Es ist ein Unterschied wie Tag und Nacht. Workforce Identity and Access Management (IAM) ist in den meisten Unternehmen bereits solide aufgebaut – Luft nach oben gibt es beim Thema Security natürlich immer. Prozesse sind häufig zentralisiert, User Journeys klar definiert und selbst bei Friktionen zeigt sich hohe Resilienz. Die Identitäten der eigenen Mitarbeiter sind unterm Strich also relativ gut geschützt. Bei externen Identitäten herrscht hingegen Dunkelheit.

Bevor Sie weiterlesen: Dieses Thema haben wir auch in einem Webinar gemeinsam mit unserem Partner Descope besprochen. Wenn Sie also lieber reinhören als reinlesen, geht es hier zur Webinar-Aufzeichnung „B2B2X-Identitäten erfolgreich managen – Best Practices für Security und User Experience“.

Der Grund ist einfach. Sobald Zulieferer, Dienstleister, Partner oder sonstige externe Parteien ins Spiel kommen, steigt die Komplexität rasant. Jeder bringt eigene Anforderungen mit – der eine wünscht mehr Self-Service-Optionen, der andere legt Wert auf nahtlose User Experience für seine Endkunden.

Die Verwaltung externer Identitäten erfordert deshalb weit mehr Flexibilität, dynamische Administration und einen konsequenten Fokus auf Benutzerfreundlichkeit, als klassische Workforce-IAM-Lösungen bieten. Die wichtigste Erkenntnis vorab: B2B2X Identity Security dürfen Unternehmen nicht länger als Randthema betrachten, sondern müssen sie als Fundament moderner Sicherheitsstrategien weiterdenken.

Was Sie vermutlich am meisten interessiert: Wo steht unser Unternehmen beim Thema? Wir haben Ihnen ein paar Fragen zusammengestellt. Bejahen Sie den Großteil dieser, sollten Sie sich auf den Weg hin zu moderneren Sicherheitslösungen für externe Identitäten machen. Wieso? Die zentralen Aspekte „Security“ und „User Experience“ decken Sie bislang lediglich mittelmäßig ab. Vorgehen und Technik scheinen veraltet zu sein – Sicherheitslücken und unzufriedene Nutzer inklusive.

• Setzen Sie beim Login noch überwiegend auf Passwörter und Sicherheitsfragen?
• Formulieren Sie häufiger Sätze wie „Können Sie User X deaktivieren?“ oder „Setzen Sie meine Multi-Faktor-Authentifizierung zurück.“?
• Blicken Sie auf überwiegend fragmentierte Identitäten und multiple Konten?
• Leiten Ihre Systeme MFA-Bombardierungen bei jedem externen Login ein?
• Spüren Sie eine hohe Last bei IT-Tickets zu Identity-Security-Fragen?
• Setzen Sie auf rollenbasierte Zugriffskontrollen?
• Haben Sie Schwierigkeiten, Ihre Lösungen zu skalieren?

Zielführender, um Security wie auch die Erwartungen sämtlicher Stakeholder an User Experience zu erfüllen, sind moderne Ansätze. Maximal effizient wird es, wenn diese auch noch in einer Lösung vereint sind.

Passwörter sind ein Relikt aus einem vergangenen IT-Zeitalter – unpraktisch, unsicher und längst überfordert von der Realität moderner Zugriffe. Passwordless Authentication geht einen Schritt weiter: Sie ersetzt klassische Login-Verfahren durch moderne, sichere Methoden wie Passkeys, biometrische Verfahren oder Magic Links.

Das Ergebnis: weniger Angriffsfläche, weniger IT-Aufwand und mehr Zufriedenheit bei allen Beteiligten. Statt Passwort-Resets und MFA-Bombardierung sorgt eine passwortlose Anmeldung für spürbare Entlastung – sowohl für Endnutzer als auch für Administratoren. Unternehmen, die auf diese Methoden umsteigen, berichten von deutlich sinkenden IT-Tickets und höherer Login-Akzeptanz – ein klarer Beweis, dass Security und User Experience keine Gegensätze sein müssen.

