Independent Competence Platform
for Integrated Security in Switzerland.

29.06.2018
by: Arne Vodegel und Peter Weierich - IPG AG

C-IAM: Die Kunst Widersprüchliches zu balancieren

Bei IAM-Projekten für Kundenportale bzw. kundenorientierten Prozesse (C-IAM) geht es um weit mehr als nur die Einführung neuer Technologien. Denn zunächst prallen unterschiedliche Paradigmen aufeinander:

  • Marketing-getriebene Aktionen sind oft ad hoc und haben einen Vorlauf von wenigen Wochen (maxi- mal) – klassische IAM-Programme brauchen eher Monate bis Jahre.
  • C-IAM-Projekte adressieren oft eine sehr große, potenziell unbekannte User-Community von bis zu vielen Millionen Menschen während klassische IdM-Projekte einen sehr stark kontrollierten und viel kleineren Kreis von Personen adressieren.
  • Bei C-IAM steht Umsatzgenerierung im Vordergrund, klassisches IAM ist security und compliance getrieben.

Wichtig: Ein großes Ziel vor Augen haben
Daher ist es sehr wichtig, vor der ersten Implementierung eine Vision zu entwickeln, welche User Journeys zukünftig abgebildet werden sollen. Denn „Schnellschüsse“, die nur auf eine Einzelanforderung hin umgesetzt werden, bergen hohe Risiken:

  • Technologische Sackgassen: Technologien, die sich bei großen „Consumer“-Portalen sehr bewährt haben tun sich oft schwer, komplexe Kundenbeziehungen (Vertriebsnetze und -partner, B2B etc.) abzubilden.
  • Schaffung neuer Datensilos: Eine ad hoc Lösung generiert häufig einen weiteren Datenfriedhof und lässt sich nachträglich nur schwer in Bestands-Systeme integrieren.

Das Finden dieser globalen Vision sollte schlank sein. Dies sollte nicht als Gegenstand eines monatelangen Findungsprozesses, sondern als Startpunkt einer Reise des Dazulernens verstanden werden. Das kann gelingen, wenn die richtigen Stakeholder mitwirken, die vertraut sind mit den Zielen und den Eigenheiten des Unternehmens. Zugleich ist es wichtig, sich die Rückendeckung Geschäftsleitung einzuholen, da bei der Umsetzung sehr viele Disziplinen eingebunden sein müssen.

Die Vision kann unterschiedliche Aspekte beinhalten:

  • Geht es nur um Consumer, oder auch um komplexe Kundenbeziehungen (B2B)?
  • Sollen Filial- bzw. Händlerstrukturen abgebildet werden?
  • Sollen relevante Dienstleister bzw. Supportstrukturen berücksichtigt werden?
  • Soll es eine global gültige User/Kunden-Id geben über alle Länder und Geschäftseinheiten hinweg?
  • Welche geplanten Geschäftsentwicklungen sollen berücksichtigt werden: Digitalisierung, Internet of Things etc.?
  • Cloud-Strategie?

Sollte es ein derartiges „big picture“ noch nicht geben, kann es trotzdem für die IT hilfreich sein, schon eine grobe Bewertung von Technologiealternativen „in der Schublade“ zu haben, um auf ungeduldige Marketing- Anfragen gut vorbereitet zu sein.

Strategie: Eine globale Kundenidentität?
Oft liegen Kundendaten heute in verschiedenen Datensilos: In einem oder mehreren CRM-Systemen, in einem oder mehreren Shop-Systemen, im Helpdesksystem bzw. in der CMDB für Geräte beim Kunden etc.. Daher haben etliche Unternehmen den Weg eingeschlagen, eine global und lebenslang gültige Kundenidentität zu bilden, die in möglichst vielen Systemen verwendet wird.

Dieses Vorgehen bietet viele Vorteile:

  • „360° Blick auf den Kunden“: Für jeden Kunden ist umfassend bekannt, welche Beziehungen er zum Unternehmen hat, welche Interessen und Bedürfnisse.
  • DSGVO-Prozesse werden besser unterstützt: Das Unternehmen ist viel leichter auskunftsfähig, welche Daten es von einer Person gespeichert hat und wo diese gespeichert sind. Folglich wird das Löschen von Daten einfacher.
  • Dem Kunden kann einfacher ein Single Logon oder Single Sign-On auf alle Unternehmsdienste bereitgestellt werden.
  • Die Datenqualität wird verbessert: Korrekturen bzw. Aktualisierungen werden einfacher in alle Systeme übertragbar.

