Auch wenn das Metaversum noch mehr Vision als Realität ist, steht ein riesiges Wachstumspotenzial dahinter. Damit Unternehmen bei dieser Entwicklung mitwirken können oder dran teilhaben, gibt es wie immer einige Sicherheitsrisiken zu bedenken. Gerade die Einsatzmöglichkeit und Nutzung digitaler Identitäten stehen hier im Zeichen der Veränderung.
Wie Führungskräfte eine zukunftssichere Identitätsstrategie auf die Beine stellen, erklärt Martin Kuhlmann, VP Global Presales bei Omada.
Der Grund für den Hype um das „Metaversum“ liegt sicherlich vor allem in der Emotionalität rund um die Themen „Virtual Reality“ und „Augmented Reality“. Wie auch immer die damit verbundenen Vorstellungen letztlich Realität werden, kennzeichnet die „Metaversum“-Diskussion den klaren weiteren Trend, dass die Art und Weise, wie wir mit anderen interagieren, sich verändert, und dass unser individueller digitaler Fußabdruck sich vergrößert.
Prognosen zufolge wird das „Metaversum“ in seinen unterschiedlichen Facetten bis zum Jahr 2030 ein Marktvolumen von über 1,6 Billionen US-Dollar erreichen – viele Unternehmen wollen an dieser Entwicklung mitwirken.
Dies wird auch weitere Auswirkungen auf die Nutzung digitaler Identitäten haben. Es wird viel über die Auswirkungen auf die digitale Identität und das Konzept, dem Einzelnen mehr Eigenverantwortung in Form einer universellen digitalen Identität zu geben, diskutiert.
Während sich die meisten Diskussionen über das „Metaversum“ und digitale Identitäten auf die Business-to-Consumer-Seite konzentrieren, müssen sich Unternehmen auch darüber im Klaren sein, wie sich das Metaversum auf ihre Strategie in Bezug auf digitale Identitäten von Mitarbeitern, Auftragnehmern und Geschäftspartnern auswirken wird.
Die Situation entwickelt sich rasant und erfordert ein umfassendes Identitätsmanagement-Programm, um potenzielle Datensicherheitsprobleme zu lösen.
Digitale Identitäten erweitern
Verbraucher legen ständig neue digitale Identitäten an und verwenden zahlreiche Login-Informationen. Auch wenn die Verbreitung von Identitätsdaten technisch kein Problem ist, weil die gängigen Standards entsprechende Funktionen wie zum Beispiel „Consent Management“ bieten, erheben und sammeln Unternehmen in der Praxis alle möglichen Daten über ihre Nutzer.
Unternehmen erstellen und pflegen in der Regel eigene Identitäten für ihre Mitarbeiter und nach wie vor oft auch für ihre Geschäftspartner. Teilweise vertrauen sie Dritten, wie etwa bei der Nutzung von Gästekonten in Microsoft Entra ID (früher Azure AD) im Rahmen der B2B-Zusammenarbeit, oder bei föderierten Ansätzen im Rahmen von landesweit einheitlichen „Edu-IDs“ für Studenten in einigen Ländern.
Jedoch müssen viele Unternehmen ihre Governance-Strategie noch an die Tatsache anpassen, dass insbesondere die Anzahl der externen Identitäten steigt.
In der Vision vom „Metaversum“ verläuft der Wechsel zwischen digitalen Plattformen viel nahtloser als heute. Das erfordert eine bessere Portabilität von Identitäten und Authentifizierungen, wie von der Analystenfirma Gartner in ihrer Beschreibung der „Identity Trust Fabric“ (ITF) dargelegt. Für den Einzelnen wird es eine Herausforderung sein, seinen „digitalen Zwilling“ und die damit verbundenen Informationen zu kontrollieren und zu schützen.
Für Unternehmen stellt sich hier die Frage nach dem geeigneten Governance-Konzept:
- In welchem Maße und unter welchen Bedingungen werden „universelle“ oder externe Identitäten als vertrauenswürdig eingestuft?
- Wie weit vertraut ein Unternehmen Dritten, zum Beispiel Identity Providern, personenbezogene Informationen vertraulich zu halten, und wie kann das ggf. sichergestellt werden?
- Welche Governance-Aspekte für Identitäten müssen innerhalb einer Organisation für die Verwaltung von Identitäten neu überdacht werden? Dazu gehören die Risiken, die durch „externe“ Authentifizierung entstehen, Risiken durch Informationen, die Dritten zugänglich sind, und Risiken bezogen auf Zugriffsrechte innerhalb der Organisation.
- Wie kann ein Gesamtrisikoprofil für eine Identität erstellt und gepflegt werden und worin bestehen mögliche Datenschutzkonflikte?
