Wie in den vergangenen Jahren hat Kuppinger Cole 10 Top Trends für IAM (Identitäts- und Zugriffsmanagement) und GRC (Unternehmensführung (Governance), Risikomanagement, Einhaltung (Compliance)) erarbeitet. Die Dinge schreiten 2009 voran, trotz der Wirtschaftskrise – sogar mehr als sonst. Insbesondere Lieferanten von GRC profitieren von der Krise und wachsenden Investitionen in GRC. Jeder versteht mittlerweile die Notwendigkeit für ein gutes Risikomanagement.
Unsere Analyse zeigt jedoch, dass es auch in vielen anderen Bereichen von IAM und GRC Fortschritte gibt. Die Auswirkungen von Cloud Computing (A. d. Ü.: IT-Begriff: „Rechnen in der Wolke“), neue elektronische Personalausweise als Mittel zur Authentifizierung und weitere Debatten über den Datenschutz sind nur einige von ihnen.
Trend Nr. 1: GRC als Control-Layer des Unternehmens für IAM
GRC (Governance, Risk Management, Compliance) bildet den Überbau für IAM. GRC liefert die Unternehmenskontrollen (z. B. Unternehmenspolitik, Rollen, etc.), um die Identitäten und Authentifizierungen zu verwalten. Somit werden die typischen Provisioning Layers (Abwicklung von Bereitstellungsprozessen) entweder ausgeweitet, um die Anforderungen von GRC zu unterstützen oder sie werden verschlankt - als angemessene Sortierung eines Interface Layers (Schnittstellen-Layer) zwischen den Unternehmenskontrollen und den bereitgestellten Systemen.
Insgesamt wird die Reife von GRC-Plattformen weiter ansteigen. Dies beinhaltet die Hinzufügung von fehlenden Eigenschaften, einen besseren Support für das Management der Unternehmenspolitik sowie verbesserte Schnittstellen an bestehende Bereitstellungssysteme, um das Authentifizierungsmanagement effizient zu machen.
Trend Nr. 2: Zunehmende Ausgereiftheit von Identity 2.0 - Ansätze
Identity 2.0 wird reifer. Im Verlauf des letzten Jahres hat sich die Aufmerksamkeit von der leichtgewichtigen OpenID zu den anspruchsvolleren Information Cards verschoben, die nun von der offenen ICF (Information Card Foundation) unterstützt werden. Wir werden in diesem Bereich zunehmende Impulse beobachten, auch wenn die Auseinandersetzung über gültige Geschäftsmodelle für das Identity 2.0 World – insbesondere für Lieferanten von Identity – auch in diesem Jahr noch heftig bleiben werden.
Trend Nr. 3: Mehrzweck-Karten gewinnen an Schwung
Der Markt für Authentifizierungsmerkmale hat eine ruhige Evolution durchlaufen. Mehrzweck-Karten gewinnen zunehmend an Bedeutung. Diese Karten unterstützen nicht nur die starke Authentifizierung für IT-Systeme, sondern auch den physischen Zugang zu Gebäuden und manchmal sogar Zahlungsfunktionen oder andere Eigenschaften. Diese hoch entwickelten Karten werden zunehmend als Vorrichtung nach Wahl angesehen, mit der die Anzahl der Merkmale, die Mitarbeiter durchführen müssen sowie die Logistikkosten für diese Karten durch ihre Nutzung für zahlreiche Anwendungsfälle reduziert werden.
Trend Nr. 4: Kontext und Vielseitigkeit werden Realität
Seit einiger Zeit wird eine kontextbasierte Authentifizierung und Autorisierung diskutiert, so wie dies einst bei der vielseitigen Authentifizierung der Fall war (z. B. eine flexible Wahl der Authentifizierungstechnologien innerhalb einer Plattform). Beide Ansätze werden zunehmend ausgereifter und werden von immer mehr Anbietern unterstützt. In diesem Zusammenhang werden weiche Merkmale (Soft-Token) heutzutage häufig als ein Ansatz zur Authentifizierung sowie zur Reduzierung der Logistikkosten unterstützt, um einen Fail-Over (Aufrechterhaltung des Systems im Fehlerfall) für den Fall, dass ein physisches Merkmal verloren gegangen oder zerstört wurde, bereitzustellen.
