Identity- und Access-Management-Trends für 2023

01.02.2023
5 Min.
Die Sicherheit im Cyberraum ist so gefährdet wie noch nie. Angriffe mehren sich, auch auf KMU. Das Passwort zu wechseln und eine sicherere Zeichenkombination zu verwenden, ist zwar eine gute Idee, noch besser ist es jedoch gar keine Passwörter zu verwenden und auf sicherere Authentifizierungsfaktoren zu setzen. Doch auch diese ist nicht zu 100 Prozent sicher, die Entwicklung besserer Technologien schreitet deshalb zügig voran.
 
Symbolbild FLY:D via Unsplash  
 

Passwortlose, Phishing-resistente Authentifizierung auf dem Vormarsch

Im vergangenen Jahr konnten wir beobachten, dass die Nutzung von Multifaktor-Authentifizierung (MFA) zugenommen hat und sich zu einer wichtigen Kernanforderung der Identitäts- und Zugangssicherheit entwickelt hat. Dies ist einerseits auf Initiativen von Grossunternehmen und Branchenverbänden zurückzuführen, andererseits auf rechtliche Interventionen und deren Durchsetzung durch Aufsichtsbehörden.
 
All das hat jedoch auch dazu geführt, dass Angreifer immer raffiniertere Methoden zur Umgehung des MFA-Schutzes entwickeln. Diese reichen von neuartigen Adversary-in-the-Middle-Angriffen, die auf authentifizierte Sessions abzielen, bis hin zu weniger ausgefeilten Push-Bombing-Angriffen. Bei diesen geben sich Cyberkriminielle als ein Unternehmen aus, das MFA zur Authentifizierung und zum Schutz von Diensten und Lösungen nutzt, und bombardieren Zielpersonen mit Login-Aufforderungen. Klickt ein User dann im Glauben, es handle sich tatsächlich um das Unternehmen auf die Benachrichtigung, erhalten die Hacker Zugang zu Unternehmenssystemen.
 
Um genau dies zu vermeiden, gibt es Lösungen, die mit passwortloser und Phishing-resistenter Authentifizierung arbeiten, und es ist davon auszugehen, dass sich diese Form der passwortlosen Authentifizierung schnell durchsetzen wird - auf Drängen von Unternehmen und als Reaktion auf die steigenden Erwartungen von Aufsichtsbehörden und Verbrauchern.
 

Digitale Identitäten sind omnipräsent

In den vergangenen Jahren hat sich Zero Trust Security zu einem echten Buzzword entwickelt und in vielen Aspekten steht und fällt dieses Konzept mit sicheren Identitäten. Angesichts der sich verschärfenden Cyber-Bedrohungslage sind sie wichtiger denn je - im Privatleben, im Bildungs- und Gesundheitswesen, bei eGovernment-Diensten und nicht zuletzt bei der Arbeit, denn hybride Arbeitsmodelle haben sich mittlerweile fest etabliert.
 
So erlauben z. B. laut dem aktuellen Hybrid Work Report von Okta neun von zehn (91 %) Unternehmen in Deutschland ihren Angestellten zumindest teilweise Zuhause zu arbeiten. Auch im Bereich Supply-Chain-Sicherheit spielen Identitäten eine entscheidende Rolle. Nicht ausreichend geschützt, sind sie Einfallstor für unterschiedlichste cyberkriminelle Angriffe. In diesem Zusammenhang können Software Bills of Materials (SBOM) Aufschluss über die Komponenten einer eingesetzten Software und mehr Transparenz über die digitalen Identitäten geben.  
 

Mehr Kontrolle durch Self Sovereign Identity

In Bezug auf digitale Ausweissysteme sind die Bürgerinnen und Bürger in Deutschland noch zurückhaltend. Als Hauptgründe für ihre Vorbehalte gegenüber digitalen Ausweissystemen, nannte die Hälfte der Befragten einer Studie von Okta Bedenken, dass ihre Daten nicht ausreichend geschützt seien (51 %) und die Angst vor Identitätsdiebstahl (46 %).
 
