Viele Unternehmen berücksichtigen bei ihrer CIAM-Strategie zu wenig die Kundensicht. Zu diesem Ergebnis kommt die Studie „(C)IAM 2022“ von IDG Research Services und Auth0, einer Produkteinheit des Unternehmens Okta. Über zentrale Ergebnisse der Studie hatten wir bereits in einem anderen Blogbeitrag berichtet. Es zeigte sich, dass der Faktor „Kundenbindung” beziehungsweise „Customer Journey” bei gerade einmal rund 29 Prozent der Befragten eine Rolle bei der CIAM-Strategie spielt. Überbetont werden dagegen technische und regulatorische Aspekte. Anforderungen, die sich speziell auf Kundenbindung, Customer Journey, einheitliche Erfahrung für alle Marken, einheitlichen Zugang für Kunden zur Nutzung mehrerer Dienste und auf Marketing-Automation beziehen, sind eher unterrepräsentiert. Auch einen einheitlichen Zugang für Kunden bei der Nutzung mehrerer Dienste berücksichtigen in ihrer CIAM-Strategie nur 22 Prozent.
Grund für die geringe Berücksichtigung der Kundensicht ist, dass die Mehrheit der befragten Unternehmen die IT als Entscheider bei der CIAM-Strategie sieht. Danach folgt die IT-Sicherheit, dann die Entwicklung und erst dann der Kundenservice.
CIAM und IAM beziehen sich auf verschiedene User-Gruppen
Wie die Wirtschaftsprüfungsgesellschaft KPGM betont, übersehen viele Unternehmen, dass sich ein Digital Identity Management auf drei unterschiedliche User-Gruppen bezieht. Daher muss es auch unterschiedliche Perspektiven einnehmen. Man unterscheidet drei voneinander abweichende Managementsysteme:
- Privileged Access Management (PAM) für privilegierte Nutzer*innen, wie etwa Administrator*innen.
- Identity Access Management (IAM) für Mitarbeitende und Dienstleister der eigenen Organisation.
- Customer Identity und Access Management (CIAM) für die Kunden der Organisation.
Das IT-Marktforschungs- und Beratungsunternehmen Gartner definiert IAM in einer recht breitgefassten Variante:
„Instanz, die den richtigen Personen zur richtigen Zeit und aus den richtigen Gründen den Zugriff auf die richtigen Ressourcen ermöglicht.“
Interne IAM-Systeme für Mitarbeitende kommen dann zum Einsatz, wenn ein Zugriff auf interne Dienste erfolgt. Und hier liegen auch ihre Anwendungsgrenzen – dann, wenn IAM zusätzlich für die Verwaltung von Kundendaten genutzt werden soll. Deutlich wird das an der Tatsache, dass IAM-Lösungen im Hinblick auf Sicherheit, weniger auf skalierbare und flexible Performance entwickelt wurden. Mit IAM lassen sich zwar Kunden authentifizieren, aber für tiefere Einblicke, wer Kunde A oder B eigentlich ist und was er tut, wenn er sich einmal in einen Dienst eingeloggt hat, ist es nicht gedacht. Berücksichtigen sollten Unternehmen außerdem, dass sich der interne Zugriff auf IAM-Systeme von den externen Zugriffen durch Endnutzer*innen unterscheidet. Diese greifen nämlich von unterschiedlichen Plattformen und Geräten darauf zu und können öfter wechselnde Zugangsdaten haben.
Unterschiede zwischen IAM und CIAM im Überblick
Trotz dieser offensichtlichen Fakten dominieren Kundendaten die Datenverarbeitung in IAM-Systemen, wie die CIAM-Studie feststellt. Selbst dann, wenn man nicht nur die Unternehmen betrachtet, die Kundenzugriffe auf ihr IAM erlauben. Gerade bei mittelgroßen Unternehmen mit 500 bis 999 Beschäftigten werden Kundendaten in den IAM-Systemen verarbeitet (75 Prozent). Das IT-Budget, das pro Jahr zur Verfügung steht, hat ebenfalls einen gewissen Einfluss darauf, wie verbreitet die Verarbeitung von Kundendaten in IAM-Systemen ist. Auch kleinere IT-Budgets bedeuten nicht automatisch, dass Kundendaten weniger häufig im IAM verarbeitet werden, so ein weiteres Ergebnis der Studie.
Anhand folgender Kriterien lassen sich IAM und CIAM voneinander unterscheiden. Unternehmen, die eine verstärkte Sicht auf ihre Kunden haben und diese vermehrt in den Fokus rücken möchten, sollten diese Kriterien beherzigen.
| IAM | CIAM | |
| Skalierbarkeit | Skalieren von Hunderten Datenströmen von Mitarbeiter*innen | Skalieren von hohen Datenströmen; mitunter von mehreren Millionen Kunden |
| Sicherheit | Mitarbeiter*innen, die auf Dienste zugreifen, sind bekannt; verschiedene Schutz-Optionen | Kunden, die auf Dienste zugreifen, sind nicht bekannt; Datenschutz ist nur über Login gewährleistet |
| Flexibilität | Mitarbeiter*innen nutzen firmeneigene oder private Endgeräte; sie brauchen schnelle und sichere Authentifizierungsmöglichkeiten für den Zugang zu entsprechenden Anwendungen | Kunden greifen von jedem Endgerät auf Dienste zu; sie haben individuelle Anmeldeoptionen (zum Beispiel Benutzername und Passwort); diese müssen im Hintergrund verküpft werden, um den Zugriff auf einen zentralen Zugang zu gewährleisten |
Wie die Autor*innen der oben zitierten Studie betonen, sollten Unternehmen ihre Entscheidung für eine dezidierte CIAM-Strategie von konkreten Anwendungsfällen abhängig machen. Denn IAM-Systeme könnten schnell an ihre Grenzen geraten, wenn sie bisher hauptsächlich für die Mitarbeiter*innen-Authentifizierung mit fixen Anmeldevorgängen verwendet wurden.
Für das Management von digitalen Kundenidentitäten, die über multiple Zugänge und Geräte auf ein Portal zugreifen, müssten die eingesetzten Systeme skalierbar und hochflexibel sein. Zudem würden direkt beim Login unterschiedliche Sicherheitsstufen benötigt, je nachdem, wie sich der Kunde registrieren und authentifizieren möchte. Hier gehe es um das sichere und reibungslose Handling Tausender Daten von Nutzer*innen.
