Admiral Nelson, die Identity und das Internet der Dinge

Am 21. Oktober 1805 hat sich die Welt verändert. In der Schlacht von Trafalgar setzte der britische Admiral Horatio Nelson eine neue Strategie der Seekriegsführung um. Anstatt sich in einer Schusslinie gegenüber dem Feind aufzustellen, befahl er seiner Flotte, direkt in die feindlichen Linien zu segeln. Das resultierende Chaos führte dazu, dass sich die Seeleute nicht mehr auf ihren Standort verlassen konnten, um Freund und Feind auseinanderzuhalten. Stattdessen entwickelte Nelson ein neues Verständnis von Identität: Die Legende besagt, dass er seine Schiffe in einem einzigartigen Muster bemalen ließ, sodass die Identität jedes Schiffes offensichtlich war. So konnte seine gesamte Flotte – jedes einzelne Schiff und jeder Segler – unmittelbar und unabhängig agieren, um den Sieg zu erringen. Mit diesem Wissen zog er mit nur einer einzigen Gefechtsordnung in den Krieg: „Es wird erwartet, dass jeder Einzelne seine Pflicht tut.“ Die britische Marine gewann einen entscheidenden Sieg, und die Seekriegsführung würde nie wieder dieselbe sein. Die Unternehmen von heute befinden sich an einem ähnlichen Wendepunkt: Das Aufkommen des Internets der Dinge verändert die Unternehmenslandschaft. Eine Schätzung geht davon aus, dass in den nächsten drei Jahren mehr als 50 Milliarden Geräte mit dem Internet verbunden sein werden, und die Unternehmen versuchen, diese neuen Möglichkeiten zu nutzen: Gartner schätzt, dass bis zum nächsten Jahr über 73 % der Unternehmen eine IoT-Initiative haben werden. Diese Initiativen werden eine Flut von Geräten, Agenten und Programmen hervorbringen, die verlockende Angriffsziele für böswillige Akteure darstellen. Noch wichtiger ist, dass 85 % der IoT-Initiativen erwarten, dass ihr Identity-Programm sie unterstützen wird. Das Internet der Dinge kommt, und es wird erwartet, dass die Identity-Programme es managen werden. Wie können wir, genau wie Nelson, das Potenzial von Identity nutzbar machen? Wie können wir die Geräte nahtlos in ein bestehendes Identity Governance-Programm integrieren und sie dadurch gleichzeitig produktiv und sicher machen? Wie können wir eine einzige Gefechtsordnung erteilen: „Es wird erwartet, dass jede identitätsfähige Einheit ihre Pflicht tut?“ Unser Verständnis von Identity muss erweitert werden, um diese neue Menge von Objekten, die durch das Internet der Dinge hervorgebracht werden, einzubeziehen. Zuerst müssen wir die gesamte Palette von Geräten, Agenten und Programmen untersuchen, um festzustellen, wo sie in das IoT-Spektrum fallen und wie hoch ihr Gefährdungspotenzial ist. Die entsprechende Gefährdungsstufe kann dann zusammen mit der erforderlichen Governance festgelegt werden. Durch die Anwendung gut verstandener bestehender Identity-Modelle (z. B. für Vertragspartner oder Mitarbeiter), ggf. mit leichten Modifikationen, können wir die Identity Governance auf diese neue Klasse von Akteuren ausweiten und das Internet der Dinge in die Identität der Dinge („Identity of Things“) verwandeln. Das Spektrum des Internets der Dinge und bestehende Identity-Modelle Das Internet der Dinge ist ein vielfältiger Verbund von Geräten, Agenten und Programmen – und es ist hilfreich, diese Sammlung als ein kontinuierlich wechselndes Spektrum zu betrachten. Am unteren Ende des Spektrums befinden sich passive Geräte, die mit dem Netzwerk verbunden sind, aber wenig Autonomie haben. Ein gutes Beispiel für dieses Ende des Spektrums ist eine Überwachungskamera. Passive Geräte erfordern keine Identität, sondern einen Zugriffsschutz und einen regelmäßigen Wechsel der Zugriffsdaten, die den Zugriff auf die Geräte ermöglichen, ähnlich wie beim Privileged-Account-Management. Weiter oben im Spektrum stehen dann unabhängige Agenten. Dies sind oft Programme oder „Bots“, die bestimmte Aufgaben für die Organisation übernehmen. Die Roboter-Prozessautomatisierung (RPA) fällt direkt in diesen Zonenbereich. Agenten haben Zugriff zu Ressourcen und können eine Änderung bewirken, aber diese Aktivitäten sind eingeschränkt. Ein Kundenservice-Bot, der auf Fragen zum Bestellstatus antwortet, könnte ein relevantes Beispiel für diesen mittleren Teil des Spektrums sein. Dieser erweiterte Zugriff und die Fähigkeit, Maßnahmen einzuleiten, bedeuten, dass Governance erforderlich ist und somit eine Identity zugewiesen werden muss. Da dieser Zugriff und diese Kontrolle jedoch begrenzt sind, können diese „Bots“ wie Vertragspartner behandelt werden, deren Zugriff und Kontrolle zeitlich begrenzt und eingeschränkt ist. Am oberen Ende des Spektrums stehen ausgeklügelte, auf künstlicher Intelligenz basierende Programme. Die Zugriffsbeschränkungen sind minimal, und diese Programme sind in der Lage, Aktionen je nach Bedarf aufzurufen. Das unbegrenzte Potenzial der KI erobert die Fantasie, ebenso wie ihre Gefahren (wie ein ganzes Genre von Filmen deutlich gemacht hat). Es liegt auf der Hand, dass diese Akteure höherer Ordnung eine umfassende Governance benötigen und daher wie vollwertige Mitarbeiter einer Organisation behandelt werden sollten. Alle Instanzen im Internet der Dinge fallen irgendwo in dieses Spektrum. Eine Aufwärtsbewegung entlang des Kontinuums – von passiven Agenten über unabhängige Agenten bis hin zu künstlicher Intelligenz – führt zu einem verbesserten Ressourcenzugang und der Fähigkeit, Veränderungen in der Umwelt herbeizuführen. Dies signalisiert dem Unternehmen eine entsprechende Erhöhung des Risikos. Zudem steigt die Wahrscheinlichkeit, dass eine Identity zugewiesen werden sollte – eine Identität, die nach gut verstandenen Modellen gesteuert werden muss, um dieses erhöhte Risiko zu minimieren. Das Potenzial von Identity und das Internet der Dinge Das Internet der Dinge verändert die Art und Weise, wie Unternehmen diese neuen Geräte, Bots und KI betreiben und regulieren, und es bedarf einer Neubewertung von Identitäten. Wie zu Nelsons Zeiten ist eine Strategieentwicklung – eine, die das Internet der Dinge identitätsfähig macht – entscheidend für den Erfolg. Eine solche Strategie demonstriert das Potenzial von Identität, Unternehmen in die Lage zu versetzen, diese neue Technologie zu nutzen und vom damit einhergehenden Wandel zu profitieren. Organisationen, die diese Strategie anwenden, können dann, wie Nelson, eine einheitliche Gefechtsordnung erteilen: „Es wird erwartet, dass jede identitätsfähige Einheit ihre Pflicht tut.“


Discussion