Berlin,
02
November
2017
|
14:08
Europe/Amsterdam

Social Login sicher und gewinnbringend im IAM nutzen

Die Registrierung via Facebook und Co. wird heutzutage immer gebräuchlicher. Richtig genutzt, können Unternehmen auch im Identity- und Access Management enorm vom Social Login profitieren.

Es werden weltweit jeden Tag mehr Online-Account-Informationen erstellt und gespeichert. Der durchschnittliche Benutzer hat heute bereits über 100 registrierte Accounts, die mit einer E-Mail-Adresse verknüpft sind. Die Art und Weise, wie sich der Trend weiterentwickelt, zeigt, dass die Benutzerrate um ca. 14% weiterwächst. Dies bedeutet, dass sich die Zahl der registrierten Accounts in den nächsten fünf Jahren nochmals verdoppelt. 2020 wird jeder Benutzer durchschnittlich über 200 Online-Accounts haben. Sind wir als Nutzer bereit, uns über 200 Login-Kombinationen zu merken? (http://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought.)

"Der durchschnittliche Benutzer hat heute bereits über 100 registrierte Accounts, die mit einer E-Mail-Adresse verknüpft sind."
__________________________

Es gehört mittlerweile zum Standard, sich mittels eines sogenannten Social Logins oder auch Social Sign-Ins auf verschiedenen Plattformen einzuloggen. Der Social Login erleichtert Nutzern den Registrierungsprozess in einen geschützten Bereich. Über den Social Login können Webseitenbetreiber einen Nutzer authentifizieren bzw. eindeutig zuordnen. Viele Social-Media-Tools bieten die Registrierung über einen Social Login an und treten damit als unabhängige und vertrauenswürdige Identity Provider auf. Social Logins werden immer häufiger genutzt, um sich an Webseiten, Portalen, Shops etc. zu authentifizieren.

Außer Frage steht, dass Unternehmen vom Einsatz der durch Social Logins erhobenen Daten enorm profitieren können. Wer „Social Data“ effizient nutzt, hat nicht nur mehr, sondern auch bessere Informationen über Nutzer. Ebenso steigt die Wahrscheinlichkeit, dass ein Nutzer durch den schnelleren und einfacheren Einstieg zum Käufer wird. Zusätzlich müssen sich Unternehmen nicht um die Identitäten von Nutzern kümmern, sondern können die aktuellen Daten von den Identity Providern beziehen. Doch weshalb soll ein Unternehmen Social Login ermöglichen?

  • Einfacheres Verwalten von Passwörtern erleichtert und beschleunigt den Zugang der Nutzer
  • Social Logins haben sich in der Zwischenzeit im Markt etabliert, zusätzlich kann jedes Unternehmen darüber bestimmen, welche Social Logins als vertrauenswürdig eingestuft und akzeptiert werden.
  • Die Daten welche die Kunden durch das Social Login preisgeben können direkt ins CRM einfliessen und entsprechend verarbeitet werden.
  • Es kann eine Personalisierung des Einkaufserlebnisses auf allen Kanälen erfolgen.

 

"Unternehmen müssen sich nicht um die Identitäten von Nutzern kümmern"
__________________________

Problematisch ist, dass die Vorteile durch Social Login vor allem beim Unternehmen liegen. Es kann wertvolle Kundendaten nutzen, um die Werbung noch gezielter zu platzieren. Zusätzlich profitiert der Internetprovider, da auch er mehr und mehr Daten zu seinen Benutzern sammeln kann und diese auch für sein eigenes Vorankommen nutzen kann. Hier wird früher oder später der Datenschutz aktiv. Um den Einsatz der Single Sign-On-Technologie (insbesondere mit Beteiligung Dritter) aus Sicht des Datenschutzes und der IT-Sicherheit abzusichern, sollten u.a. die folgenden Punkte beachtet werden:
 

1. Rechtsgrundlage

Der SSO-Anbieter bzw. Webseitenbetreiber dürfen personenbezogene Daten, die über den Zweck der Authentifizierungsdaten hinausgehen, nicht erheben und verarbeiten. Zwar dürfen gemäß 14 TMG Bestandsdaten für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses genutzt werden. Übermitteln die Webseiten-Betreiber / SSO-Anbieter darüber hinaus weitere Daten bzw. Informationen, so müsste der Nutzer in diesen Austausch und die Weiterverarbeitung einwilligen. In diesem Fall muss der Nutzer datenschutzkonform informiert werden.

2. Erforderlichkeit

Daten sollen nicht willkürlich übermittelt und gesammelt werden. Nur diejenigen Daten sollen erhoben und verarbeitet werden, die für die Nutzung des Dienstes erforderlich sind.

3. Nutzerprofile

Entstehen bei den SSO-Beteiligten Nutzerprofile, da z.B. das Surfverhalten der Nutzer innerhalb eines Single Sign-on-Systems verfolgt wird, so muss dies pseudonymisiert erfolgen und dürfen diese Daten nur mit einer Einwilligung der Nutzer zusammengeführt werden.

4. Passwort-Sicherheit

Selbstverständlich sollte auch bei der Single Sign-On Lösung eine systemseitige Passwort-Sicherheit implementiert sein, so dass nur sichere Passwörter verwendet werden können. Um eine Brute Force Attacke zu verhindern, sollte auch eine beschränkte Anzahl an Fehlversuchen bei der Eingabe des Passwortes möglich sein.

5. Verschlüsselung

Passwörter müssen verschlüsselt über das Netz übertragen und auch gespeichert werden.

