English   Deutsch

KuppingerCole Newsletter

24.04.07 KCP über Identity Management

Frage der Woche:

Arbeiten IAM-Verantwortliche und Anwendungsarchitekten gemeinsam an einer Anwendungssicherheitsinfrastruktur?
Mitmachen unter www.surveymonkey.com/s.asp?u=996473491036


MARTIN KUPPINGER: Mehr zu CardSpace

In den vergangenen Tagen habe ich eine interessante Diskussion mit Don Schmidt von Microsoft geführt, der eng mit Kim Cameron zusammenarbeitet. Der leitet bekanntlich die Identity-Sparte in Redmond und ist auch unter anderem für die erste Version der ADFS (Active Directory Federation Services) verantwortlich. In unserer Diskussion ging es um die Frage, was CardSpace eigentlich über die erste sichtbare Implementierung in Windows Vista hinaus potenziell kann und wohin sich CardSpace entwickeln wird.

Bei der aktuell verfügbaren Lösung in Vista gibt es zwei Möglichkeiten, InfoCards zu definieren. Man kann einerseits Karten von einem externen CardSpace Identity Provider integrieren. Ein Beispiel dafür ist in Deutschland der Otto-Versand, ein anderes Opinity (www.opinity.com). Damit werden auch schon die beiden Facetten solcher externen Provider sichtbar. Otto ist ein spezialisierter Anbieter, der InfoCards für die Nutzung mit seinen eigenen Diensten bereitstellt. Opinity möchte sich dagegen als Identitäts-Provider für andere Unternehmen positionieren. Don Schmidt hat angedeutet, dass es in naher Zukunft eine ganze Reihe neuer Anbieter geben wird ? so viele, dass Microsoft in letzter Zeit zusätzliche Ansprechpartner für die CardSpace-Implementierungen benennen musste.

Wenn man sich die ersten Implementierungen anschaut wird deutlich, dass die InfoCards solcher Anbieter deutlich mehr Informationen umfassen können als es bisher der Fall ist. Die fehlende Erweiterung der lokalen InfoCards in Vista ist dabei kein grundsätzliches technisches Problem. Vielmehr hat sich Microsoft für die abgespeckte Version beim ersten Release entschieden, um keine Sicherheitsprobleme durch die Speicherung umfassender Informationen in lokalen Systemen entstehen zu lassen.

Grundsätzlich ist das aber auch kein Problem, denn wenn man an zukünftige Einsatzbereiche wie ?Information Broker? denkt, die personalisiert Informationen liefern, werden diese ohnehin eigene InfoCards mit den von Ihnen benötigten Attributen liefern. Ein Risiko entsteht damit aber: Man muss die Informationen zwar nicht mehr bei jedem Provider im Web eintippen ? aber man muss sie vielleicht immer wieder für verschiedene InfoCards festlegen. Die Basis-Karten mit persönlichen Informationen lassen sich aber zumindest flexibel mit mehreren Unternehmen nutzen. Und Karten von Anbietern wie Opinity sind auch auf den Gebrauch mit verschiedenen ?relying parties?, also unterschiedlichen Service Providern, ausgelegt.

Geplant ist auch ein Zusammenspiel zwischen CardSpace und dem Active Directory, wobei ADFS mit seiner WS-Federation-Unterstützung das Bindeglied bilden wird. Das ist für die Nutzung von Karten in Unternehmen wichtig. Allerdings wird diese Integration wohl noch bis nach dem Release von ?Longhorn? auf sich warten lassen.

Viel Bewegung gibt es noch im Bereich der Authentifizierung, die eine besondere Herausforderung darstellt. Hier ist Microsoft in intensivem Gespräch mit Anbietern von Tools für die Mehrfaktor-Authentifizierung, um ein optimales Zusammenspiel sicherzustellen. Auch das wird noch ein bisschen auf sich warten lassen, aber mit Sicherheit kommen.

Damit wird deutlich, dass Microsoft CardSpace in Windows Vista ein erster Wurf ist, der (wie bei Otto) zwar bereits durchaus nutzbar ist. Es wird aber sowohl im Bereich der Sicherheit als auch der flexiblen Nutzung innerhalb von Unternehmen (im Zusammenspiel mit dem Active Directory) als auch im Internet in den kommenden 12 bis 18 Monaten wesentliche Neuerungen geben. Das, was Microsoft mit CardSpace vorhat, erhöht, zusammen mit den Aktivitäten auch im Open Source-Umfeld, die Chance, dass wir Anwender einen Ansatz erhalten, um mit unseren Identitäten im Internet besser umgehen zu können.

