Balance zwischen Sicherheit und User Experience: Wie alle gewinnen

By February 13, 2020 Unkategorisiert No Comments

„Kennwort vergessen? Zum Zurücksetzen bitte hier klicken.“ Für Mitarbeiter und Kunden sind diese 7 Wörter zu einer frustrierenden Erfahrung geworden. Auch für Unternehmen sind sie eine große Kostenquelle, die Produktivitäts- und Geschäftsverluste nach sich zieht. Die durchschnittlichen Kosten für das Zurücksetzen eines Kennworts betragen ca. 50 US-Dollar (je nachdem, welche Informationsquelle Sie heranziehen). Multiplizieren Sie dies für ein Unternehmen mit Tausenden von Mitarbeitern, Millionen von Kunden und potenziell Tausenden von fehlgeschlagenen Anmeldungen pro Woche, wird klar, dass die digitale Welt eine Lösung herbeisehnt.  

Die User Experience (UX) ist ein wichtiger Schwerpunkt in der gesamten IDT-Umgebung (Identity and Digital Trust), da Authentifizierungs- und Zugriffsprozesse allgegenwärtige Reibungspunkte für End-User darstellen. Laut IDC sollte ein optimaler Ansatz für Identität und Zugriff weder Sicherheit noch UX beeinträchtigen, sondern den Unternehmen vielmehr beides ermöglichen. Mit anderen Worten: Unternehmen müssen eine End-to-End- und eine effektive Sicherheit bieten, die die Benutzer nicht unnötig behindert, sodass sich die Mitarbeiter auf ihre Kernaufgaben und Kunden/Verbraucher auf den Erwerb der gewünschten Produkte und Services konzentrieren können. 

Die Identitäts-Herausforderung annehmen 

Der IDT-Markt hat sich mit der Einführung von Cloud, mobilen Geräten und mobilem Zugriff weiterentwickelt, und „E-Everything“ (E-Government, E-Banking, E-Commerce usw.) ist mittlerweile weit verbreitet. Neue Ansätze und Technologien wurden entwickelt, um Identitäts- und Zugriffsprozesse reibungsloser zu gestalten und/oder die Sicherheit bei digitalen Interaktionen zu erhöhen. Dazu gehören Multifaktor-Authentifizierung (MFA), Single Sign-on (SSO), kontextbezogene und adaptive/dynamische Authentifizierung, Verhaltensanalyse und Biometrie. Das ist gut, aber Sicherheitsteams haben möglicherweise Schwierigkeiten, den optimalen Ansatz für ihr Unternehmen zu bestimmen und zu ermitteln, welche IDT-Tools und -Komponenten am besten zu ihren Prozessen und ihrer Infrastruktur passen. Entscheidend ist auch, dass die unternehmensweite Einführung für alle Benutzer so reibungslos und problemlos wie möglich erfolgt. 

Wenn es darum geht, ein reibungsloses und unkompliziertes Erlebnis zu bieten, ist es wichtig, die Anforderungen der Sicherheits- und IT-Teams zu berücksichtigen, die Identitätstechnologien unterstützen und betreiben. Aus betrieblicher Sicht kann eine positive Benutzererfahrung bei gleichzeitiger Verbesserung der Sicherheit am besten erreicht werden, wenn das Unternehmen einen einheitlichen Sicherheitsansatz wählt. Der Schlüssel dazu ist die Bereitstellung integrierter Lösungen (z. B. eine Identitätsplattform), die gut zusammenarbeiten und sowohl für Sicherheit als auch für die IT (z. B. geringerer Betriebs- und Verwaltungsaufwand) als auch für die allgemeine Belegschaft (Benutzerzufriedenheit, Produktivität) Vorteile bringen. Von Seiten der IT- und Sicherheitsteams stellt dies einen starken Schritt in Richtung Operational Excellence in Sachen Sicherheit dar; aus Anwendersicht bedeutet dies ein reibungsloses und nahtloses Erlebnis im Rahmen ihrer täglichen Arbeit. 

