Bring Your Own Identity in der Informationssicherheit im Aufwind

BYOI (Bring Your Own Identity, manchmal auch BYOID) ist ein neues Konzept beim IAM (Identity and Access Management, Identitäts- und Zugriffsmanagement). BYOI ist interessant geworden, weil es eine realistische Lösung für ein drängendes Problem darstellt: den Bedarf an einem besseren Management von Identitätsverbünden.

Die Theorie von Bring Your Own Identity

Die Sicherheitsmethode BYOI steuert wie schon zuvor BYOD (Bring Your Own Device) mehr als nur die Identität zum Ökosystem der Informationssicherheit bei, indem sie ein wachsendes und zunehmend komplexes Problem zu lösen versucht. Der BYOD-Trend sollte der Tatsache Rechnung tragen, dass Anwender zunehmend eigene Mobilgeräte am Arbeitsplatz nutzten. Ebenso soll der BYOI-Trend das Problem lösen, dass Sicherheitsanbieter Anwender verlieren, wenn der IAM-Prozess nicht auf transparente und sichere Weise vereinfacht wird.

BYOI ist als Reaktion auf eine Kette von Ereignissen entstanden, die an kommerziellen Arbeitsplätzen weltweit stattgefunden haben. In Unternehmen wurden immer mehr nicht unternehmenseigene Geräte von Mitarbeitern eingesetzt und die Anwender waren nicht mehr bereit, sich verschiedene Zugangsdaten zu merken oder unverhältnismäßige, unpraktische Authentifizierungsmethoden wie Fingerabdrücke und andere biometrische Technologien zu nutzen. Letztendlich möchten Anwender bei der Identifizierung und Authentifizierung die Redundanz minimieren – und Unternehmen möchten ihre Anwender zufriedenstellen. Hier kommt BYOI ins Spiel.

Einer Umfrage des Ponemon Institute zufolge sind rund 50 Prozent der IT-Abteilungen an BYOI-Methoden interessiert und ein vergleichbar großer Anteil der IT-Teams plant in den nächsten 24 Monaten die Bereitstellung von BYOI. Allerdings müssen eventuelle Wissenslücken im Hinblick auf BYOI geschlossen werden, bevor eine erfolgreiche Implementierung erfolgen kann.

Bring Your Own Identity: eine Identität außerhalb des Systems

BYOI nutzt eine extrinsische Identität als Identifizierungsquelle, anstatt eine für das betreffende System spezifische eindeutige Identität zu erstellen. Die meisten Menschen sind es etwa gewohnt, mit ihren Facebook- oder Twitter-Identitäten auf andere Services zuzugreifen, z. B. Bewertungssysteme wie Klout, Zeitungen und Zeitschriften oder andere Websites und Anwendungen. Die Anmeldemöglichkeit über Facebook ist ein Beispiel für BYOI.

BYOI kann auch externe biometrische Identifikatoren wie Fingerabdrücke und Irisscans umfassen. Auch bei dieser BYOI-Methode befindet sich die Information zur Autorisierung von Identität und Zugriff außerhalb des Systems.

Vorteile für verschiedene Anwendergruppen

Die empfundenen Vorteile einer BYOI-Bereitstellung variieren je nach Anwendergruppe. IT-Anwender halten BYOI in erster Linie zur Betrugsbekämpfung, Risikominderung und Kostensenkung für vorteilhaft. Im Gegensatz dazu erwarten geschäftliche Anwender, dass BYOI ihre Erfahrungen und die Erfahrungen ihrer Kunden rationalisieren und gezielte Marketingkampagnen verbessern wird. Diese Vorteile sind gute Argumente für eine BYOI-Bereitstellung, da sie das Potenzial zur Risiko- und Kostenreduzierung, Kundenakquise und Ertragsgenerierung birgt.

Risiken im Zusammenhang mit Bring Your Own Identity

Auf der anderen Seite kann BYOI im Vergleich zu anderen Identitätsmethoden ein erhöhtes Risiko für Datenschutzverstöße und Datenverluste verursachen. Wenn beispielsweise ein Drittanbieter wie Twitter oder Facebook als Identifikator für das BYOI-System verwendet wird und bei diesem Drittanbieter ein Verstoß auftritt, stellt diese Situation ein erhöhtes Risiko dar. Da viele Drittanbieter zudem weiterhin eine einfache Passwortauthentifizierung nutzen, ist das Risiko, das durch die Abschaffung von Passwörtern eigentlich beseitigt werden sollte, nur einen Schritt entfernt weiterhin vorhanden. Schließlich besteht bei einem Diebstahl einer internen ID zumindest die Möglichkeit, dass die interne Person ein geringeres Risiko darstellt als ein Dritter, der die Zugangsdaten erlangt. Entsprechend sind sorgfältige kontextabhängige Erwägungen und Kosten-Nutzen-Analysen unverzichtbar, bevor BYOI bereitgestellt wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

No Comments