Übrigens können Sie selbst hören, was Don Schmidt zu dem Thema alles zu sagen hat: Er ist am 8. und 9. Mai nämlich Panelist auf der 1st European Identity Conference von KCP in München. Details unter www.id-conf.com.


TIM COLE: Federation bietet Schutz vor den Beschützern

Soll die Polizei in Zukunft für Fahndungszwecke auf die digitalen Fotos und Fingerabdrücke auf den elektronischen Reisepässen sämtlicher Bundesbürger zugreifen können? Bundesinnenminister Wolfgang Schäuble ist dafür und stellt die ganze Sache als eine Verbesserungsmaßnahme vor, die Geld und Bürokratie sparen hilft. Justizministerin Brigitte Zypries ist dagegen, weil sie darin einen Eingriff in das informationelle Selbstbestimmungsrecht der Bürger sieht.

In Wirklichkeit ist der Siegeszug der Elektronik nicht mehr zu stoppen: Die kommende Gesundheitskarte (eGK), der neue digitale Personalausweis (ePA) und der geplante europäische Führerschein sind ebenso wie der biometrische Reisepass mit Chips bestückt. Wohin die Reise geht, ist klar: Der Sparzwang des Staates und der Zwang der Logik werden ein Zusammenlegen dieser digitalen Dokumente diktieren. So wird der neue Personalausweis, dessen Spezifikationen die Fachleute im Bundesamt für Sicherheit in der Informationstechnik (BSI) in den nächsten Wochen bekanntgeben werden, modular sein und damit Platz für weitere Funktionen wie Jobkarte oder digitale Signatur bieten. Und ist es in Deutschland erst einmal so weit, dann steht dem angedachten Projekt einer European Citizens Card (ECC) kaum noch etwas im Wege.

Dazu kommt, dass die Digitaltechnik uns auf Schritt und Tritt verfolgt. Steigt ein Bundesbürger ins Auto, erfassen ihn die Verkehrsüberwachungskameras in den Innenstädten oder die Mautkameras von TollCollect auf der Autobahn. Und der Handy in seiner Tasche sendet ständig Informationen aus über seinen Aufenthaltsort an den Telefonprovidern, der sie speichern und auf Verlangen an die Ermittler aushändigen muss.

Dass viele Menschen ihren schlimmsten Albtraum vom totalen Überwachungsstaat zum Greifen nah empfinden, hat vor allem damit zu tun, dass er das Gefühl hat, die Kontrolle über seine digitale Identität zu verlieren. "Durch den automatischen Zugriff auf biometrische Daten entsteht eine neue, historisch einmalige Instanz", warnte die Süddeutsche Zeitung: Personenregister und Identitätsdokumente verschmelzen zu einem einheitlichen Kontrollinstrument, dem sich keiner mehr entziehen kann.

Wenn Technik in diesem Zusammenhang als Bedrohung empfunden wird, so bietet sie möglicherweise auch gleich einen Ausweg. Letztlich geht es ja darum, ein System zur Verwaltung der Identitätsdaten des Bürgers zu schaffen, dem dieser vertrauen kann. In der Wirtschaft, wo das Thema Vertrauen mindestens ebenso zentral ist, hat sich mit dem Identity Management ein ganzer Industriezweig herausgebildet, dessen einzige Aufgabe es ist, das Identitäts-Chaos zu beenden und den transparenten, kontrollierbaren und vertrauenswürdigen Umgang mit den Identitätsdaten von Mitarbeitern, Lieferanten, Partnern und Kunden zu gewährleisten. Und immer mehr setzt sich hier die Erkenntnis durch, dass Identity Federation der einzige Weg ist, um diesen hohe Ziel über Firmen- und Ländergrenzen hinweg zu erreichen.

Warum also nicht auch Federation als Grundlage nutzen, um das erschütterte Vertrauen zwischen Staat und Bürger an der Identitätsfront wieder herzustellen? Identity Federation umfasst bekanntlich Standards und Technologien, um Identitätsinformationen über Anwendungen und auch Unternehmensgrenzen hinweg gemeinsam zu nutzen, wozu verschiedene Authentifizierungsstellen und Dienstanbieter flexibel in einem Verbund (Circle of Trust) verknüpft werden. Standards wie SAML 2.0 und die darauf aufsetzenden Standards der Liberty Alliance regeln den Datenaustausch zwischen den Beteiligten, wobei der Betroffene - also der, dessen Daten ausgetauscht werden soll (Mitarbeiter, Kunde, in Zukunft vielleicht auch Bürger?) - ausdrücklich in den Vorgang eingebunden ist. Er kann dem Vorgang in der Regel zustimmen. In jedem Fall können Lösungen aber so gestaltet werden, dass er im Bilde über das ist, was mit seinen Daten geschieht.

