Identitätsverwaltung ist kein einfaches Unterfangen mehr: Im Zeitalter der hochvernetzten Welt und KI ist es schwierig geworden, im digitalen Raum sicherzugehen, wen man gerade wirklich vor sich hat und welchen vermeintlichen Identitäten man bestimmte (Zugriffs-) Rechte gewähren kann. Gleichzeitig wird es aber immer wichtiger, digitale Identitäten sicher zu verwalten, um online zuverlässig agieren zu können. Martin Kuhlmann, VP Global Presales bei Omada, kennt die Herausforderungen der modernen Identitätsverwaltung wie kein anderer. Mit ihm haben wir diskutiert, welche Entwicklungen im Bereich des Metaversums eine Auswirkung auf den Umgang mit digitalen Identitäten haben und wie man diesen begegnen kann.
Herr Kuhlmann, was hat den Hype um das Metaversum ausgelöst und warum wird es als bedeutender Trend betrachtet?
VR-und AR-Brillen, Bewegungscontroller in Spielekonsolen mit haptischem Feedback und 3D-Displays: die Entwicklungen der letzten Jahre in den Bereichen Virtual, Augmented und Extended Reality haben viele Fantasien darüber ausgelöst, wie zukünftig reale und virtuelle Welten verschmelzen könnten, welche Vorteile dies den Menschen bringt und welche neuen Geschäftsmodelle damit ermöglicht werden. Die Konvergenz von Realität und künstlicher Welt ist insbesondere von den Online-Videospiele-Herstellern stark vorangetrieben worden und hat durch die Covid-Pandemie einen zusätzlichen Schub erhalten. Ein gutes Beispiel ist ein virtuelles Konzert des US-Rappers Travis Scott im Jahr 2020 – eingebettet in das Spiel »Fortnite«.
Martin Kuhlmann,
VP Global Presales
bei Omada
2021 erklärte Mark Zuckerberg die Entwicklung eines »Metaverse« als Nachfolger des mobilen Internets zum strategischen Ziel seines Facebook-Konzerns. Kurz darauf benannte er seine Firmengruppe in »Meta« um, woraufhin der Begriff Metaverse Schlagzeilen machte. Mittlerweile wird der Begriff als Schlagwort in den Medien zwar von KI und ML überlagert, doch ist das Metaverse nach wie vor Kennzeichen eines umfassenden Trends. KI und ML haben darin genauso Platz wie die Zukunftstechnologien IoT, Blockchain oder Non-Fungible Tokens (NFTs). Es geht beim Metaverse um die Nutzung all dieser Technologien, um sich mit plattformunabhängigen digitalen Identitäten in virtuellen oder digital angereicherten Welten ohne Grenzen zu bewegen und Handel zu treiben. Das Beispiel des Direct-to-Avatar-Handels (D2A) zeigt, dass Konsumenten bereit sind, Geld für ihre digitalen Twins auszugeben, und wie Händler davon profitieren. Ein anderes Beispiel sind digitale Kunstwerke, die durch NFT-Signaturen einzigartig gemacht und auf Auktionen versteigert werden.
Welche Herausforderungen ergeben sich für Unternehmen in Bezug auf die Verwaltung von Identitäten im Kontext des Metaversums?
Wie bereits erwähnt, wird der Wechsel zwischen digitalen Plattformen immer nahtloser werden. ID-Konzepte auf nationalen Ebenen oder in bestimmten Bereichen, wie zum Beispiel die Switch edu-ID in der Schweiz oder die eduID in den Niederlanden, kann man heute bereits besichtigen. Die Portabilität von Identitäten und Authentifizierungen gewinnt an Bedeutung, wie auch die Analystenfirma Gartner in ihrer Beschreibung der »Identity Trust Fabric« (ITF) darstellt.
Die Blockchain-Technologie hat für das Management dezentraler, portabler Identitäten ein ähnliches Potenzial wie für die direkten Finanztransaktionen in der Finanzwelt. Unternehmen müssen diese Ansätze und Technologien beobachten, beurteilen und bei Bedarf aufgreifen.
Wie sollten Unternehmen externe Identitäten im Metaversum bewerten und verwalten?
Die digitale Vernetzung zwischen Unternehmen wird immer enger. Kontrolle über IT-User aus zuliefernden Unternehmen und Partnerorganisationen ist naturgemäß eine besondere Herausforderung. Aus technischer Sicht ist es mittlerweile problemlos möglich, mit diesen Menschen digital zusammenzuarbeiten – die Nutzung von Gästekonten in Microsoft Entra ID (früher Azure AD) ist in vielen Unternehmen mittlerweile Alltag, Protokolle wie OAuth und Vertrauensstellungen zwischen Identity Providern bieten Möglichkeiten für die föderierte Authentifizierung und Autorisierung. »Bring-your-own-Identity« (BYOI) ist in diesem Sinne bereits Realität – ob und wie sich private und geschäftliche Identitäten zu einer Einheit verschmelzen, wird man sehen. Das Problem ist also nicht die Technik, sondern die Governance: Wie stelle ich beispielsweise sicher, dass ein Mitarbeiter noch bei meinem Geschäftspartner angestellt ist und weiter Zugriff auf meine Anwendungen benötigt? Wie weit will und kann ich externen Identitäten vertrauen? Welche Governance-Prozesse in meinem Unternehmen – etwa eine regelmäßige Rezertifizierung von Konten und Rechten – muss ich neu überdenken und vielleicht anpassen?