Mit der angekündigten EU Digital Identity Wallet, einem Projekt der Europäischen Kommission, sollen Bürgerinnen und Bürger die Kontrolle über ihre Daten und Identitäten zurückerhalten. Die digitale Brieftasche auf dem Smartphone zielt darauf ab, ein einheitliches digitales Identifikationssystem in Europa durchzusetzen, das eine Self-Sovereign Identity (SSI) ermöglicht. SSI verfolgt die Idee einer lebenslang gleich bleibenden digitalen Identität, die untrennbar mit einer Person, Organisation oder Sache verbunden ist. Sie ist unabhängig von einer zentralen Behörde oder einem Unternehmen und kann nicht entzogen werden.
 
Anfang Dezember haben sich die EU-Staaten in Brüssel auf Regeln für die EU Digitale Identity Wallet verständigt. Sie soll ab September 2023 zum Einsatz kommen und wird die Art und Weise, wie Personen in der EU zukünftig ihre digitalen Identitäten nutzen und selbstbestimmt über ihre personenbezogenen Daten verfügen, grundlegend verändern. 
 

Nutzererfahrung wichtiger denn je

IT-Security stand lange Jahre nicht in dem Ruf, die Nutzererfahrung zu verbessern. Eine einfache und komfortable User Experience ist jedoch genau das, was es braucht, um sicherzustellen, dass IT-Sicherheitslösungen angenommen werden - von Mitarbeitenden, die so Schäden durch Cyberattacken gegen das eigene Unternehmen abwenden, genau wie von Kunden, die angesichts des gigantischen Angebot an Webshops, jenen mit einer unkomplizierten Login-Erfahrung den Vorrang geben.
 
Aufgrund des grossen Wettbewerbs online, werden daher neben der Sicherheit die Benutzerfreundlichkeit und User Experience DIE Treiber sein und passwortlose Authentifizierungsfaktoren wie Biometrie an Bedeutung gewinnen.  
 

Ausweitung von KI-Konzepten und -Anwendungsfällen 

Ob sie nun unser Leben erleichtern, uns unterhalten, unsere Ressourcen verteidigen (oder für Angriffe auf eben diese genutzt werden), der aktuelle Trend und das enorme Wachstum bei KI-gestützten Anwendungen wird sich verstärken und weitere Bereiche unseres Arbeits- und Soziallebens beeinflussen. Künstliche Identitäten und gefälschte Audio- und Videoaufnahmen lassen sich immer leichter und in besserer Qualität erstellen und werden immer häufiger für Betrügereien in Gesellschaft und Unternehmen eingesetzt.
 
Auch der Einsatz lernender Maschinen, die darauf ausgelegt sind, die digitale Landschaft automatisiert zu erforschen und anzugreifen, wird zunehmen. Teil der Lösung dieses Problems sind weitere Automatisierung und Maschine Learning auch auf der Verteidigungsseite.  
 

Digitales Vertrauen wird zum strategischen Geschäftsziel 

Ob es sich nun um das Vertrauen in die Identität, die Sicherheit oder das Engagement für den Datenschutz und das Wohlergehen der Kunden handelt, Vertrauen wird sich in Zukunft noch stärker zu einer der wichtigsten Ressourcen eines Unternehmens entwickeln. Im Online-Ökosystem ist Vertrauen für digitale Unternehmen in vielen Fällen das mächtigste Unterscheidungsmerkmal.
 
Um Vertrauen zu schaffen, bedarf es dabei einiger Faktoren: die Fähigkeit, ein Ergebnis zu erzielen, und die Zuversicht des Beobachters, dass das erwartete Outcome tatsächlich eintreten wird. Darüber hinaus muss dieses abstrakte Vertrauen effektiv kommuniziert werden. Im Jahr 2023 werden viele Interessengruppen - Unternehmen, Einzelpersonen, Regierungen und Kriminelle - Massnahmen ergreifen, um Vertrauen aufzubauen und zu demonstrieren, damit sie ihre Ziele in einer digitalen Welt realisieren können, die Vertrauen voraussetzt, um zu funktionieren.
 
Dabei wird es einerseits immer schwerer werden, dieses Vertrauen herzustellen, es zu beweisen und zu kommunizieren und andererseits auch immer leichter, es zu verlieren - genau deshalb ist Vertrauen so wertvoll.
 
 

Der Autor

 
Sven Kniest ist Vice President Central & Eastern Europe bei Okta