Identitätsdaten im Cyberraum – warum jede Webanwendung ein IAM braucht.

Identitätsdaten im Cyberraum – warum jede Webanwendung ein IAM braucht.

Gastbeitrag von Dipl.-Chem.oec. Stephanie Ta, Business Development Manager / Prokuristin, Syntlogo GmbH.
Das Thema Datenschutz ist in aller Munde, doch oft wird die Sicherheit, Pflege und die Aufbewahrung von Identitätsdaten im Internet singulär betrachtet und gehandhabt. Warum Sie jetzt mit ganzheitlichen Lösungen auf das richtige Pferd setzen, erfahren Sie in dem Impulsbeitrag von Stephanie Ta. Die Gründe für den geänderten Bedarf liegen teilweise viele Jahre zurück. Insgesamt kann man vier große Veränderungen ausmachen, die den notwendigen Schutz von Identitätsdaten zum festen Bestandteil von Digitalisierungsaufgaben macht:

Veränderung Nr. 1:
Die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung, kurz DGSVO, erweist EU-Bürgern mehr Rechte hinsichtlich der Erhebung, Prozessierung und Speicherung ihrer Identitätsdaten. Das in seinen Ursprüngen größtenteils auf deutscher Gesetzgebung basierende EU-Recht fordert von Unternehmen eine besondere Sorgfaltspflicht im Umgang mit den sensiblen Daten, wenn sie im EU-Raum agieren.

Veränderung Nr. 2:
Ursprünglich verwalteten Unternehmen Identitätsdaten ihrer Mitarbeiter über die Personalabteilung. Die IT steuerte den Zugriff auf Unternehmensressourcen in internen Umgebungen. Mit der Zeit öffnete sich die Anwendungslandschaft für externe Nutzer, wie z.B. Kunden, Lieferanten oder Partner. Diese beiden Welten funktionierten fast immer unabhängig voneinander, teilweise jetzt noch. Mittlerweile kreuzen sich diese Wege, d.h. eine Anwendung soll gewappnet sein für die Mitarbeiter, aber auch zur Verwaltung externer Nutzer. Und es kamen ganz neue Fälle dazu, wie z.B. digitale Bürgerservices oder Onlineservices für Organisationen oder für Verbände. Die Bedingung hier, dass solche Services überhaupt digital funktionieren, ist die Integration der Prozesse und die Anbindung über moderne Standardschnittstellen und -protokolle, wie REST API, SCIM, OpenID Connect, SAML 2, …

Veränderung Nr. 3:
Der dritte ausschlaggebende Punkt ist der starke Anstieg der Nutzung von Cloud-und browserbasierten Anwendungen; dieser entsteht zum einen durch die Online-Nutzung innovativer Produkte und Dienstleistungen sowie durch das Outsourcen von Services, die nicht zum Kern-Know-How des Anbieters gehören. Zum anderen, wie in Punkt 2 beschrieben, die Verlagerung von Anwendungen in den öffentlich zugänglichen Internetraum, um mobiles Arbeiten oder den Zugriff für externe Nutzer leicht und schnell zu ermöglichen.

Veränderung Nr. 4:
Die Konsolidierung digital angebotener Produktportfolios für Kunden, die mit nur wenigen Klicks verschiedene Leistungen online buchen können, erbringt mittlerweile einen starken Wettbewerbsvorteil. Die dadurch entstehenden Potentiale liegen nicht nur in der Vereinfachung der Registrierung von Nutzern, sondern auch im Cross- und Up-Selling. Das ist so, weil ein Unternehmen die gesamte User-Journey damit kundenorientiert abbilden kann und so gute Chancen auf mehr Geschäft bildet. Es gibt mehrere Anwendungen, aber nur einen Nutzer mit seiner Identität.

Mitunter könnte man diese Liste munter fortführen: Veränderungen wie der breite Einsatz von Microservices, die Einbindung neuer Anwendungen von oder für Kunden oder Partnern im gesamten, digitalen Unternehmens-Ecosystem oder der Trend in der Softwarearchitektur monolithische Anwendungen aufzubrechen, führen letztendlich dazu, dass es sinnvoll ist mit einem eigenständigen System zur Identitätsverwaltung Nutzer und ihre Berechtigungen datenschutzkonform zu administrieren.

Das Bedürfnis der Nutzer nach Komfort, Sicherheit ihrer Daten und Schnelligkeit in den Interaktionsprozessen mit dem Online-Service bestimmt letztendlich, ob ein Geschäftsmodell erfolgreich ist oder ob ein Abbruch der Geschäftsverbindung angedacht wird. Im B2C-Bereich ist das besonders ausgeprägt.

