Shadow ID und ihre Gefahren

Gerhard Zehethofer · May 12, 2021
media:acquia_dam_asset:5e58b540-acb2-4230-9f2c-d5ced9e2ece5

Jeder, der etwas mit Sicherheit zu tun hat, kennt den Begriff „Shadow IT“ nur allzu gut. Sie steht für Situationen, in denen Benutzer in praktisch allen Abteilungen eines Unternehmens ohne Genehmigung der Unternehmens-IT auf Anwendungen und Dienste zugreifen. Die Consumerization der IT und der Komfort der Cloud hat Shadow IT zu einem erheblichen Risiko für Unternehmen werden lassen, weil es hier an Transparenz und Kontrolle mangelt.

Heute, da COVID buchstäblich zum Katapult für die digitale Transformation überall auf der Welt geworden ist, stehen Unternehmen vor einer weiteren Sicherheits- und Datenschutzherausforderung, die sowohl das Kundenerlebnis untergräbt als auch den Geschäftserfolg behindert: wir sprechen von Shadow Identity oder „Shadow ID“.

Was ist Shadow ID?

Bei der Erstellung und Bereitstellung neuer digitaler Dienste für ihre Kunden können Geschäftsbereiche innerhalb eines Unternehmens unbeabsichtigt Identitätssilos aufsetzen. In vielen Organisationen besteht ein fragmentierter Identitätsansatz aus alten, selbst entwickelten und handelsüblichen Lösungen. Die teilweise verrückte Anzahl von Anwendungen, die man hier zu beherrschen versucht, verursachen das, was wir als Shadow-ID bezeichnen.

Das Endergebnis ist, dass ein einzelner Kunde, der sich bei einem Unternehmen für verschiedene digitale Dienste anmeldet, tatsächlich mehrere Identitätssätze haben kann. Jedes Mal, wenn ein innovativer digitaler Dienst für Benutzer bereitgestellt wird, kann ein weiteres Identitätssilo entstehen. Warum ist das ein Problem?

Die Benutzererfahrung leidet stark. Betrachten wir dieses einfache Szenario: Ein großes Finanzinstitut bietet eine Reihe von Diensten an – von Geldautomaten über Bankkarten und Online-Banking-Portale bis hin zu Hypothekendarlehen und mehr – und verlangt von den Kunden, für jedes dieser Szenarien separate Anmeldungen zu erstellen. Jede Abteilung dieser Bank speichert diese Kundenidentitätsdaten für sich, in „seiner Abteilung“. Wenn Kunden dann ihre Filiale anrufen, um eine Frage zu beantworten, gibt es niemanden, der die Kundeninformationen auf einen Blick hat oder abrufen kann und der frustrierte Kunde wird von einer Person zur nächsten weiterverbunden, bevor er Antworten auf seine Fragen erhält. Das Endergebnis ist ein Kunde, der mit jedem weiteren Gespräch oder Weiterschieben des Problems verärgerter wird.

In einem solchen Szenario sind natürlich auch Cross-Selling-Möglichkeiten begrenzt. Ohne eine einheitliche Sicht auf den Kunden ist es schwierig, aussagekräftige Marketinganalysen durchzuführen. Und ohne zuverlässige Analysen wird es Organisationen schwerfallen, Cross-Selling-Services für ihre bestehenden Kunden bereitzustellen und Personalisierungen für Online-Anwendungen und -Dienste bereitzustellen. Shadow ID kann also das Geschäftswachstum behindern und Unternehmen gegenüber denjenigen Wettbewerbern benachteiligen, die über eine einheitliche Identitätsarchitektur verfügen und damit ein besseres und durchgängigeres Kundenerlebnis bieten.

Beispiel für die Architektur eines Versicherers, mit der er ein durchgängiges Kundenerlebnis bieten kann und seine Kunden in den Mittelpunkt stellt
Beispiel für die Architektur eines Versicherers, mit der er ein durchgängiges Kundenerlebnis bieten kann und seine Kunden in den Mittelpunkt stellt

Beispiel für die Architektur eines Versicherers, mit der er ein durchgängiges Kundenerlebnis bieten kann und seine Kunden in den Mittelpunkt stellt Darüber hinaus erhöht Shadow Identity das Sicherheitsrisiko für Unternehmen. Identitätssilos führen aufgrund unterschiedlicher Kennwortstärke- und Rücksetzrichtlinien und einiger Dienste, die eine Multi-Faktor-Authentifizierung erfordern, von Natur aus zu einer inkonsistenten Sicherheitslage. Da sich Sicherheits- und Identitätsstandards weiterentwickeln (Beispiele: HTTP / 2, gegenseitiges TLS und neuere Kryptoalgorithmen), ist es nahezu unmöglich, unterschiedliche Identitätssilos gleichzeitig konsistent zu aktualisieren, was das Unternehmen einem höheren Risiko aussetzt.

Identitätssilos verursachen Datenschutz- und Compliance-Probleme. Fragmentierte Identitätssilos machen es zunehmend schwieriger, mit den sich ständig ändernden Vorschriften von Regierung und Industrie Schritt zu halten. Die EU-Datenschutzgrundverordnung (DSGVO), die strenge Vorschriften für die Nutzung und Weitergabe von Daten von Privatkunden enthält, ist ein hervorragendes Beispiel dafür. Ohne einen einheitlichen Blick auf alle Datenpunkte der Kundenidentität wird die Einhaltung der DSGVO äußerst schwierig, wenn nicht unmöglich. Wenn sich ein Kunde gegen einen Service entscheidet, wird die Verwaltung dieses Prozesses über mehrere Silos hinweg zu einer äußerst schmerzhaften und zeitaufwändigen Aufgabe.