ForgeRock zur Zukunft des Identitätsmanagements

Von Ralf Keuper 

In einem Interview äußerte sich der CEO von ForgeRock, Fran Rosch, vor wenigen Tagen zur Zukunft des Identitätsmanagements[1]AI is the key to fixing identity security, ForgeRock CEO says.

Bei ForgeRock wird dem Thema Zero Trust ein hoher Stellenwert eingeräumt. Viele Leute denken, dass Sicherheit bedeutet: “Hey, ich stehe morgens auf, melde mich an, werde authentifiziert und gehe meiner Arbeit nach.” Das sei jedoch kein Nullvertrauen. Das ist “einmaliges” Vertrauen. Ich vertraue Ihnen einmal und Sie bekommen alles, was Sie brauchen. ForgeRock will seine Kunden in die Lage versetzen, eine kontinuierliche Risikobewertung für mich als Benutzer vorzunehmen – während meiner gesamten Reise, während meines gesamten Tages, wenn ich versuche, auf neue Anwendungen zuzugreifen. ForgeRock gibt seinen Kunden die Möglichkeit, die Identität der Benutzer  ständig zu bewerten und somit das Risiko einzuschätzen.

Zero-Trust beruht u.a. auf der Regel des “unmöglichen Reisenden”. Wenn sich zum Beispiel ein Nutzer in Kalifornien anmeldet und eine Stunde später in New York, kann er nicht dieselbe Person sein. Also ist eine verstärkte Authentifizierung nötig. Es gibt weitere Regeln, wie die, wenn der Nutzer zu bestimmten Zeiten am Tag an einem anderen Gerät ist.

ForgeRock habe Algorithmen, um die Verhaltensmuster zu erkennen, die Individuen mit der Zeit entwickeln. Und nicht nur das bestimmte Individuum, sondern auch Menschen in der gleichen Funktion. Das gesamte Unternehmen hat Verhaltensmuster. Die Algorithmen sind so weit entwickelt, dass die Applikation jedes Mal, wenn ein Nutzer versucht, auf einen anderen neuen Dienst oder eine neue Anwendung des Unternehmens zuzugreifen, sagen kann: “Hey, sieht das immer noch wie dieselbe Person aus?” Wenn ja, kann die Person weitermachen. Wenn aber rote Fähnchen erscheinen, bedeutet das: “Moment, stoppen wir.”

Es geht jedoch nicht um Schwarz oder Weiß, sondern auch um Grauzonen. Vielleicht will man den Benutzer weiterhin zulassen. Der Benutzer kann z.B. weiterhin auf Salesforce zugreifen, aber vielleicht deaktiviert man die Möglichkeit, Daten zu exportieren, bis ein höheres Maß an Vertrauen erreicht wurde. Das Einzigartige an ForgeRock sei, dass man Regeln und KI in einer effektiven Zero-Trust-Lösung kombiniere.

Ein Beispiel aus der Praxis. Einer Kunden von ForgeRock ist ein großes Maklerunternehmen mit etwa 15.000 Mitarbeitern. Diese Mitarbeiter greifen auf etwa 2.000 Anwendungen zu. Daraus ergibt sich ein Netz von Millionen von Berechtigungsanfragen – denn man muss wissen, welcher Mitarbeiter auf welche Anwendung zugreift. Das Unternehmen nutzt einen Regelprozess, bei dem, wenn jemand Zugang zu einer Anwendung beantragt – zum Beispiel, wenn ein neuer Mitarbeiter sagt, er wolle Zugang zum HR-System erhalten -, man sich den Job dieser Person ansieht und sagt: “Ist es plausibel, basierend auf einer vorgegebenen Jobbeschreibung? Basierend auf einer Regel?”