Der erste Interaktionsprozess in Verbindung mit dem Beginn der Nutzung eines digitalen Angebotes oder Service ist die Registrierung.

Der Account-Life-Cycle startet mit einer Registrierung

Um den Nutzer in den Mittelpunkt zu stellen, beginnen wir mit der Idee des „Digitalen Prozesses zur Erstellung und der Pflege seiner Identitätsdaten“. Im allerersten Schritt generiert der Nutzer einen Account. Dieser Schritt beginnt mit einer Registrierung, gefolgt von dem Consent Management, worunter auch die Zustimmung zur Datenschutzerklärung und ggf. weiteren Konditionen fällt. Der nächste Schritt ist die Datenerhebung zum Zwecke der Anwendung. Daraufhin gibt es verschiedene Berechtigungen, d.h. je nach Autorisierung erlangt ein Nutzer einige wenige, andere oder sensible Zugriffsrechte, je nach seiner Rolle in dieser Anwendung. Damit ist es nicht zu Ende, denn Daten bleiben in der Regel nicht statisch, sondern durch Datenupdates entstehen Aufgaben im Bereich Housekeeping. Zu guter Letzt kann ein Nutzer laut DSGVO die Löschung seines Kontos oder die Portierung seiner Daten verlangen bis auf den Aspekt der Aufbewahrung von Daten nach steuerlichen oder rechtlichen Vorgaben.

Schneller zum Ziel mit einem konsolidierten Service

Jede Anwendung hat von Beginn an dieser User-Journey die gleichen Aufgaben, um den Nutzer zum Ziel zu leiten. Nur je nach Anwendung sind die Einzelberechtigungen von System zu System unterschiedlich und für jeden Nutzer individuell. Trotzdem macht es Sinn alle vorgelagerten Prozesse, die für jeden Service gleich sind, durch ein zentrales System, ein Identity- und Access Management-System (IAM-System) durchführen zu lassen. In diesem Zusammenhang übernimmt ein IAM-System viele Aufgaben mit gleichbleibender Sicherheit und Qualität, unabhängig davon, wie es die angeschlossene Anwendung erledigen würde:

- Darstellung aller vertraglichen Konditionen sowie des Datenschutzes und Einholung der initialen Zustimmung dafür
- Authentifizierung, d.h. Prüfung der digitalen Anmeldeberechtigung
- Erweiterte Authentifizierung, wie adaptiv, mit Multifaktor, passwortlos, über Identity Provider, Social Logins, …
- Monitoring von Logs (Login-Versuche, Änderungen an Berechtigungen, …)
- Abfrage notwendiger Nutzerdaten und Synchronisierung aller Daten mit den angeschlossenen und dafür relevanten Systemen
- Autorisierung, d.h. Abfrage, Prüfung, Vergabe/Entzug und Auditierung der Berechtigungen eines Nutzers
- Einholung der Zustimmung zu veränderten Vertrags- oder Datenschutzbestimmungen

Diese und einige mehr an Aufgaben übernimmt ein IAM-System für alle angeschlossenen Anwendungen, auch als zentrale Stelle für den Datenschutz aller Nutzer. Liefe das nicht über eine Zentrale, so würde man mit Datensilos arbeiten, die nicht mehr datenschutzkonform sind. Und wer möchte heute noch das Rad neu erfinden?

Die zentrale Datenschutzstelle – eine wichtige IAM-Aufgabe

Applikationen sind manchmal gezwungen persönliche Daten lokal zu speichern, z.B. Kontodaten; wenn ein Benutzerkonto gelöscht wird, müssen auch alle diese Daten gelöscht werden. Ein IAM-System fungiert hier als Drehscheibe zwischen dem Nutzer und den angeschlossenen Anwendungen, indem es sie informiert, dass sie diese Nutzerdaten löschen oder archivieren sollen, entsprechend den gesetzlichen Vorgaben.

Ungelöschte Accounts stellen eine Cybergefahr dar

Ein Betreiber soll die Daten seiner Nutzer nicht länger speichern als notwendig. Dieser Teil des Minimalprinzips ist Bestandteil der DSGVO. Werden Benutzerkonten nicht rechtzeitig gelöscht, man spricht von „Orphaned Accounts“, so besteht die Gefahr der Account-Übernahme und eines Datenverlusts oder -diebstahls. Ein IAM-System ist hier der Aufpasser, denn bei nicht-genutzten Konten prüft es nach einer bestimmten Zeit, wie lange der Nutzer nicht mehr aktiv war. Und kann über seine Mail-Engine Hinweis-E-Mails versenden, dass der Account bald gelöscht wird, falls der Nutzer weiterhin passiv bleibt.

