Identity and Access Management Mit CIAM IT-Sicherheit und Customer Experience verbinden

Von Melanie Staudacher

Die IT-Abteilung und das Marketing-Team in Unternehmen haben meist nur wenige Berührungspunkte. Geht es aber um die Entwicklung einer Strategie für das Customer Identity and Access Management, lohnt es sich, zusammenzuarbeiten.

Firmen zum Thema

Um die Customer Experience zu verbessern, kann es für Unternehmen sinnvoll sein, ihre IAM-Strategie zu einer CIAM-Strategie auszuweiten.
Um die Customer Experience zu verbessern, kann es für Unternehmen sinnvoll sein, ihre IAM-Strategie zu einer CIAM-Strategie auszuweiten.
(Bild: Urupong - stock.adobe.com)

Was in der Studie von Auth0 zum Thema CIAM (Customer Identity and Access Management) vor allem klar wurde ist, dass die Geschäftsebene, IT-Abteilungen und Marketing-Abteilungen sich uneinig sind. Denn für die einen geht es bei CIAM vorrangig um den Datenschutz und die Compliance, für andere um die IT-Sicherheit und das Risikomanagement und wieder andere legen den größten Wert beim Einsatz entsprechender Technologien auf die User Experience und die Kundenbindung.

Für die Studie „CIAM 2022“ befragte der Hersteller Auth0, der kürzlich vom Mitbewerber Okta übernommen wurde, 288 IT-Entscheider und Geschäftsführer sowie vereinzelt Marketingmitarbeiter zu deren CIAM-Strategie und -Planung.

Um die Studienergebnisse nachvollziehen zu können, sollte jedoch der Nutzen von CIAM dargestellt und der Begriff zum Identity and Access Management (IAM) abgegrenzt werden.

Was ist CIAM?

Mit zunehmender Bedeutung von Online-Services steigt auch der Bedarf nach CIAM. Auth0 definiert das Customer Identity and Access Management in einem Blogbeitrag als Teilbereich des IAM und die Art und Weise, wie Unternehmen ihren Endbenutzern Zugriff auf ihre digitalen Eigenschaften gewähren und Daten für diese Benutzer verwalten, sammeln, analysieren und sicher speichern.

Doch das Vertrauen der Nutzer in die virtuelle Welt ist brüchig und sie fürchten um ihre Daten. Entsprechende CIAM-Lösungen können die Anmeldeprozesse und somit die komplette Customer Experience positiver gestalten.

Dies ist laut Kevin Switala, Enteprise Account Executive bei Auth0, besonders wichtig, da die Anmeldung oft die erste Interaktion ist, die ein Verbraucher online mit einer Marke hat. „Der Prozess der Anmeldung kann je nach Häufigkeit im Laufe der Zeit eine starke Verbindung zum Unternehmen auslösen. Denn dies ist der Interaktionspunkt, an dem Verbraucher einem Unternehmen kritische Informationen anvertrauen. Kunden erwarten eine reibungslose und sichere Benutzererfahrung.“

Was ist der Unterschied zwischen IAM und CIAM?

IAM ist der Oberbegriff, der gemeinhin für alle Anwendungsfälle des Identitätsmangements genutzt wird. „Fälschlicherweise wird IAM allerdings meistens ausschließlich mit der Workforce Identity, also dem Zugriffsmanagement für Mitarbeiter, in Verbindung gebracht“, erklärt Switala. „Obwohl die Funktionseinheiten des Identitätsmanagements für Mitarbeiter wie auch Kunden dieselben sind, dazu gehören die Authentifizierung, Autorisierung und Verzeichnisdienste, können nicht alle IAM-Systeme die individuellen Anforderungen kundenorientierter Anwendungsfälle bewältigen.“

Das liegt daran, dass IAM-Systeme, die für Mitarbeiteridentitäten genutzt werden, eine fixe Größe verwalten. Für diese Nutzer werden entsprechende Authentifizierungsrichtlinien festgelegt, um die Accounts rollenspezifisch zu implementieren. Die Richtlinien können sich auf das Gerät, den Standort, das Netzwerk, die Anwendungen, die Tageszeit und die Geolocation beziehen. Wenn Unternehmen merken, dass sie bei der Verwaltung von Kundendaten mit IAM an ihre Grenzen geraten, setzen sie zunehmend auf CIAM-Systeme, um erweiterte Anforderungen zu erfüllen.