Natürlich wird die Polizei nur ungern einem Verdächtigen mitteilen wollen, dass gegen ihn ermittelt wird. Im Rahmen einer staatlichen Identity Federation-Lösung wäre aber beispielsweise die Berufung von "Identitäts-Ombudsmänner" vorstellbar, deren Aufgabe es wäre, den korrekten Umgang mit den Identitätsdaten zu überwachen, also beispielsweise deren Löschung in den Zielsystemen der Ermittlungsbehörden bei unbegründetem Verdacht zu erwirken, beziehungsweise dem ? unbescholtenen - Bürger nach Abschluss der Ermittlung Auskunft darüber zu geben, was mit seinen Daten geschehen ist. Ein ordentlich aufgesetztes Federation-Projekt würde ohnehin exakt jeden Vorgang dokumentieren. In der Wirtschaft ist das aufgrund von Auditing- und Compliance-Zwängen wichtig, im eGovernment aus Gründen des Datenschutzes.

Im Kontext von eGovernment und insbesondere der Strafverfolgung kommt eine weitere Eigenschaft von Identity Federation zum Zuge: Es macht die zentrale Datenhaltung überflüssig. Es gehört zum Wesen von Federation, mit getrennten Datenspeichern zu arbeiten, wobei die Art und Weise, wiepersönliche Informationen ausgetauscht werden, nachvollziehbar und kontrollierbar wäre - im Gegensatz zu heute. Wer seinen Reisepass vor dem Abflug einem Grenzschutzbeamten überreicht, hat im Grunde auch keine Ahnung, was geschieht, wenn dieser das Dokument auf seinen Scanner legt. In einem System, das mit Federation-Standards arbeitet, gäbe es wenigstens verbindliche und verständliche Spielregeln. Das wiederum könnte helfen, die Angst der Bürgers vor dem Staat abzubauen.

Das Prinzip der Identity Federation bietet sich aber auch aus einem weiteren Grunde für den Einsatz im eGovernment an: Es entspricht am ehesten dem Selbstverständnis eines förderalen Staatsgebildes wie der Bundesrepublik, wo man aus gutem Grund eine Balance zwischen eigenständigen Organen mit klar geregelter Kompetenzverteilung gewählt hat. Daran sollte man vielleicht Herrn Schäuble und Frau Zypries erinnern, wenn in den nächsten Wochen wieder einmal die Wogen in der Biometrie-Debatte besonders hochkochen.


European Identity Conference 2007: Jetzt online buchen!

Der Coutdown läuft: Am 7. Mai startet die European Identity Conference 2007 mit mehr als 80 Top-Referenten und Panelisten aus aller Welt, die in fünf unabhängigen Tracks über zwei Tage präsentiert werden und in denen die aktuellen Kernthemen des Identity & Access Management diskutiert werden, nämlich:

- Compliance & Identity Risk Management
- Identity Federation & User-Centric Identity Management
- Authentication Trends & SSO
- Roles & Provisioning
- SOA & Identity as a Service

In einem separaten Track werden über ein Dutzend Best Practice-Bespiele präsentiert: Aktuelle IAM-Fallbeispiele aus der Praxis.

Am Mittwoch, 10. Mai, finden separat buchbare Workshops zu Themen wie "Federations and User Centric Identity Infrastructures with WS-* and MS CardSpace" sowie "Implementing Secure Liberty Alliance Web Services" mit namhaften Referenten und Tutoren statt.

Zu den Highlights der Konferenz werden unter anderem die Keynotes von Dick Hardt von Sxip ("Identity 2.0"), Don Schmidt von Microsoft und Dr. Sachar Paulus von SAP sowie ein Gespräch zwischen Tim Cole und Andre Durand, CEO von Ping Identity gehören. Interessenten können sich online für von Kuppinger Cole +Partner vom 7. bis 10. Mai im Münchner Forum Deutsches Museum anmelden unter www.id-conf.com


Evidian setzt auf E-SSO - und auf den Mittelstand

Evidian besitzt zwar ein umfassendes Portfolio an IAM-Produkten, wird aber meist nur mit einem Teil davon wahrgenommen. So kann das Unternehmen zwar im Bereich E-SSO auch in Deutschland auf eine Reihe von erfolgreichen, teils sehr großen Projekten verweisen. Wenn es dagegen um die Positionierung beim Provisioning geht, ist es um Evidian eher still. Das möchten die Deutschland-Geschäftsführer Erwin Schöndlinger und Hassan Maad, zugleich auch COO von Evidian, ändern. Dazu sind sowohl bei der Technologie als auch beim Marketing gewichtige Änderungen geplant deren Ziel es ist, einerseits die Stärken im Bereich E-SSO auszubauen und weiter zu betonen, andererseits aber auch in Provisioning-Projekten mehr Erfolg zu haben, wobei der Fokus dort stärker beim Mittelstand liegen soll. Mehr dazu unter http://www.kuppingercole.de/articles/1639

