Über die neuen Authentifizierungs-Technologien OpenID und CardSpace wurde in diesem Blog bereits mehrfach berichtet (OpenID, CardSpace). Seiten, welche OpenID einsetzen gibt es bereits eine ganze Menge.  Das auch für sicherheitskritischere Anwendungsgebiete geeignete CardSpace ist bisher jedoch noch längst nicht in diesem Maß vertreten und konnte bisher eher bei experimentierfreudigen Unternehmen, wie z.B. beim 3D-Katalog von , Fuß fassen. Dabei sei angemerkt, dass Microsoft CardSpace nicht als Konkurrenz zu anderen Authenfizierungs-Technologien sieht und diese ablösen will, sondern aus den Erfahrungen mit Passport gelernt hat und nun die Vision eines Identity Meta Systems kommuniziert. Und um zu beweisen, dass CardSpace funktioniert, stellt Microsoft nun für Hotmail und alle anderen MSN/Windows Live-Seiten ein CardSpace-Login zur Verfügung.

Sie kennen das: Ihr Kollege Martin Meier benötigt kurz vor Feierabend noch schnell ein Dokument von Ihnen. Ok, also schnell Outlook geöffnet und das vertrauliche Dokument per Mail versandt, Klick und weg… Zu schnell leider, denn in ihrem Adressbuch befindet sich auch ein Martin Maier mit "AI", welcher nicht in Ihrem Unternehmen arbeitet.
Da Ihre Klickgeschwindigkeit die Review-Geschwindigkeit Ihrer Augen leider um ein Vielfaches übertraf, geht das vertrauliche Dokument nun an den Falschen. Was, wenn dieser die Informationen missbraucht? Wer haftet für den entstandenen Schaden? 

Im Rahmen einer kleinen Studie zum Thema Anonymität und Privacy im Internet die doubleSlash durchgeführt hat, haben wir über einen Zeitraum von drei Monaten täglich die Spam-Mails dokumentiert.

laura.slash@produktmanagerin.de

Wir haben eine fiktive Person Laura Slash erfunden und im Netz agieren lassen.
Bei sämtlichen wichtigen Web 2.0 Diensten haben wir sie angemeldet, wie zum Beispiel Xing, Technorati oder Flickr. Sie bekam eine eigene E-Mail Adresse und einen Blog.

Dokumentiert wurde, was für eine Art von Spam Laura Slash bekommt, wieviel pro Tag und es wurde beobachtet, ob sich die Spams vermehren, umso aktiver Laura Slash im Internet wird.

Haben Sie auch schon nur mal so zum Spass Ihren Namen in eine Suchmaschine eingegeben? Was haben Sie herausgefunden?
Kann man Informationen über Sie im globalen Netz finden?

Die fiktive Identität Laura

Diesen Fragen sind wir bei doubleSlash im prakmatischen Selbstversuch nachgegangen und haben anhand einer fiktiven Person eine kleine Studie durchgeführt. Wir haben eine virtuelle Identität Die Produktmanagerin erschaffen, die den Namen Laura Slash erhielt, einen Lebenslauf, Bilder, Charakter, Arbeitskollegen und sogar eine eigene E-Mail Adresse kreiert.

Die strategischen Fragen zum Identity Management wiederholen sich in unseren Projekten regelmäßig. Aus diesem Grund habe ich im Themenbereich einen Artikel verfasst, der für strategisch denkende IT´ler die 10 wichtigsten Fragen beantwortet:

1. Wann ist Identity Management notwendig?
2. Welches Risiko haben wir heute?
3. Wie weit sind die Anderen?
4. Können wir es nicht einfach auf uns zukommen lassen?
5. Was macht IAM-Projekte anders?
6. Was sind die häufigsten Fehler bei der Einführung von IAM?
7. Welche Ziele können wir durch IAM erreichen?
8. Was ist die konstengünstigste Vorgehensweise?
9. Wer unterstützt den IT-Leiter?
10. Was kann doubleSlash tun?

