Die Bedeutung von IT-Sicherheit im weitesten Sinne wird auch heute noch oft unterschätzt. Dabei wird immer deutlicher, wie wichtig dieses Thema auch für das erfolgreiche »produktive« Geschäft ist - denn Fehler bei der IT-Sicherheit sind ein unkalkulierbares Risiko für das Business.
Besonders eklatant ist das in den USA, wo in immer mehr Bundesstaaten Verluste von personenbezogenen Daten öffentlich gemacht werden müssen. Das ist in Deutschland noch nicht der Fall. Aber auch hier zeigt sich, dass Fehler im Umgang mit personenbezogenen Daten bestraft werden. Die Diskussionen um Datenverluste, aber auch um den fehlerhaften internen Umgang mit personenbezogenen Daten der vergangenen Monate haben das deutlich gezeigt.
Das ist aber nur die Spitze des Eisbergs. Denn neben den kritischen Fällen, die in der Öffentlichkeit diskutiert werden, gilt das zunehmend mehr auch im Umgang von Unternehmen untereinander und mit ihren Kunden. Geschäftsprozesse, die über die Unternehmensgrenze hinausgehen und Lieferanten, Partner oder Kunden einbinden, sind heute keine Ausnahme mehr. Um die Zugriffe darauf steuern zu können, sind Federation-Mechanismen von wachsender Bedeutung – und im Umgang mit Kunden Ansätze wie die Information Cards. Diese Verfahren basieren aber auf Vertrauen: Ein Unternehmen vertraut darauf, dass eine andere Instanz – beispielsweise der Lieferant – seine Mitarbeiter richtig authentifiziert hat. Wenn es hier zu Fehlern kommt und beispielsweise ein bereits entlassener Mitarbeiter wegen Fehlern beim De-Provisioning noch zugreifen kann und Schäden verursacht, führt das zwangsläufig zu einer erheblichen Belastung der Geschäftsbeziehungen.
Das ist übrigens auch der Grund, warum sich die Problematik in Federation-Projekten längst weg von der beherrschbaren Technik und hin zu Haftungs- und anderen Rechtsfragen verschoben hat. Denn auch hier gilt: Vertrauen ist gut, Kontrolle ist besser. Oder, anders formuliert: Das Vertrauen braucht eine gute Grundlage.
Für Unternehmen heißt das aber, dass man genau diese Grundlage nicht nur auf vertraglicher, sondern auf technischer Basis schaffen muss. Wer seine Identitäten nicht im Griff hat, wird bei der Erweiterung von Geschäftsprozessen scheitern. Er wird seine Kunden nicht optimal einbinden können. Und er wird den Schritt hin zu einem effizienten Cloud Computing nicht schaffen, wenn er mit den Partnern in diesem Bereich nicht effizient und vertrauenswürdig Identitätsinformationen austauschen kann.