Wie können Hacker das Metaversum für Angriffe gegen Unternehmen missbrauchen?
Oft wird darüber spekuliert, ob die Entwicklung hin zu einem »Metaverse« ein Fluch oder ein Segen ist. Sicher ist aber doch in jedem Falle, dass auch Kriminelle neue Chancen für sich wittern. Je weiter die digitale unsere analoge Welt durchdringt, um so vielschichtiger sind die Angriffsmöglichkeiten – und die denkbaren Auswirkungen, bis hin zur Körperverletzung durch Fehlsteuerung von selbstfahrenden Autos oder haptischen Hilfsmitteln. Die Imitation oder Übernahme von Avataren und digitalen Identitäten ist sicherlich eines der gravierendsten Szenarien.
Wie können Unternehmen ein umfassendes Risikoprofil für digitale Identitäten erstellen und unterhalten?
Identitätsbezogene Risiken werden zunächst bestimmt durch das Vertrauen in die digitale Identität und die Governance bei deren Pflege, ob durch externe Instanzen oder durch mein eigenes Unternehmen – das muss man regeln. Ein zweiter Faktor ist der Umstand, unter dem ein Zugriff auf Daten erfolgt: Dinge wie Endgerät, Browser oder Aufenthaltsort des Benutzers oder der Benutzerin können hier eine Rolle spielen. Und drittens ist für die Risikobewertung natürlich entscheidend, auf welche Art von Daten jemand zugreifen kann. In Identity-Governance-Administration-Lösungen (IGA) kann man umfassende Risikoprofile erstellen. Denn in IGA-Lösungen werden Zugriffsrechte verwaltet, und durch Integration mit anderen Security-Lösungen können weitere risikorelevante Informationen berücksichtigt werden.
Welche Datenschutzkonflikte könnten im Zusammenhang mit der Nutzung von digitalen Identitäten im Metaversum auftreten?
Wenn ein Austausch von Nutzerdaten erforderlich ist oder wenn etwa Geschäftspartner die Möglichkeit erhalten, das Nutzerverhalten eigener Mitarbeiter zu verfolgen, kann das gegen den Datenschutz verstoßen. Genauso ist es wichtig, dafür zu sorgen, dass vertrauliche Unternehmensinformationen nicht in extern kontrollierten Anwendungen preisgegeben werden.
Warum steht die Identität im Mittelpunkt der Sicherheitsstrategie vieler Unternehmen?
Unternehmen leben schon lange nicht mehr in einer Welt, in der sich alle Mitarbeiter in einem digitalen geschützten Raum bewegen – der nach außen gesicherten IT-Umgebung des Unternehmens. Es geht vielmehr darum, vertrauenswürdigen Identitäten sicheren Zugang zu vertraulichen Informationen in einem Raum zu geben, in dem sich potenziell »jeder« bewegen kann. Daher ist die digitale Identität der Schlüssel zu Informationen und Anwendungen eines Unternehmens. »Zero Trust« heißt die Devise – man vergewissert sich immer wieder der Vertrauenswürdigkeit einer Identität und sichert jeden Datenzugriff ab.
Warum ist eine solide IGA-Strategie entscheidend, insbesondere im Hinblick auf das Metaversum?
Unternehmen haben es durch die digitale Vernetzung mit immer mehr Identitäten und immer komplexeren Interaktionen zu tun. Die Risiken werden vielfältiger, Identity Governance wird schwieriger und gleichzeitig wichtiger. Es muss auch in diesem Umfeld gewährleistet sein, dass die Berechtigungen digitaler Identitäten mit den Aufgaben der dahinterstehenden Menschen übereinstimmen. Sich dynamisch ändernde Arbeitsgruppen, Wechsel von Zulieferern und Kunden und Fluktuation bei den beteiligten Personen erfordern beispielweise immer schnelle Anpassungen. Hier sind IGA-Lösungen ein wesentlicher Baustein für die Sicherheit.
Wie kann Automatisierung bei der Umsetzung von Identity Governance helfen?
Ohne eine hohe Automatisierung sind die genannten Anforderungen nicht zu bewältigen. Mit automatischer kontextbasierter Rechtevergabe kann man schon viel administrativen Aufwand einsparen. Die neuen KI-Techniken können im Übrigen einen wichtigen Beitrag zu besserer Governance leisten – mit intelligenten Vorschlägen für eine sinnvolle Rechtevergabe, Warnungen vor Risiken, automatischem Erkennen kritischer Konstellationen oder der Unterstützung bei Entscheidungen im Rahmen einer Rechteprüfung.
Herr Kuhlmann, vielen Dank für das Gespräch!