CIAM bietet die nötige Skalierungsfähigkeit, um Millionen von unbekannten Identitäten und Kundendaten zu verarbeiten. Weil in diesem Fall mit einem größeren Maßstab gerechnet wird, müssen Sicherheitsrichtlinien für mehr Nutzer als beim IAM anwendbar sein. Dabei sind das eingesetzte Gerät und die Geo-Lokalisierung die wichtigsten Faktoren für den Authentifizierungsprozess.

Klassische IAM-Systeme sind für diese komplexen Anforderungen an das Management tausender Kundenidentitäten nicht gemacht. Meist wurden sie explizit für interne Anwendungsfälle entwickelt. „Leider werden die Erfahrungen des Managements von Mitarbeiterdaten nur in den seltensten Fällen auf die Kundenidentitäten ausgedehnt“, ergänzt Switala.

CIAM IAM
Skalierbarkeit CIAM-Systeme müssen hohe Datenströme bewältigen und für Millionen von Kunden skalieren. IAM-Systeme müssen Datenströme für Hunderte Mitarbeiter skalieren.
Sicherheit Die Kunden, die auf die Dienste zugreifen, sind den Unternehmen nicht bekannt. Der Schutz ihrer Daten kann nur über den Login funktionieren. Die Mitarbeiter, die auf die Dienste zugreifen, sind den Unternehmen bekannt. Für den Schutz gibt es verschiedene Möglichkeiten, da sie sich über unterschiedliche Zugänge anmelden.
Verfügbarkeit CIAM braucht einen Cloud-Service mit hoher Redundanz. Denn wenn Kunden der Zugang auf die Dienste nicht möglich ist oder Online-Portale ausfallen, verliert das Unternehmen Umsatz. IAM-Systeme sollten ebenfalls in die Cloud verlagert werden. Wenn jedoch ein Mitarbeiter nicht auf die Dienste zugreifen kann, schadet dies nur dem Unternehmen.
Flexibilität Use Cases von Endkunden sind vielfältiger und erfordern daher je nach Szenario mehr Flexibilität. Denn Kunden können von jedem Gerät aus auf einen Dienst zugreifen und sie haben individuelle Anmeldemöglichkeiten, zum Beispiel mit Benutzername und Passwort oder Profile von Social Media. Diese müssen möglicherweise im Hintergrund verknüpft werden, damit die Nutzer auf einen zentralen Zugang zugreifen können. Mitarbeiter nutzen im Idealfall ein oder zwei firmeneigene Geräte oder zugelassene private Geräte. Sie authentifizieren sich grundsätzlich auf die immer gleiche Weise.


IT-Sicherheit statt User Experience

Während 33 Prozent der befragten Marketingmitarbeiter eine einheitliche Kundenanmeldung für mehrere Dienste als Teil der CIAM-Strategie betrachten, ist dies in den IT-Abteilungen nur bei 21 Prozent der Fall. In den Führungsebenen sehen nur elf Prozent diesen Teil der Customer Journey als Teil von CIAM. Dem gegenüber nennen 69 Prozent der befragten Unternehmen IT-Infrastrukturen und IT-Sicherheit als Kriterien ihrer CIAM-Strategie.

Den Studienautoren zufolge dominieren unter den Aspekten von CIAM solche, die auch bei einer IAM-Strategie relevant sind. Dazu gehören Authentifizierung, Registrierung, Compliance, Datenschutz und Risiko-Management.

Anforderungen, die sich speziell auf Kundenbindung, Customer Journey, einheitliche Erfahrung für alle Marken, einheitlichen Zugang für den Kunden zur Nutzung mehrerer Dienste und auf Marketing-Automation beziehen, werden nur von 29 Prozent der IT-Entscheider genannt.

