Die Erwartungen an B2B-Portale sind heute andere als noch vor zehn Jahren: Die Nutzer haben sich privat an die ausgefeilte User Experience von Amazon, Netflix und Co. gewöhnt und erwarten eine vergleichbar bequeme Bedienung auch im beruflichen Umfeld. Gleichzeitig werden an Webanwendungen – sei es das ERP-System eines Industrieunternehmens, das Bestellsystem eines Zulieferers oder die Abrechnungssoftware eines Gesundheitsdienstleisters – höchste Sicherheitsanforderungen gestellt: Wenn ein Portal Zugriff auf sensible Daten gewährt, muss zum einen sichergestellt werden, dass sich nur eindeutig identifizierte, berechtigte Personen einloggen können. Zum anderen müssen die hinterlegten digitalen Identitäten von Mitarbeitern und Kunden optimal vor Cyberangriffen geschützt werden. Gerade bei letzterem kommt es nicht nur darauf an, Portale gegen Hacking-Versuche abzuschirmen – auch die Schwachstelle Mensch, die Kriminelle durch Phishing oder Social-Engineering auszunutzen versuchen, muss stets mitbedacht werden.
Zu den leistungsstärksten Lösungen, die einen entsprechenden Schutz gewährleisten, zählen softwarebasierte Identity- und Access-Management-Systeme (IAM). Sie ermöglichen es Unternehmen, verifizierte digitale Identitäten und deren unterschiedliche Zugriffsberechtigungen zentral und sicher zu verwalten. Wie der Name bereits andeutet, besteht ein IAM aus zwei zentralen Komponenten: dem Identity Management und dem Access Management.
Ersteres dient dazu, Benutzeridentitäten mit den entsprechenden Benutzerrechten und Attributen anzureichern und zu verwalten. Das Access Management sichert den Zugriff auf die freigegebenen Ressourcen: Typischerweise können Benutzer nicht uneingeschränkt alle Informationen innerhalb eines Systems einsehen und bearbeiten. Deshalb gleicht das Identitäts-Management die festgelegten Identitäten mit Benutzerrechten – auch Rollen genannt – ab und kontrolliert so den Zugriff. Parallel erteilt oder entzieht das Access Management den Benutzern im Zusammenspiel mit dem Identity Management den Zugriff auf digitale Daten, Dienste und Anwendungen.
Identität auf dem Prüfstand
Das IAM-System muss überprüfen können, wen es da gerade vor sich hat. Die Basis dafür bildet die sogenannte „digitale Identität“ des Nutzers. Die Identität einer Person ist einmalig und unverwechselbar und wird anhand charakteristischer Eigenschaften definiert – den Identitätsattributen. Dazu zählen körperliche Merkmale wie das Gesichtsbild, Fingerabdruck, aber auch persönliche Daten wie Name, Adresse und Geburtsdatum. So kann beispielsweise jede Person ihre Identität durch Vorlage eines Personalausweises nachweisen, um sich etwa gegenüber einer Behörde eindeutig zu identifizieren.
Dieses Funktionsprinzip wird auch im Falle der digitalen Identität umgesetzt, denn für diese kann ein „virtueller Personalausweis“ erstellt werden. Elektronische Daten zur Charakterisierung einer Person wie zum Beispiel ein Benutzername und Passwort, Chipkarten, Token oder biometrische Daten dienen hierbei als Identitätsattribute. Möchte ein Nutzer sich also beispielsweise in das ERP-System seines Arbeitgebers einloggen, muss er sich durch unterschiedliche Verfahren authentisieren.
Authentifizierung und Autorisierung
Den ersten Schritt zur Authentifizierung bildet die Authentisierung. Damit legt ein Benutzer einen Nachweis einer bestimmten Identität vor, die vom System zu verifizieren und zu bestätigen ist. Die einfachste, aber leider nicht die sicherste Authentisierungsmethode ist die Kombination von Benutzerkennung und Passwort. Viel sicherer sind moderne Verfahren, für die beispielsweise einmalige biometrische Merkmale wie Fingerabdruck oder Gesichtsmerkmale (Face ID) zur Authentisierung herangezogen werden.
Auf die Authentifizierung folgt die Autorisierung – darunter versteht man die Anreicherung der Identität um Berechtigungsattribute sowie die Auswertung dieser Attribute beim Zugriff auf den Dienst. Dieser Schritt ist genauso wichtig, um beispielsweise Compliance-Anforderungen und Datenschutzrichtlinien jederzeit zu erfüllen. So kann sichergestellt werden, dass Personen nur Zugriff auf Daten haben, die sie für ihre Arbeit benötigen.
Step-Up: Extraschritt für die Sicherheit
Die zur Authentifizierung verwendeten Verfahren garantieren höchstmögliche Sicherheit – tun dies aber nicht zulasten der Benutzerfreundlichkeit. IAM-Systeme stellen eine breite Auswahl von verschiedenen Login-Möglichkeiten zur Verfügung und setzen diese kontextbasiert ein. So genügt zum Beispiel für eine unkritische Abfrage ein Login per Passwort. Sobald die Sicherheitsanforderungen des genutzten Dienstes höher sind, ist ein IAM in der Lage, adaptiv einzugreifen und zusätzliche Identitäts-Attribute auszuwerten – beispielsweise die IP-Adresse oder den Gerätestandort, die nicht von den erwarteten Werten abweichen sollten – oder den Benutzer durch einen Step-Up Prozess zu führen.
Ein solcher Step-Up ermöglicht es Benutzern beispielsweise, ein Smartphone zu registrieren und der Auswertung weiterer Merkmale zu Sicherheitszwecken zuzustimmen. Nach der Registrierung des Smartphones kann der Login dann über eine Authentifizierungs-App ganz einfach per FaceID oder Fingerabdruck erfolgen. Die Notwendigkeit, lange und komplizierte Passwörter zu vergeben, gehört mit dieser komfortablen Sicherheitsmassnahme ebenfalls der Vergangenheit an.
Mehrfacher Vorteil
Die Vorteile einer zeitgemässen Authentisierung sind auch im B2B-Bereich nicht von der Hand zu weisen: Sie ermöglicht nicht nur einen erleichterten Zugang zum Unternehmensportal für alle Benutzergruppen, sondern erhöht auch die IT-Sicherheit signifikant – etwa, indem besonders sensible Transaktionen durch zusätzliche Authentisierungsmassnahmen geschützt werden. Der Login ist dabei dank der Nutzung passwortfreier Verfahren so bequem wie mit keinem anderen Verfahren.