Kennzeichen (S)icherheit: Externalisierung von Identitäten für ein erfolgreiches Cloud Computing

Know-how  –  Kommentare

Kennzeichen S(icherheit)

In der "Kennzeichen S(icherheit)"-Kolumne setzen sich die Analysten des Unternehmens KuppingerCole mit Themen wie Identity- und Access Management sowie IT-Governance aus Softwareentwicklungsperspektive auseinander. Es geht vor allem um die Frage, wie man Sicherheit für Anwendungen standardisieren und externalisieren kann, um Sicherheit und Nachvollziehbarkeit bei optimiertem Entwicklungsaufwand zu erreichen.

Viel wird über Vertrauen und Sicherheit in der Cloud geredet. Vor allem darüber, was alles nicht geht und was noch fehlt. Cloud-Service-Anbieter sollen ihre Prozesse offen legen, sich zertifizieren lassen, Verschlüsselung einsetzen und immer mehr Verantwortung für die Sicherheit der Daten ihrer Kunden übernehmen. Es gibt allerdings etwas, das ihnen die Verantwortung nimmt und dennoch für mehr Sicherheit sorgt: das Auslagern des Benutzermanagements.

Ein eigenes Identitätsmanagement führt zunehmend zu Problemen: Komplexe Berechtigungskonzepte, Nachvollziehbarkeit und die Verwaltung von Identitäten über den gesamten Lebenszyklus hinweg
stellen den Diensteanbieter vor große Aufwände. Das Risiko, dabei Fehler zu machen, ist nicht unbeträchtlich. Softwareentwickler schätzen den Aufwand, Benutzer und Berechtigungen korrekt umzusetzen, auf einen Großteil des Gesamtaufwands, obgleich die Identitäten für die Wertsteigerung des Cloud-Service oft gar keine Rolle spielen.

Gleichzeitig entsteht mehr Unsicherheit auf Kundenseite des Diensteanbieters, denn der Anwender kann sich bei der explodierenden Zahl von Benutzernamen, Passwörtern und weiteren Informationen für die Authentifizierung nicht davor schützen, Fehler zu machen, Passwörter aufzuschreiben oder gleiche Passwörter für unterschiedliche Dienste zu wählen. Zudem sind viele Prozesse zur "Unterstützung" des Anwenders bei vergessenen Passwörtern schlicht eine Katastrophe: Das Passwort wird per E-Mail an den Anwender gesendet.

Für alle Beteiligten ist es einfacher und sicherer, wenn Cloud-Services Identitäten externalisieren, also diese nicht mehr selbst verwalten, sondern auf andere Identitätsmanagementsysteme zurückgreifen. Die Standards sind da, verbreitete ID-Systeme auch, man könnte sogar den elektronischen Personalausweis verwenden.

Zudem gibt es keinen guten Grund, weiterhin Benutzer zu verwalten. Im heutigen Cloud-Umfeld gilt das Argument des unabhängigen Betriebs nicht mehr, denn dann müsste man auch auf andere, gerne verwendete Online-Dienste verzichten – und sei es nur den Zeitserver. Die Verwaltung der Benutzer für Marketing-Zwecke ist ebenfalls kein Grund, denn die externen Identitäten sind ja bekannt.

Die Notwendigkeit, Benutzer selbst zu verwalten, ist für Cloud-Service-Anbieter nicht mehr von Belang. Also: Raus mit den Usern! (ane)

Sachar Paulus
ist Senior Analyst bei Kuppinger Cole, einem auf IAM, GRC, Cloud Computing und verwandten Themen spezialisierten Analystenunternehmen.

Die Kolumne bisher
  1. Anwendungsentwicklung und Sicherheit
  2. An Ausbildung führt kein Weg vorbei
  3. Fünf Gründe für die Externalisierung der Sicherheit
  4. "Cloud-readiness" – Auswirkungen für Softwareentwickler
  5. U-Prove – Microsofts Technik für Datensicherheit
  6. Trends von der European Identity Conference
  7. Braucht es eine andere Softwareentwicklung für sichere Cloud-Anwendungen?
  8. Security bei der Entwicklung für die Cloud
  9. Über den effizienten LDAP-Einsatz
  10. Externalisierte Sicherheit – richtig gemacht
  11. Türöffner für die sichere Cloud