6. Mehr-Faktor-Authentisierung

Je nach dem Schutzbedarf der Daten sollte der Zugriff nicht nur mittels eines Passworts sondern auch zusätzlich mit einem weiteren Authentisierungsmerkmal erfolgen. Auch wenn die Aufsichtsbehörden bisher zurückhaltend agieren, ist es ratsam, sich als Unternehmen sicher aufzustellen. Unternehmen, die auf Facebook Connect setzen, sollten daher folgende Checkliste beachten:

  • Hinweis zu Facebook Connect in eigene Datenschutzerklärung aufnehmen;
  • gesonderter Hinweis beim Login, welche Daten konkret ausgetauscht werden und welche Informationen Facebook durch den Login erhält;
  • Bestätigung (Opt-In), dass alle Hinweise zur Kenntnis genommen wurden.

 

 

"Wer „Social Data“ effizient nutzt, hat nicht nur mehr, sondern auch bessere Informationen über Nutzer."
__________________________

Bringt uns die künftige Situation in ein Dilemma? Auf der einen Seite müssen wir uns damit beschäftigen, dass immer mehr Nutzer mit immer mehr Geräten ins Internet gehen und auf Inhalte zugreifen und auch einkaufen wollen. Auf der anderen Seite müssen wir aber auch sicherstellen, dass jeder einzelne geschützt ist und immer noch Herr seiner Identität bleibt.
Schlüssel zur Lösung dieses Dilemmas ist ein klares Konzept und eine eindeutige Strategie. Dabei sollen beispielhaft folgende Fragen beantwortet werden:

  • Was genau will und muss ich anbieten?
  • Was genau will ich zur Verfügung stellen?
  • Mit wem will und darf ich zusammenarbeiten?
  • Wie möchte ich mit wem zusammenarbeiten?
  • Welcher rechtliche Rahmen ist einzuhalten?
  • Was darf ich wie behalten?
  • Was will ich damit machen?
  • Warum muss ich das tun?

Selbstverständlich sind diese Fragen nicht abschließend, es zeigt aber dennoch auf, wie komplex das Thema ist und dass es sauber durchdacht werden muss. Ein ganz zentraler Punkt ist, dass hierfür in erster Linie nicht die IT, sondern die Fachabteilungen wie Marketing oder Customer Relations involviert sein müssen, um in Zusammenarbeit mit der internen IT eine praktikable Lösung umsetzen.

Es empfiehlt sich, generell mehrere Lösungsansätze zu prüfen und anschließend passende Standard-Lösungen einzusetzen. Da in Standard-Lösungen heute bereits umfassende Funktionalitäten integriert sind und nicht alles kundenspezifisch entwickelt werden muss, verringern sich auch die Support- sowie künftige Migrations-/Updatekosten deutlich. Darüber hinaus wird auch die Einführung einer entsprechenden Lösung stark beschleunigt.

 

Über den Autor: 

Arne Vodegel

Sales Manager Germany, IPG-Gruppe Winterthur, Konstanz, Berlin, Wien

Arne Vodegel, betreut seit 2016 als Sales Manager die Kunden im ganzen DACH-Raum. Er verfügt über umfangreiche und mehrjährige Erfahrungen aus verschiedenen Tätigkeiten als Produkt- und Salesmanager bei IAM-Herstellern. Dabei lag der Schwerpunkt in den letzten fünf Jahre ausschließlich auf Identity und Access Management. Hier gehörten neben der Konzeptionierung auch die Realisierung einzelner Projekte insbesondere innerhalb komplexer IT-Umgebungen zu seinen Tätigkeiten. Zu seinen persönlichen Stärken zählen die kompetente Beratung sowie aktives Informations- und Vorschlagswesen.

 

IPG Gruppe

Die IPG-Gruppe ist auf die Konzeption, Integration, den Betrieb und die Ausbildung von IAM-Lösungen spezialisiert. Das Unternehmen, gegründet 2001 in Winterthur, bietet inzwischen auch in den Niederlassungen in Deutschland und Österreich Lösungen für den umfassenden Schutz von Benutzerdaten sowie Zugriffs- und Zutrittsrechten. Zu den Kunden zählen Unternehmen aller Branchen wie auch Organisationen der öffentlichen Verwaltung. IPG ist bevorzugter Partner für bedeutende Software-Hersteller in der Schweiz, Deutschland und Österreich und beschäftigt über 60 Mitarbeitende.

https://www.ipg-group.com/de/

 

Die Leaders Contact-Konferenz "Inside Identity & Access Management" findet vom 21. - 22. November 2017 auf Schloss Bensberg bei Köln statt. Zahlreiche namhafte Unternehmen des DACH-Raumes präsentieren hier in aktuellen Case Studies Erfahrungen aus ihrer betrieblichen Praxis rund um die Themen IAM-Risiken durch Automatisierungsfortschritt, Standard-Prozessveränderungen, Blockchain-basiertes Identity Management, unberechtigte Zugriffsmöglichkeiten durch Schatten-IT, Role Mining und Collaboration Services.

 

Leaders Contact

Leaders Contact ist ein anbieterneutraler Veranstalter für Wirtschaftskonferenzen.

Wir bieten Ihnen unabhängigen Wirtschaftsplattformen und beleuchten die neuesten Trends und Entwicklungen aus Kunden. sowie Anbietersicht. Der fachliche Austausch zu brandaktuellen Themen steht dabei für uns an oberster Stelle. So bieten wir Ihnen direkte Anregungen für Ihre tägliche Arbeit verbunden mit konkreten Lösungsansätzen, damit Sie Ihre zukünftigen Herausforderungen mit Bravur meistern. Unser maßgeschneidertes Format soll dabei die Bedürfnisse der teilnehmenden Führungskräfte und Projektleiter im Kern treffen. Basis unseres Erfolges sind engagierte Mitarbeiter mit langjähriger Erfahrung im Veranstaltungsgeschäft mit exzellenten Kontakten in die verschiedenen Branchen und Marktsegmente.