Wenn Unternehmen ihren Mitarbeitern erlauben, in hohem Maße Plattformen von Drittanbietern zu nutzen, muss sichergestellt werden, dass der Austausch von Nutzerdaten - oder die Möglichkeit, das Nutzerverhalten zu verfolgen - nicht gegen den Datenschutz verstößt oder vertrauliche Unternehmensinformationen preisgegeben werden.
Identitätsstrategie solide und langfristig anlegen
Heutzutage steht die Identität im Mittelpunkt der Sicherheitsstrategie vieler Unternehmen - und das aus gutem Grund. Die von der Identity Defined Security Alliance durchgeführte Studie 2022 Trends in Securing Digital Identities zeigt, dass 79 Prozent der Befragten in den letzten zwei Jahren mit Sicherheitsvorfällen konfrontiert waren, bei denen digitale Identitäten eine Rolle spielten.
Der Imageschaden und die finanziellen Folgen solcher Vorfälle können hoch sein. Der Studie zufolge gaben 78 Prozent der Befragten, die einen identitätsbezogenen Sicherheitsvorfall erlebt haben, an, dass dieser eine direkte Auswirkung auf das Unternehmen hatte.
Um die Sicherheit zu gewährleisten und Vorschriften einzuhalten, benötigen Unternehmen vollständige Transparenz darüber, wer auf ihre Anwendungen, Infrastruktur und Daten zugreift. Informationen über Identitäten müssen zuverlässig und korrekt sein. Es muss klar sein, wer warum und wann Zugriff benötigt und wie dieser genutzt wird. Dies sind die wesentlichen Komponenten einer Strategie für Identity Governance und Administration von Zugriffsrechten (IGA).
Mit der steigenden Anzahl von Identitäten und deren Nutzung wird Identity Governance zukünftig noch wichtiger werden. Unternehmen müssen in der Lage sein, nachzuweisen, dass jede Identität innerhalb der Organisation nur über die notwendigen Zugriffsrechte verfügt und dass der Zugriff gesichert ist - ohne die normalen Geschäftsaktivitäten zu beeinträchtigen. IGA stellt sicher, dass Personen immer den richtigen Zugang haben, den sie benötigen: Zur richtigen Zeit, aus den richtigen Gründen und nur so lange, wie sie ihn benötigen.
Identity Governance zukunftssicher gestalten
Viele Unternehmen haben immer noch keine richtige IGA-Strategie - und selbst wenn sie eine Strategie haben, ist es wichtig, diese zukunftsfähig zu gestalten. Teil dieser Strategie ist eine Automatisierung der Goverance-Aktivitäten.
Ein integrierter IGA-Ansatz für unternehmensinterne und B2B-Aktivitäten ist die Grundlage, um auf Entwicklungen wie das Metaversum und ein „Identity Trust Fabric“ reagieren zu können. Dazu braucht man dann auch die entsprechenden Werkzeuge, um Identitäten aus den verschiedenen Quellen im Griff zu behalten. Wenn sich neue Trust-Architekturen herausbilden, sollten man darauf vorbereitet sein.
Ein konkretes Beispiel für Identity Governance ist die Durchführung von Rezertifizierungen, also die regelmäßige Überprüfung der Zugriffsrechte in Systemen. Viele Unternehmen sind aus Gründen der Compliance und des Sicherheitsrisikomanagements bereits dazu verpflichtet. Aber auch neue Fragen müssen geklärt werden.
Unternehmen müssen festlegen, wie sicher sie eine Identität einschätzen, wie vertrauenswürdig die von Dritten erhaltenen Identitätsinformationen sind, und inwieweit das „digitale Verhalten“ der Identität den Sicherheitsbedürfnissen des Unternehmens entspricht - ohne die Freiheit des Einzelnen zu beeinträchtigen.
Blick in die Zukunft
Das Metaversum eröffnet spannende Möglichkeiten für Unternehmen und stellt gleichzeitig eine Herausforderung für Sicherheit und Identitätsverwaltung dar. Das Identitätsmanagement wird immer komplexer, je mehr digitale Identitäten für unterschiedlichste Zwecke genutzt werden. Dadurch können Unternehmenswerte gefährdet werden.
Identitätsmanager benötigen eine umfassende Strategie, um sicherzustellen, dass alle Personen und Geräte, die Zugang zum Netzwerk benötigen, die sind, für die sie sich ausgeben. Wer die genannten Herausforderungen und Risiken im Blick hat, ist gut aufgestellt für eine zukunftssichere Identitätsstrategie, die sich mit dem Metaversum gemeinsam entwickelt.