Allerdings gibt es auch Nachteile bzw. Grenzen der Zulässigkeit:

  • Es bedarf eines komplexen Zustimmungsmanagements im Sinn der Datenschutzgrundverordnung: Welcher Nutzung der Daten hat der Kunde explizit zugestimmt?
  • Wie werden die immer weitergehenden Verpflichtungen zur lokalen Datenhaltung (auch Russland, China, ...) berücksichtigt?
  • Was passiert, wenn ein Kunde nur die Daten für einen einzelnen Geschäftsbereich löschen lassen will?
  • Was passiert mit den Daten bei einem Carve-out von Unternehmensteilen?
  • Altlasten: Was passiert mit historisch gewachsenen Systemstrukturen, die sich nur mit hohem Aufwand in ein globales Paradigma integrieren lassen?

Es geht um Beziehungen
Die gute Nachricht ist: Während das klassische Enterprise-IAM vor der Herausforderung steht, immer komplexere Rollenmodelle im Unternehmen zu unterstützen, benötigen C-IAM-Systeme nur eine überschaubare Anzahl an Geschäftsrollen. Die weniger gute Nachricht ist: Dafür müssen C-IAM-Systeme potenziell viel kom- plexere Beziehungsmodelle abbilden:

  • Mit Endkunden (Consumer)
  • Mit Geschäftskunden, die wiederum eine komplexe Struktur haben können
  • Mit Händlern / Wiederverkäufern / Agenturen / Maklern
  • Mit Geschäftspartnern (Integratoren, Support, ...)
  • Zwischen Händlern bzw. Maklern und Kunden
  • Zwischen Geschäftspartnern und Kunden
  • ...

Dann stellt sich schnell die Frage: Was ist das „Führende System“ für diese Beziehungsvielfalt: Soll bzw. kann diese Aufgabe eines der folgenden Systeme übernehmen:

  • Das C-IAM selbst
  • Das oder die CRM-Systeme
  • Andere Masterdaten-Systeme

Schnell starten, das grosse Ziel im Blick
Ein allumfassendes C-IAM top-down zu planen und dann umzusetzen: Dieser Versuch ist in der Regel zum Scheitern verurteilt, da dieser Prozess zu lange dauert, zu viele Randbedingungen ignoriert und regelmäßig von neuen Anforderungen bzw. Geschäftsentwicklungen überholt wird. Daher empfehlen wir zunächst eine grobe Zielvision zu entwickeln und diese von der Geschäftsleitung genehmigen zu lassen. Der Weg dorthin muss dann als Lern- und Wachstumsprozesse angelegt werden.

Eine Technologieevaluation und -auswahl muss sich an dieser Vision ausrichten bevor die ersten Pilotprojekte umgesetzt werden, die direkt vom Business getrieben sind. Entscheidend für die Pilotprojekte ist: der Scope muss konsequent begrenzt werden. Nicht alle Wunschzettel sind harte Requirements. Alle „nice to have“ Features müssen konsequent auf den Stapel der Anforderungen für „Phase 2+“ gelegt werden. Manchmal gehört auch der Mut dazu, bestehende Altlasten-Systeme auszublenden bzw. auf deren absehbares Ende im Anwendungs-Lebenszyklus zu warten.

Wie unterstützt IPG?
Als Experte für IAM unterstützen wir Sie gerne in der strategischen Planung, der Umsetzung und dem Betrieb von effektiven und effizienten Lösungen rund um die Verwaltung von Identitäten und Zugriffen zum Schutz Ihrer digitalen Infrastrukturen. Daran schliesst sich die die Analyse des Marktes an – welches Tool, welche Lösung passt am besten zur Strategie. Gemeinsam mit der IPG und ihren erfahrenen Engineers wird diese dann implementiert und auf Wunsch im Betrieb unterstützt.
IPG AG auf Security-Finder Schweiz


Security-Finder Schweiz: Newsletter