Auch im neuen Jahr, davon ist auszugehen, werden Identity und Access Management (IAM)-Systeme für die Gesamtsicherheit von IT-Systemen weiter an Bedeutung gewinnen. Seit Jahren schon gelten kompromittierte Zugangsdaten als größte Schwachstelle von IT-Sicherheitsarchitekturen; als zentrales Einfallstor der Cyberkriminellen: Nutzername-Passwort-Kombinationen.
Lange schon wird Unternehmen deshalb geraten, auf passwortlose Authentifizierungsverfahren umzusteigen. Auch deren Endkunden haben mittlerweile begriffen, welche Gefahren ihnen mit traditionellen Authentifizierungsverfahren drohen. Die große Ping Identity Endverbraucherbefragung vom vergangenen Jahr hat klar gezeigt: Online-Kunden wollen mehr Nutzerfreundlichkeit, Sicherheit und Datenschutz bei der Authentifizierung und Autorisierung ihrer User-Accounts. Und: sie sind willens und fähig, ihren Online-Anbieter zu wechseln, falls ein Konkurrent ihnen hier eine nutzerfreundlichere und sicherere – eine passwortlose – Authentifizierungsalternative bietet. Wollen Online-Dienstleister weiterhin erfolgreich sein, werden sie reagieren müssen. Mit einer möglichst weitgehenden Abkehr von wissensbasierten Authentifizierungsfaktoren.
Dass dies gelingen kann, haben Branchengrößen wie Google und Apple im vergangenen Jahr gezeigt – mit der Einführung passwortloser Passkey-Technologie als neuem Authentifizierungsstandard. Schon bald werden ihnen die ersten Online-Dienstleister folgen. Auch in Deutschland. Für das neue Jahr ist deshalb mit einem erheblichen Rückgang der Nutzername-Passwort-Verfahren zu rechnen.
Ein weiterer Grund für den Bedeutungsgewinn von IAM– und CIAM-Systemen im neuen Jahr: Cyberkriminelle werden noch stärker auf Künstliche Intelligenz (KI) zur Erbeutung von Nutzeridentitäten und Zugangsdaten setzen. KI ermöglicht es Cyberkriminellen, ihre Angriffe kostengünstig zu individualisieren und zu automatisieren – und damit ihre Chance auf einen erfolgreichen Angriff wesentlich zu erhöhen. Mittels Deepfake-Technologien lassen sich mittlerweile immer realistischere Angriffsszenarien kreieren, um Opfer zu täuschen und zu manipulieren. Die Zahl erfolgreich erbeuteter und dann missbrauchter Zugangsdaten, davon ist auszugehen, wird deshalb wesentlich steigen; sofern Unternehmen nicht gezielt mit KI-gestützten Identitätsmissbrauchs-Lösungen gegensteuern.
Glücklicherweise ist die Entwicklung von KI-Technologien zur sicherheitstechnischen Unterstützung von IAM- und CIAM-Systemen schon relativ weit vorangeschritten. KI-gestützte Identity Threat Detection and Response (ITDR)-Lösungen beispielsweise, können die Nutzung kompromittierter Zugangsdaten durch einen unberechtigten Nutzer anhand verdächtiger Verhaltensweisen und Attributen des Angreifers automatisiert erkennen und abbrechen oder Alarm schlagen.
„Verify more, trust less“, davon ist auszugehen, wird deshalb für das Management digitaler Nutzer- und Kundenidentitäten 2024 zum neuen Leitspruch werden. Immer umfassender werden IAM- und CIAM-Systeme in die IT-Sicherheitsarchitekturen von Unternehmen integriert werden können – so, dass sie die User- beziehungsweise Customer-Jouneys der Anwender voll und ganz abdecken werden. Von der Anmeldung, über den Login und sämtliche Nutzungsprozesse, bis hin zum abschließenden Logout. Die Überwachungsprozesse werden dabei, dank der raschen Entwicklung der KI-Technologien, immer stärker automatisiert ablaufen können – und IT-Sicherheitsteams mehr und mehr von repetitiven Arbeitsprozessen befreien. So werden Online-Dienstleister ihre identitätsbezogenen Cybersicherheitsrisiken auch im Jahr 2024 erfolgreich im Griff behalten können.