Viel wird über Vertrauen und Sicherheit in der Cloud geredet. Vor allem darüber, was alles nicht geht und was noch fehlt. Cloud-Service-Anbieter sollen ihre Prozesse offen legen, sich zertifizieren lassen, Verschlüsselung einsetzen und immer mehr Verantwortung für die Sicherheit der Daten ihrer Kunden übernehmen. Es gibt allerdings etwas, das ihnen die Verantwortung nimmt und dennoch für mehr Sicherheit sorgt: das Auslagern des Benutzermanagements.

Ein eigenes Identitätsmanagement führt zunehmend zu Problemen: Komplexe Berechtigungskonzepte, Nachvollziehbarkeit und die Verwaltung von Identitäten über den gesamten Lebenszyklus hinweg stellen den Diensteanbieter vor große Aufwände. Das Risiko, dabei Fehler zu machen, ist nicht unbeträchtlich. Softwareentwickler schätzen den Aufwand, Benutzer und Berechtigungen korrekt umzusetzen, auf einen Großteil des Gesamtaufwands, obgleich die Identitäten für die Wertsteigerung des Cloud-Service oft gar keine Rolle spielen.

Gleichzeitig entsteht mehr Unsicherheit auf Kundenseite des Diensteanbieters, denn der Anwender kann sich bei der explodierenden Zahl von Benutzernamen, Passwörtern und weiteren Informationen für die Authentifizierung nicht davor schützen, Fehler zu machen, Passwörter aufzuschreiben oder gleiche Passwörter für unterschiedliche Dienste zu wählen. Zudem sind viele Prozesse zur "Unterstützung" des Anwenders bei vergessenen Passwörtern schlicht eine Katastrophe: Das Passwort wird per E-Mail an den Anwender gesendet.

Für alle Beteiligten ist es einfacher und sicherer, wenn Cloud-Services Identitäten externalisieren, also diese nicht mehr selbst verwalten, sondern auf andere Identitätsmanagementsysteme zurückgreifen. Die Standards sind da, verbreitete ID-Systeme auch, man könnte sogar den elektronischen Personalausweis verwenden.

Zudem gibt es keinen guten Grund, weiterhin Benutzer zu verwalten. Im heutigen Cloud-Umfeld gilt das Argument des unabhängigen Betriebs nicht mehr, denn dann müsste man auch auf andere, gerne verwendete Online-Dienste verzichten – und sei es nur den Zeitserver. Die Verwaltung der Benutzer für Marketing-Zwecke ist ebenfalls kein Grund, denn die externen Identitäten sind ja bekannt.

Die Notwendigkeit, Benutzer selbst zu verwalten, ist für Cloud-Service-Anbieter nicht mehr von Belang. Also: Raus mit den Usern!