Identität ist ein unternehmensweites Thema 

Das Business ist der ultimative Nutznießer sowohl von operativen als auch von UX-Verbesserungen. Das ist von höchster Bedeutung: Wie wir alle wissen, kann es ohne Unterstützung des Unternehmens schwierig sein, die unternehmensweite Einführung neuer Plattformen voranzutreiben, selbst wenn wir als IT- oder Sicherheitsteam die Vorteile kennen, die dies mit sich bringt. Ebenso ist es wichtig, dem Board und den Benutzern diese Vorteile mitzuteilen. In einer Zeit, in der Datenschutzverletzungen immer öfter auftreten und das Vertrauen der Verbraucher schwindet, zeigt ein progressiver Ansatz für Identität und Sicherheit, dass das Unternehmen sich um die persönlichen Daten von Einzelpersonen (Mitarbeiter, Kunden und alle anderen Stakeholder) kümmert. Dies hilft beim Aufbau des digitalen Vertrauens, das im digitalen Zeitalter zu einem kritischen Punkt geworden ist und für den Erfolg jedes Unternehmens entscheidend ist. 

EPM, SSO und MFA 

Kehren wir also zu den unzufriedenen Benutzern und ihrer Kennwortzurücksetzung zurück. Wie kann Ihr Unternehmen diese Problempunkte angehen? Enterprise Password Manager (EPM) werden zu einem unverzichtbaren Bestandteil des Toolkits für Mitarbeiter. End-User haben heutzutage normalerweise zwischen 90 und 200 Anmeldungen und Passwörter für verschiedene Websites (und oft mehr!). Schwache Passwörter und die Wiederverwendung von Passwörtern sind erhebliche, weit verbreitete Probleme, die dazu führen können, dass Konten kompromittiert und Systeme verletzt werden. Ein guter EPM speichert nicht nur all Ihre Passwörter in einer benutzerfreundlichen, aber unangreifbaren Umgebung. Er prüft auch die Anmeldeinformationen der Website oder Anwendung, bei der Sie versuchen, sich anzumelden, und wenn dies nicht legitim ist – etwa, wenn Sie zu einer bösartigen Kopie Ihres Online-Banking-Dienstes geleitet wurden –, dann gibt der EPM Ihre Anmeldeinformationen nicht ein. Eine zusätzliche Schutzebene, die ohne zusätzlichen Aufwand für den Benutzer bereitgestellt wird.  

Eine weitere Priorität ist SSO. Die Zeiten, in denen Mitarbeiter sich bei einer Handvoll firmeninterner Anwendungen anmelden müssen, sind längst vorbei: Mehrere Cloud-basierte und firmeninterne Anwendungen sind die Norm. Sie unterstützen Produktivität, Flexibilität, Kreativität, Effizienz und alle erdenklichen weiteren Dinge, die für ein erfolgreiches digitales Unternehmen von grundlegender Bedeutung sind. Selbst die Online-Sandwichlieferung für Mittags-Meetings sollte über SSO erfolgen. Mehrere unterschiedliche Anmeldungen beim Anwendungs-Toolkit sind kontraproduktiv. Wenn es darum geht, die Benutzerfreundlichkeit und Sicherheit zu verbessern, ist die Bereitstellung einer guten SSO-Lösung einer der besten Schritte für Ihr Unternehmen. 

Lassen Sie uns abschließend über Multifaktor-Authentifizierung sprechen. Dies ist eine weitere wichtige Komponente der Identitätsplattform eines Unternehmens, die von „starker Sicherheit“ bestimmt wird. Da Hacker eine Authentifizierungsmethode nach der anderen aushebeln, muss jedes Unternehmen von Banken bis hin zu Buchungsplattformen die Authentifizierungsanforderungen für die Gewährung von Zugriff oder die Genehmigung von Transaktionen stärken. Dies hat die Innovation in der gesamten Anbieterlandschaft vorangetrieben. Das Ergebnis sind MFA-Angebote, die für alle Unternehmensgrößen und -anforderungen, vor Ort oder in der Cloud und mit einer beliebigen Anzahl von verfügbaren Authentifizierungsmethoden geeignet sind, so dass der Kunde sich für das entscheiden kann, was für sein Geschäft und seine Anwendungsfälle am besten geeignet ist. Um es anders auszudrücken, egal welches Risikoniveau das Unternehmen zu mindern versucht, es gibt eine Option. 