Data Breach Protection – Datenschutz auf höchster Ebene

Bei besonders schützenswerten Daten sind Betreiber von Onlineservices dazu verpflichtet die Änderungen an den Daten in einem Audit Log zu dokumentieren bzw. diese zu monitoren. Der ganze Aufwand wird unternommen, damit niemand Unberechtigtes auf diese Daten zugreifen und sie manipulieren kann.

Datenschutz-Pflichten - nicht immer einfach umsetzen

Aus Sicht des Betreibers oder Owners der Anwendungen sind das alles Pflichten oder notwendige Bedingungen, die er erfüllen sollte, um nicht nur im Datenschutz alles richtig zu machen. Sondern damit begibt er sich gleichzeitig in die Lage die Abwicklung von Prozessen für alle Nutzer schneller zu gestalten. Und erarbeitet sich dadurch einen Wettbewerbsvorteil.

Grundsätzlich sind GDPR-Anforderungen für Betreiber von Online-Services komplex. Zudem sind große Investitionen notwendig, um die entsprechende Compliance zu gewährleisten. Daher macht es Sinn den Online-Datenschutz für die gesamte Organisation zentralisiert bereitzustellen. Schön ist jedoch, dass zwei Vorteile als Nebeneffekt dabei herausspringen:

1. Die Reduktion der Kosten für die Implementierung neuer Anwendungen
2. Der komfortable Umgang für die Benutzer, der meist zu höheren Conversion Rates führt

Das ist der aktuelle Stand, wie Sie Datenschutz mit Hilfe von Identity & Access Management erfolgreich umsetzen können.

In den nächsten Jahren gelten neue Cyberregeln, auch beim Datenschutz

Einen wissenswerten Ausblick auf die Regulatorik in den nächsten Jahren, u.a. zum Thema Datenschutz konnte ich bei einem Meetup Cybersecurity in Stuttgart gewinnen. Dort referierten die beiden Rechtsanwälte Frau Münch und Dr. Klinger zum Umgang mit den neuen Cyber-Regeln. So sieht z.B. das NIS 2-Umsetzungs-Gesetz eine persönliche Haftung der Geschäftsführer und entsprechende Sanktionen vor, wenn Hacker sensible Daten durch einen Cybervorfall entwendet haben oder es durch einen Cyberangriff zu einem Datenverlust gekommen ist. Auch der Entwurf des neuen Cyber Resilience Act verpflichtet alle Hersteller und Inverkehrbringer von Produkten mit digitalen Elementen in der EU neben einer CE-Kennzeichnung auch zu bestimmten Maßnahmen hinsichtlich der Cybersicherheit, wie z.B. die Sicherstellung der Vertraulichkeit von Daten durch Verschlüsselung oder Datenminimierung. Auch Softwareproduzenten sind bald im Bereich der Produkthaftung durch die Product Liability Directive betroffen. Diese und einiges mehr an Regularien werden auf den europäischen Markt niederprasseln, um die Rechte von Verbrauchern und geschädigten Unternehmen zu verbessern. Insbesondere der Entwurf zum AI Act und der AI Liability Directive neben einer neuen Maschinenverordnung – alles mit Bezug auf die Cybersicherheit, werden aktuell heiß diskutiert und für Unruhe sorgen.

Da ist es doch gut, wenn man jetzt seine Schäfchen, gemeint sind natürlich sensible Identitätsdaten, ins Trockene bringt und sich keiner Schwachstelle oder Inkonsistenz im Datenschutz aussetzt.

----------

Quellen:
https://www.e-recht24.de/dsg/12706-nutzerregistrierung.html
„Um sich im Web für Dienste oder Portale anzumelden, müssen User in der Regel eine Nutzerregistrierung vornehmen. Das kann in der Praxis die Anmeldung für einen Onlineshop, ein Forum oder ein Dienstleistungsportal sein.“

Meetup Cybersecurity Stuttgart am 20.11.2023 bei HEUKING KÜHN LÜER WOJTEK
www.heuking.de 

Weitere Infos zu IAM & DSGVO:
https://login-master.com/dsgvo

 
dfmag17 kontakt syntlogo