Um zu sehen, was die Mitarbeiter tun und worauf sie wirklich Zugriff haben, hat ForgeRock eine grafische Ansicht entwickelt, um Ausreißer zu erkennen: “Warum hat diese Person Zugang zu diesem und zu jenem?” Als das besagte Unternehmen die Algorithmen anwandte, stieg die Zahl der abgelehnten Anträge um 300 %. Da zuvor alles nach diesen Regeln ablief und die Mitarbeiter diese Anträge absegneten, wurden Dinge genehmigt, die sie niemals hätten genehmigen dürfen. Und das erhöhte das Risiko für das Unternehmen. Denn diese Informationen wurden an Personen weitergegeben, die eigentlich keinen Zugriff auf Personaldaten oder Verkaufsdaten haben dürften. Durch den Einsatz von KI konnte die Ablehnung von Anfragen um 300 % gesteigert werden, was die Sicherheit des Unternehmens deutlich erhöhte.

Ein weiterer wichtiger Punkt ist Automatisierung. Bei ForgeRock ist man der Ansicht, dass es sich um einen automatisierten Vorgang handeln muss und nicht um einen manuellen – das bedeutet, dass ein Unternehmen auf diese Weise skalieren und damit umgehen kann. Bei Zugangsanfragen ist das nicht anders. Als Teil von Zero Trust muss dies automatisch geschehen. Die Entscheidungen werden innerhalb von Millisekunden getroffen, ohne dass die Produktivität des Unternehmens dadurch beeinträchtigt wird. Zero Trust ist ein Begriff, der viele verschiedene Bedeutungen von vielen verschiedenen Leuten bekommen hat. Bei ForgeRock ist man der Meinung, dass es bei Zero Trust darum geht, eine Identitätslösung mit einer Netzwerklösung und einer Endpunktlösung zu kombinieren – ForgeRock ist Teil einer Zero-Trust-Lösung, nicht eigenständig. Allerdings ist das, was man im Bereich Identität macht, absolut automatisiert und skalierbar für die Anforderungen der größten Unternehmen, auf die ForgeRock sich konzentriert.

Zu den Mitbewerbern: ForgeRock verfolgt einen anderen Marktansatz als viele andere Mitbewerber im Bereich der Identitäten. Zunächst einmal habe die FrogeRock – Plattform die größte Funktionsabdeckung. Wenn man an das Identitätserlebnis denkt, geht es um Identitätsmanagement, Identitätslebenszyklus, Onboarding neuer Benutzer, Bereitstellung ihres Zugangs, Einrichtung ihrer Konten und ihrer Datenschutzeinstellungen. Wenn diese Benutzer dann eine Minute, eine Stunde oder ein Jahr später wiederkommen, muss die Applikation sie wiedererkennen. Es geht darum, den Benutzer einzubinden, ihn zu erkennen und ihm dann Zugang zu gewähren.

ForgeRock sei das einzige Unternehmen, das alle Funktionen in einer einzigen Plattform zusammenfasst. Die meisten Mitbewerber bieten eigentlich nur Identitäts- und Zugriffsmanagement an. Sie verfügen nicht über die Governance-Komponente. Für viele Unternehmen sei es sehr wichtig, eine einzige Plattform für die Verwaltung aller Identitäten zu haben. Dann geht es um Skalierung und Integration in komplexe hybride Umgebungen. Ein weiteres Unterscheidungsmerkmal ist, dass ForgeRock KI in den gesamten Identitätsprozess einbettet, was die Kunden sehr schätzen. Denn sie wollen nicht mehrere Einzellösungen für den gesamten Identitätsprozess zusammenschustern.

ForgeRock betrachtet – Netzwerk, Endpunkt und Identität – als drei Vektoren, auf die man eine Zero-Trust-Mentalität anwenden kann.

Die intelligentesten Unternehmen setzen nicht nur bei der Identitätsentscheidung auf Nullvertrauen, sondern können auch Informationen aus dem Netzwerk oder von den Endgeräten berücksichtigen. Es gebe so viele Informationen an all diesen verschiedenen Kontrollpunkten, dass man wirklich alle berücksichtigen muss. Man kann sie einzeln betrachten, aber man wird noch schlauer und besser, wenn man all diese Kontrollpunkte berücksichtigt.

Dieser Beitrag wurde unter Digitale Identitäten, Identitätsmanagement veröffentlicht. Setze ein Lesezeichen auf den Permalink.