Identity as a Service 

Die Lösungen sind da, und es ist klar, dass eine integrierte Identitätsplattform den effektivsten und am besten zu verwaltenden Ansatz darstellt. Doch welches ist das beste Bereitstellungsmodell? Der traditionelle Ansatz ist, dass Unternehmen eine Lösung (oder Lösungen) vor Ort implementieren und diese dann bei Bedarf verwalten, warten und aktualisieren. Cloud-basierte Identity as a Service (IDaaS)-Lösungen stellen jedoch ein Mittel dar, um viele der betrieblichen Herausforderungen rund um das Management der Identitätsplattform zu bewältigen und können das allgemeine Schutzniveau für Ihr Unternehmen sogar verbessern. Zum einen sind weniger interne Ressourcen erforderlich (sowohl hinsichtlich der Mitarbeiterzahl als auch der erforderlichen Fähigkeiten), sodass das Sicherheitsteam für andere Aufgaben frei ist. Zweitens nutzen sie die Erfahrung und das Fachwissen eines dedizierten Identitätsanbieters. Und schließlich können erhebliche Kosteneinsparungen ermöglicht werden – sodass das Unternehmen erneut davon profitiert. Der Markt reagiert auf diese Vorteile: Laut IDC haben sich cloudbasierte Identitätslösungen im Jahr 2018 gegenüber lokalen Lösungen in Europa mehr als verdreifacht. 

Last, but Not Least: Der User 

Ist es mit Ihrem Identitätsmanagement-Programm damit getan? Nicht ganz. User – egal ob Mitarbeiter oder Kunden – werden oft kritisiert, weil sie versehentlich Systeme und Daten kompromittiert haben. Das kann etwas unfair erscheinen: Letztendlich liegt der Hauptschwerpunkt eines leitenden Vertriebsmitarbeiters darin, das Geschäft zu fördern und den Umsatz mithilfe der verfügbaren Tools zu steigern. „Sicherheitsexperte“ ist nicht Teil der Stellenbeschreibung. Dennoch gibt es viele grundlegende Praktiken – so genannte „gute Sicherheitshygiene“ –, die über die Gewohnheit hinaus wenig zusätzlichen Aufwand erfordern, aber einen erheblichen Nutzen bringen können, wenn sie unternehmensweit als Teil einer breiten Sicherheitskultur eingesetzt werden. Ein paar Maßnahmenvorschläge sind: das Sperren Ihres Geräts, wenn Sie sich nicht in der Nähe befinden, das Nicht-Wiederverwenden von Kennwörtern auf mehreren Sites oder das Nicht-Teilen von Anmeldeinformationen innerhalb eines Teams oder größere Maßnahmen wie die grundsätzliche Rücksprache mit dem IT- oder Sicherheitsteam, ob es sicher ist, eine bestimmte Produktivitäts-App zu installieren (Schatten-IT bleibt für alle Unternehmen ein großes Problem) oder vertrauliche Kundendaten nicht auf Ihrer Festplatte zu speichern. Sicherheitsschulungen und die Förderung des Bewusstseins –, die idealerweise regelmäßig in leicht verdaulichen Happen geliefert werden – sind ein wichtiger Bestandteil des Sicherheitsarsenals und sollten nicht übersehen werden. All diese Faktoren werden durch eine nahtlose User Experience der zugrunde liegenden Technologie kombiniert, um eine gute Sicherheitshygiene als Teil der Unternehmenskultur und des alltäglichen Geschäfts zu integrieren. 

Ein integrierter Identitätsansatz 

Zusammenfassung: EPM, SSO und MFA – drei Abkürzungen, die Ihren Benutzern helfen, die gefürchteten 7 Wörter zu vermeiden. Um sicherzustellen, dass auch die IT- und Sicherheitsteams zufrieden sind, sollten Sie nach einer integrierten Lösung oder nach Anbietern suchen, die sich Allianzen aufgebaut haben. Betrachten Sie eine IDaaS-Lösung als optimale Möglichkeit, eine Identitätsplattform für Ihr Unternehmen bereitzustellen. Dies erleichtert die Prozesse der Bereitstellung, Konfiguration und Verwaltung und stellt sicher, dass sich das Team darauf konzentrieren kann, den wirksamsten Schutz für das Unternehmen zu gewährleisten, und zwar mit der geringsten Reibung für Mitarbeiter und Kunden. 

Mehr darüber und über die Entwicklung der Identitätslandschaft erfahren Sie hier… 

Autor: Mark Child  | Research Manager, IDC Security