Identitäts- und Zugriffsmanagement beinhaltet immer die Verarbeitung von personenbezogenen Daten. Denn es müssen mindestens eine E-Mail-Adresse und ein Passwort, bzw. im Fall von passwortlosen Logins ein Magic Link oder Fingerabdruck übermittelt und mit gespeicherten Daten abgeglichen werden. Weitere Daten, wie z.B. eine Telefonnummer oder sogar biometrische Daten, werden oft benötigt, wenn eine Zwei-Faktor-Authentifizierung oder eine biometrische Identifizierung ins Spiel kommt. Darüber hinaus sind die Zugangsdaten der Schlüssel zu allen anderen Daten, auf die der Nutzer Zugriff hat. Wenn das Identitäts- und Zugriffsmanagementsystem auf irgendeine Weise kompromittiert wird, können Identitäten gestohlen oder wertvolle Daten preisgegeben werden.
IAM muss daher immer den Datenschutzanforderungen entsprechen, insbesondere der DSGVO. Wie kann dies erreicht werden?
Jedes Unternehmen hat die Wahl, einen eigenen IAM-Dienst intern zu entwickeln oder ihn an einen Dritten auszulagern. Beide Fälle werden im Folgenden bewertet.
Selbstgemachtes IAM und seine Fallstricke
Die Entwicklung einer eigenen Lösung für das Identitäts- und Zugriffsmanagement kann einfach sein, wenn Sie nur eine einfache Anmeldefunktion benötigen. Spätere Anforderungen an zusätzliche Funktionen wie Single-Sign-On, Enterprise Login, Social Login, passwortlose Authentifizierung, Biometrie, Zwei-Faktor-Authentifizierung usw. können die Komplexität jedoch dramatisch erhöhen.
Außerdem wird es bei einer selbst entwickelten IAM-Lösung schwierig, die Datenschutzanforderungen einzuhalten, sobald das System eine bestimmte Größe überschreitet. Denn die IAM-Lösung muss nicht nur unter Berücksichtigung der Datenschutzanforderungen entwickelt werden. Sie muss auch immer auf dem neuesten Stand der Technik gehalten werden. Gleichzeitig muss die Lösung skaliert, in ihrer Funktionalität erweitert und auf verschiedenen Domänen betrieben werden. Dies ist oft wirtschaftlich nicht machbar. Weitere Komplexität entsteht, wenn die Aufgabe von einer IT-Abteilung übernommen werden muss, die eigentlich auf andere Anwendungen spezialisiert ist.
Dies hat zur Folge, dass eine einmal entwickelte Lösung oft stagniert und über Jahre hinweg nicht aktualisiert wird. Die Verwendung veralteter Software, die nicht den aktuellen Anforderungen entspricht, ist jedoch an sich schon ein Verstoß gegen den Datenschutz. Die Datenschutzbehörden haben in ähnlichen Fällen bereits Bußgelder verhängt. Schlimmer noch, im Falle einer Datenpanne kann dies leicht dazu führen, dass Geschäftsführer und Manager haftbar gemacht werden.
Je nach Anzahl der verwalteten Benutzer und der Sensibilität der Daten muss eine IAM-Lösung auch im Betrieb überwacht und kontrolliert werden. Regelmäßige Penetrationstests können erforderlich sein. In vielen Fällen sind auch Zertifizierungen notwendig, es müssen umfangreiche Dokumentationspflichten erfüllt werden und die Einhaltung muss in Datenschutz-Audits nachgewiesen werden.
Outsourcing des Identitäts- und Zugriffsmanagements
Eine gute Lösung für diese Probleme ist die Auslagerung des IAM an ein spezialisiertes Platform as a Service (PaaS)-Unternehmen. Diese cloudbasierten Unternehmen sind mit gängigen Standards wie OpenID Connect vertraut, verfügen über skalierbare Lösungen und entwickeln diese ständig weiter.
Herausforderungen beim IAM-Outsourcing mit US-Lösungen
Allerdings lauern auch hier datenschutzrechtliche Fallstricke. Denn fast alle relevanten IAM-Anbieter haben ihren Sitz in den USA. Werden Daten an diese Unternehmen übermittelt, handelt es sich um eine Datenübermittlung in ein Drittland, da die DSGVO in den USA nicht gilt.
In der Vergangenheit waren solche Übertragungen umständlich und kompliziert, weil Standardvertragsklauseln (SCC) als Übertragungsinstrument verwendet werden mussten. Die Situation hat sich mit dem Angemessenheitsbeschluss der EU-Kommission zum Besseren gewendet, der Übertragungen ermöglicht, ohne dass jeder Fall einzeln geprüft werden muss.
Dies gilt jedoch nur, wenn der Empfänger der Daten tatsächlich nach dem EU-US-Data Privacy Framework (DPF) zertifiziert ist, was nicht immer der Fall ist. Außerdem wurde das EU-US-DPF noch nicht vor Gericht getestet. Dies ist wichtig, weil der Europäische Gerichtshof zwei frühere Übermittlungsmechanismen, die dem jetzigen sehr ähnlich waren, für ungültig erklärt hat. Es ist also keineswegs sicher, dass das EU-US-DPF uns dauerhaft als Transfermechanismus zur Verfügung stehen wird.
Darüber hinaus lässt der Transfermechanismus US-Gesetze wie den Patriot Act und den Cloud Act unberührt. Diese zwingen IAM-Anbieter, Daten, auch die von europäischen Kunden, auf Anfrage an US-Behörden und Geheimdienste zu übergeben. Leider gilt dies auch dann, wenn die Daten auf europäischen Servern gespeichert sind. Daher sind europäische Server allein keine DSGVO-konforme Lösung. Aus diesem Grund werden Datenübertragungen in die USA für Unternehmen, die sensible Daten verarbeiten, weiterhin ein Problem darstellen.
Teil-Outsourcing bei Nutzung eines Europäischen IAM-Providers
Oft hat das Outsourcing viele Vorteile gegenüber dem internen IAM. Da es jedoch nicht allzu viele relevante DSGVO-konforme Anbieter gibt, kann ein teilweises Outsourcing in Betracht gezogen werden. Beim teilweisen Outsourcing wird eine Open-Source-Lösung eines Drittanbieters verwendet und auf den eigenen Servern des Unternehmens implementiert. Trotz der Konformität müssen die Herausforderungen, die mit der Eigenleistung verbunden sind, bei richtiger Handhabung berücksichtigt werden.
Eine europäische IAM-Lösung ist notwendig (und wir haben eine)!
Zusammenfassend lässt sich sagen, dass die einzige praktikable Lösung darin besteht, einen europäischen Anbieter für die IAM-Lösung zu wählen. Auf diese Weise werden die Vorteile des Outsourcings an einen Cloud-basierten oder Cloud-nativen Lösungsanbieter mit der Datenverarbeitung in der Europäischen Union kombiniert. So wird die Einhaltung der DSGVO erreicht.
Darüber hinaus können Unternehmen, die eine IAM-Lösung benötigen, sicher sein, dass die Daten ihrer Benutzer angemessen geschützt sind und die Datenverarbeitung mit den geltenden Gesetzen übereinstimmt. Außerdem müssen sie keine spezialisierten Experten einstellen, um eine adäquate DIY-IAM-Lösung aufzubauen und zu pflegen.
Wir meinen: das ist eine wünschenswerte Situation.
Hinweis: Dieser Beitrag wurde erstmals im April 2022 veröffentlicht und zuletzt im März 2024 aktualisiert und korrigiert.