 


HP bringt Identity as a service

Nach dem Erwerb der Business Software Suite "Mercury" hat HP hat jetzt seine Produkt-Strategie und Positionierung grundlegend überdacht. Das Unternehmen möchte sich unter dem Schlagwort BTO (Business Technology Optimization) als Anbieter positionieren und konsequent für die Umsetzung von Business-Anforderungen in IT-Lösungen sorgen.

Damit steht HP nicht gerade allein: Andere Anbieter, allen voran Rivalen wie IBM, BMC, CA und andere, verfolgen einen ähnlichen Kurs, die nur ein bisschen anders heißen. Das Ziel ist immer gleich: Ein definiertes Abarbeiten und zuverlässiges, nachvollziehbares Umsetzen der Anforderungen. Aus dem Business. Mercury ist als Spezialist für das Management von Änderungsprozessen für HP ein wichtiges Bindeglied.

Die neue Strategie hat auch profunde Auswirkungen das Identity Management. Idenitäts-Dienste sollen im Rahmen eines "Service Lifecycles" verwaltet werden, also mit definierten Service Level Agreements (SLAs, oder, "Service Contracts", wie HP sie nennt). Diese beinhalten definierte Vorgehensweisen für die Entwicklung oder Konfiguration, den Test und das Deployment sowie umfassende Reporting- und Compliance-Funktionen, die auch die Änderungen betreffen, die im Identity Management vorgenommen werden.

Diese Philosophie deckt sich genau mit dem, was wir bei Kuppinger Cole + Partner schon lange als "Identity as a service" propagieren. Identity-Funktionen müssen in Zukunft als Dienste betrachtet und umgesetzt werden, nicht als Produkte.

HP möchte in Zukunft auch ein durchgehendes Auditing über die gesamte IT-Infrastruktur einschließlich des Sicherheitsmanagements anbieten. Damit bietet dieser Hersteller aus unserer Sicht die bisher konsistenteste Vision von service-orientiertem Identity Management im Markt. HP tut gut daran, den neuen Weg einer business-getriebenen Strategie gezielt weiter zu gehen. Mit der Akquisition von Mercury sind die Weichen richtig gestellt.

Andere Anbieter bewegen sich ebenfalls in diese Richtung, andere werden folgen müssen - ob sie wollen oder nicht. Im Moment hat HP, wo man bis vor kurzem noch Identity Management sehr viel technischer als Teil von OpenView gesehen hat, allerdings die Nase vorn.


Aktuelle Veranstaltungshinweise

10.5. 2007, Bergisch Gladbach
14.5.2007, Frankfurt
16.5.2007, Baden-Baden
23.5.2007, Wien
12.6.2007, Zürich
Novell Forum: Quarterly Executive Council
Tim Cole spricht über "Die neue Rolle des CIO als Business Enabler"
Info und Anmeldung unter novell-forum@novell.com

20.6.2007, Zürich
SES-Fachtagung: Zutritt: Technik, Organisation, Identifikation und Schnittstellen
Tim Cole spricht über Grenzen und Chancen biometrischer Systeme
www.mediasec.ch/kongresse/index.html

top
KuppingerCole Select
Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.
Register now
Services
KuppingerCole Analyst Services
In the networked economy of the 21st century, digital identities play a key role in establishing trust, achieving security, lowering costs and making business processes more efficient. Things like Identity and Access Management (IAM) or...
KuppingerCole Vendor Services
The market for Identity and Access Management (IAM), governance, risk management, and compliance (GRC) and cloud computing is expanding by leaps and bounds. In fact, no other segment of the IT market can boast such dynamic growth rates. At the...
KuppingerCole Briefings
KuppingerCole welcomes the opportunity to hear from IT companies when they launch a new product or service or have other interesting progress to announce. Please fill in the request form , and we will contact you shortly. 
Links
 KuppingerCole News

 KuppingerCole on Facebook

 KuppingerCole on Twitter

 KuppingerCole on Google+

 KuppingerCole on YouTube

 KuppingerCole at LinkedIn

 Our group at LinkedIn

 Our group at Xing

 GenericIAM
Imprint       General Terms and Conditions       Terms of Use       Privacy policy
© 2003-2014 KuppingerCole