Wie lange dauerte es zuletzt bis der neue Mitarbeiter einen Zugang bzw. Login zu seinen IT-Systemen erhalten hat? Warum dauerte diese so lange und wie kann man diese Zeit verkürzen? Wie kann man diesen Prozess optimieren?
Mit diesen Fragen beschäftigt sich ein ganz spezieller Teilprozess des Identity Managements: Das “On-Boarding” oder “der Mitarbeitereintritt”.

Bei vielen Unternehmen gleich: Der On-Boarding Prozess

Da bei vielen Firmen dieser Ablauf sehr ähnlich ist, haben wir im Rahmen unserer Initiative GenericIAM diesen wichtigen Prozess allgemeingültig (generisch) modelliert und mit den  Microsoft Visio Shapes für ereignisgesteuerte Prozessketten (EPK) visualisiert.

In fast jedem Softwareprojekt wird diskutiert wie man mit den späteren Nutzern, also den Identitäten der Softwareanwendung umgehen will. Wer bekommt welche Rechte, wie authentifiziert er sich und wie bekommt er seinen Login. Zum tausendsten mal werden Lösungen skizziert, aufgeschrieben und wieder verworfen.

Da man genau dieses Rad der Softwareentwicklung nicht ständig neu erfinden muss, geistert seit einiger Zeit der Begriff “Identity as a Service” oder auch -wie ich es in meiner früheren Markteinteilung nannte- “Service Based Idenity” umher. Beides adressiert die grundsätzliche Idee, die Verwaltung der Benutzer so selbstverständlich wie Strom aus der Steckdose zu beziehen. Man möchte das Identity Management als grundlegende Basis für die Softwareanwendungen betrachten und sich eher den fachlichen Aufgabenstellungen widmen.

Social Media oder auch Social Software sind diesen Sommer ein großes Thema. Insbesondere amerikanische Blogs überschlagen sich derzeit mit Analysen und Spekulationen, wobei meist ein Unternehmen im Fokus steht: Facebook. Die erst im Jahr 2004 gegründete Plattform, die zunächst nur als Netzwerk für Studenten der Harvard University aufgesetzt wurde, hat extrem schnell eine hohe Akzeptanz gefunden, so dass sie sukzessive für immer weitere Benutzerkreise geöffnet wurde und mittlerweile für jedermann zugänglich ist.

Für weitere Schlagzeilen sorgte Facebook, als dessen Gründer, Mark Zuckerberg, im Mai diesen Jahres bekannt gab, dass man Schnittstellen für externe Entwickler schaffen würde. Als erste Social Platform weltweit hat Facebook damit die Möglichkeit geschaffen, Anwendungen von  externen Anbietern auf das Profil eines Nutzers einzubinden. Damit soll der Gebrauchswert für die Nutzer gesteigert und deren tägliche Verweildauer erhöht werden. Ohne Zweifel geht diese Rechnung auf, wie die unaufhaltsam weiter steigenden Mitgliederzahlen zeigen.

Dick Hardt ist so etwas wie der Popstar der Web 2.0 Szene. Unter Anderem ist der Kanadier durch seine kreative und sehr unterhaltsame Präsentationen zum Thema Online Identitäten bekannt geworden. Auf der ersten European Identity Conference im Mai und zuletzt auf der Next Web Conference zeigte er seine 804 (!!!) absolut sehenswerte Slides in ca. 30 Minuten.  Als ich Dick Hardt neulich danach gefragt habe wie er denn auf die Ideen für die Präsentationen kommt, antwortete er trocken: “Das Leben bringt die Stories und ich schreibe sie einfach auf“. So einfach ist das also.

Matthias Fischer ist unser Experte für Identity & Access Management. Dank seiner sehr breiten Branchenkenntnis entwickelt er für unsere Kunden optimale Sicherheitslösungen. Zuletzt erstellte er eine allgemeingültige Referenzarchitektur für Federated Identity-Lösungen.

1. Wann lohnt sich Identity & Access Management (IAM) für ein Unternehmen?
   Der Nutzen muss klar erkennbar sein. Dies hängt davon ab, wieviel noch manuell erledigt und wie stark sich Daten der Benutzer verändern. Sicherheitsprobleme und gesetzliche Vorgaben müssen meist nur größere Unternehmen erfüllen. Für mittelständische Unternehmen lohnt es sich z.B. ihren Kundenservice mit IAM zu verbessern.