Trend Nr. 5: Mehr IAM und GRC für die Cloud
Cloud Computing wird die nächste große Sache in der IT sein – ein gundlegender Paradigmenwechsel, der eine viel größere Flexibilität für IT-Infrastrukturen als jemals zuvor bereitstellt. Für die Cloud erfordert dies sowohl IAM als auch GRC. Derzeit gibt es nur eine geringe Unterstützung für die grundlegenden IAM-Standards wie SAML (A. d. Ü.: Security Assertion Markup Language = XML-basierte Auszeichnungssprache für Sicherheitsbestätigungen). Der steigende Druck seitens der Kunden auf einem Wachstumsmarkt werden zu einer breiteren Unterstützung für bestehende und anstehende Standards wie SPML (Service Provisioning Markup Language) , OAuth (A. d. Ü.: Protokoll für eingeschränkten Zugriff) XACML (A. d. Ü.: eXtensible Access Control Markup Language) oder CARML (A. d. Ü.: Client Attribute Requirement Markup Language) sowie bezüglich der Definition neuer Standards führen.
Trend Nr. 6: Portable Identitätsinformationen für soziale Netzwerke
Heutzutage unterstützen typische soziale Netzwerke keinen flexiblen Austausch der Identitätsinformationen (einschließlich Beziehungen und alle anderen Daten), die in diesen Netzwerken gespeichert sind. Das wird sich ändern. Es gibt erste Ansätze für offene, austauschbare Identitäts- und Beziehungsinformationen für soziale Netzwerke. Die Anwender üben stärkeren Druck auf die Anbieter sozialer Netzwerke aus. Und es zeigen sich die Auswirkungen von Identity 2.0, mit dem sich neue Arten sozialer Netzwerke aufbauen lassen. Somit wird die Bindung (Lock-in) von Informationen in sozialen Netzwerken ein Ende finden.
Trend Nr. 7: GRC wächst über IAM hinaus
GRC wird nicht nur eine Art von Business Control Layer für IAM – GRC wird auch über IAM hinaus expandieren. Die ersten Anbieter haben damit begonnen, ihren GRC-Plattformen SIEM (Security Incident and Event Management)-Fähigkeiten hinzuzufügen. Und einige der großen Anbieter stehen in den Startlöchern, um ITSM/BSM (IT/Business Service Management) sowie andere Eigenschaften (Features) hinzuzufügen. Wir erwarten, dass GRC mit der Zeit ein kompletterer Business Control Layer wird, der es ermöglicht, der Informationstechnologie (IT) Unternehmenspolitik und Kontrollen und die Statusinformationen zurück von der IT zum Unternehmen bereitzustellen.
Trend Nr. 8: Erste Auswirkungen der neuen elektronischen Reisepässe
Der neue elektronische Reisepass (ePA) wird Teil der IT-Strategien, insbesondere in Deutschland, wo es den anspruchsvollen Ansatz einer Unterstützung von ePA sowie Features für nichtstaatliche Anwendungsfälle gibt. Es wird erste Lösungen geben, die den ePA für starke Authentifizierungen sowie die Integration von Identity 2.0-Technologien beim ePA unterstützen.
Trend Nr. 9: Zunehmende Serviceorientierung bei IAM und GRC
In drei Bereichen gewinnt ein serviceorientierter Ansatz für IAM und GRC zunehmend an Bedeutung: Definition und Verwaltung von IAM- und GRC-Diensten, Aufbau von leichtgewichtigen, serviceorientierten Implementierungen, besonders für die Bereitstellung und Unterstützung von SOA (Serviceorientierte Architektur). Insgesamt wird dies Teil der Verlagerung von den heutzutage häufigen monolithischen Ansätzen hin zu einem flexibleren Begriff von IAM und GRC.
Trend Nr. 10: Der Datenschutz ist wieder da – und es gibt mehr Lösungen
Für eine ziemlich lange Zeit war Datenschutz keine Frage. Trotz mancher Verordnungen gab es keine große Diskussion über den Datenschutz. Und erst recht gab es keine wesentlichen technischen Verbesserungen, um Datenschutzanforderungen zu unterstützen. Das ändert sich. Neue Technologien zur Unterstützung des Datenschutzes, insbesondere der Begriff der „minimalen Offenlegung“ sind auf den Weg gebracht – und es gibt bei weitem mehr Diskussionen über Datenschutzfragen, als dies jahrelang der Fall war.