Daraus schließen die Autoren, dass die Mehrheit der befragten Unternehmen versucht, von ihrer bestehenden IAM-Strategie aus, CIAM umzusetzen. Die IAM-Strategie obliegt in vielen Unternehmen aber dem IT-Bereich und ist oft kein Thema, mit dem sich Fachbereiche wie das Marketing befassen. Damit die Kundenaspekte in der CIAM-Strategie eine stärkere Rolle spielen, erscheint es deshalb sinnvoll, weitere Bereiche neben dem IT-Bereich einzubeziehen.

Sorgen bei der Umsetzung von CIAM

Insgesamt haben 45 Prozent der Befragten die Sorge, zu wenig Knowhow im Unternehmen zur Umsetzung einer CIAM-Strategie zu haben. Bedenken, zu viele veraltete Anwendungen im Einsatz zu haben, haben 42 Prozent. Und eine unzureichende IT-Sicherheit bei der Umsetzung von CIAM fürchten 41 Prozent.

Während 51 Prozent der CIOs, Technik-Vorstände und CISOs das Knowhow im Unternehmen als zu gering ansehen, wenn es um die Umsetzung von CIAM geht, sinken diese Bedenken in der Geschäftsführung sogar auf elf Prozent.

Der Fachbereich Marketing nennt den Knowhow-Mangel überhaupt nicht als Problem bei der Umsetzung von CIAM. Diese Mitarbeiter sorgen sich zu 67 Prozent um die IT-Sicherheit und um das Fehlen kundenzentrierter digitaler Services. Jeder dritte Befragte aus dem Marketing hat zudem Bedenken wegen eines zu knappen Budgets.

Bemerkenswert ist laut den Studienautoren, dass niemand der Marketing-Fachleute an dem Nutzen von CIAM zweifelt. Unter den IT-Verantwortlichen sind es immerhin 23 Prozent und in der Geschäftsführung 17 Prozent.

Bedenkt man aber, dass es der IT-Bereich ist, der in den meisten Fällen für die CIAM-Strategie verantwortlich zeichnet, sollte der befürchtete Knowhow-Mangel zu denken geben. Auch hier erscheint es empfehlenswert, Fachbereiche wie das Marketing einzubeziehen, da dort kein Mangel an notwendigem Fachwissen beklagt wird.

Empfehlung für die CIAM-Strategie

Die starke Gewichtung der IT und der IT-Sicherheit als Entscheider in der CIAM-Strategie kann den Autoren zufolge dazu führen, dass CIAM-Projekte aus einem bestehenden IAM-Projekt begonnen werden, da bei IAM die IT stark involviert ist. Marketing und Vertrieb sind bislang weniger präsent in den CIAM-Entscheidungen, was dazu führen kann, dass neue Funktionen für die Customer Experience in den CIAM-Strategien zu kurz kommen.

Die Empfehlung von Auth0 lautet deshalb, der IT-Abteilung und der IT-Sicherheit weiterhin eine hohe Relevanz zu verleihen, aber bei CIAM-Projekten stärker die Entwicklungsabteilung und die Fachbereiche Vertrieb und Marketing in die Entscheidungsrolle zu bringen. Dadurch können Unternehmen gewährleisten, dass moderne Authentifizierungsverfahren, die sich die Kunden wünschen, in der CIAM-Strategie besser berücksichtigt werden.

„Endkunden haben heute beim Anmeldeprozess den Anspruch, dass sie schnell bekommen was sie wollen, und das sicher“, fasst Switala zusammen. „Sie brauchen einen einfachen und sicheren Zugang zu digitalen Diensten, ohne ellenlange Formulare, die sie erst ausfüllen müssen und ohne Bedenken hinsichtlich ihrer Daten. Die digitale Identität sollte für Verbraucher unsichtbar sein. Außerdem muss das Identity Management im Hintergrund mit dafür sorgen, dass zwischen Anbieter und Endkunde Vertrauen aufgebaut wird und der Kunde seinen Kauf reibungslos durchführen kann.“

(ID:47782998)