andere Anwendungen müssen dann vielleicht deinstalliert werden. Hersteller, die diese Entwicklung nicht mitgehen, werden 2005 an Boden verlieren. Der zweite wichtige Bereich sind die Application Security Infrastructures, also vorgegebene Sicherheitsinfrastrukturen, die bei der Entwicklung von Anwendungen genutzt werden. Das Erfinden immer neuer «Sicherheitskonzepte» durch Anwendungsentwickler wird 2005 immer weniger akzeptiert werden. Statt dessen muss mit vorgegebenen Standards für Authentifizierung und Autorisierung gearbeitet werden.
Provisioning, die Versorgung von Mitarbeitern mit allen Zugangsrechten, war das Top-Thema im Identity Management 2004. Dieser Hype wird nun zu Ende gehen. Provisioning wird weiterhin ein Wachstumsmarkt sein. Die Sichtweise, dass Provisioning die Lösung aller Identity-Management-Probleme ist, wird aber von der realistischeren Einschätzung abgelöst werden, dass Provisioning ein (wichtiger) Baustein in Identity-Management-Strategien ist, Provisioning alleine aber nicht ausreicht. Darüber hinaus wird es eine Entwicklung hin zu Provisioning-Lösungen geben, die verschiedene Lifecycles – von Benutzern, Systemen, Anwendungen und so weiter – als Teil von «On Demand»-Strategien steuern.
Identitäten werden auch im Bereich der Sicherheit an Bedeutung gewinnen. Firewalls alleine bieten keinen ausreichenden Schutz mehr, genauso wenig wie Spam-Filter nur im Kontext einzelner Benutzer gut funktionieren können. Intelligente Sicherheitssysteme müssen Identitäten und Geschäftsprozesse in den Mittelpunkt stellen und übergreifend arbeiten. Firewalls werden ein Teil solcher Systeme, neben Spam-Filtern, Sicherheitslösungen für Web Services und vielen anderen Funktionen.
Nicht alle Hoffnungen, die Hersteller in das Identity Management setzen, werden erfüllt werden. Manche wünschenswerte Entwicklung wird noch auf sich warten lassen, einige Bereiche werden auch an Bedeutung verlieren. So wird der Durchbruch von PKIs und digitalen Zertifikaten für die flächendeckende Nutzung auch 2005 nicht erfolgen, was einerseits an der Komplexität des Themas, andererseits aber auch an künstlichen Hürden liegt – von Begrifflichkeiten wie vertrauenswürdige Stammzertifizierungsstellen bis hin zum Rollout von Zertifikaten.
Digital Rights Management (DRM) wird weiterhin ein Nischendasein vor allem im Multimedia-Bereich fristen und dort unter schlechten Implementierungen leiden. Dort, wo es wirklich Sinn machen würde, nämlich beim Schutz von Intellectual Properties von Unternehmen, wird es aber noch keine grosse Bedeutung erlangen.
Web Access Management schliesslich als einer der wichtigsten Bereiche wird zwar «Cash cow» für viele Hersteller bleiben. Prozessorientierte Ansätze wie die Identity Federation werden aber am Kuchen knabbern und dazu führen, dass Web Access Management insgesamt an Boden verliert.
In jedem Fall wird der Markt des Identity Management auch 2005 ein spannender, innovativer und dynamischer Markt sein, der immer mehr Aufmerksamkeit auf sich ziehen wird – weil Identity Management die Basis für innovative, sichere Geschäftsprozesse und Compliance ist.