Aus einem Passkey-Projekt hat unser Partner Descope beeindruckende, harte Zahlen mitgebracht:

• 25 % Passkey Adoptionsrate nach nur wenigen Wochen
• 5 % Login Fehlerrate – deutlich weniger als bei „Password“-basierten Seiten
• 50 % Reduktion des Ticket-Volumens in Bezug auf Authentisierung im Support.

Mit Passwordless Authentication holen Organisationen das „Wie“ des Logins also in die Moderne. Aber wie steht es um das „Wann“ und das „Wie oft“? Multi-Faktor-Authentifizierung sind uns allen bestens bekannt, da sie fast schon inflationär auftreten. Diese ständige Unterbrechung nervt nicht nur, sie senkt auch die Akzeptanz von Sicherheitsmaßnahmen.

Moderne Identity-Lösungen setzen deshalb auf risikobasierte Multi-Faktor-Authentifizierung (MFA).
Dabei werden Anmeldeversuche nicht mehr pauschal behandelt, sondern anhand ihres Risikolevels bewertet. Die Methode analysiert in Echtzeit eine Vielzahl an Signalen – etwa Gerätetyp, Standort, Netzwerkverbindung oder Anmeldeverhalten – und berechnet daraus einen dynamischen Risikowert.

Je nach Ergebnis reagiert das System adaptiv:

• Bei geringem Risiko erfolgt der Login ohne zusätzliche Hürde.
• Liegt ein mittleres Risiko vor, wird ein zusätzlicher Faktor abgefragt.
• Und bei hohem Risiko blockiert das System den Zugriff vollständig.

Sobald ein Benutzer erfolgreich eingeloggt ist, stellt sich die nächste entscheidende Frage:
Was darf diese Person – oder Maschine – im System eigentlich tun? Aus dem Nähkästchen geplaudert: Früher sind wir dieses Thema immer grobgranular angegangen – mit Ja/Nein-Entscheidungen. Ja, die Identität darf auf die Applikation zugreifen. Nein, die Identität darf das Portal nicht betreten.

Nicht schlecht haben wir gestaunt, als es mit Descope eine tolle Lösung für feingranulare Entscheidungen auf dem Markt gab. Gerade bei B2B2X-Umgebungen stoßen klassische rollenbasierte Zugriffsmodelle (RBAC) an ihre Grenzen. Denn ein starres Rollenmodell kann die Vielfalt kaum abbilden.

Fine-Grained Authorization (FGA) erweitert das Prinzip der Zugriffskontrolle um eine fein abgestufte, kontextabhängige Ebene. Statt pauschal zu definieren, dass ein Nutzer „lesen“ oder „schreiben“ darf, berücksichtigt FGA zusätzliche Attribute und Beziehungen: Wer greift auf welche Ressource zu? In welchem Kontext? Mit welcher Berechtigung?

Ein Beispiel aus der Praxis

Ein führendes Unternehmen aus dem Bereich Datenanalyse und KI betreibt weltweit tausende Kunden- und Partnerzugänge über Plattformen wie Microsoft Azure, Google Cloud oder AWS. Die Vielzahl an Identity Providern und Benutzerverzeichnissen führte jedoch zu isolierten Dateninseln – selbst für ein digital hoch entwickeltes Unternehmen eine spürbare Hürde.

Der Ausweg: eine föderierte Architektur, die als zentrale Identitätsquelle für alle Anwendungen und Datenbanken fungiert. Nutzer melden sich dabei nur noch mit ihrer E-Mail-Adresse an; ein intelligentes System ermittelt im Hintergrund automatisch den passenden Identity Provider. Mehrere IDs und Passwörter gehören der Vergangenheit an.

Security verursacht in vielen Organisationen Frustration. Denn zwischen Sicherheit und Nutzererlebnis erfüllen sie häufig allenfalls einen Aspekt zufriedenstellend. Mit Blick auf das Thema Identity Security im B2B2X-Kontext lässt sich diese negative Stimmungslage jedoch auflösen. Schließlich bietet Descope mit der Drag-and-Drop-Plattform eine Lösung, um externe Identitäten einfach zu verwalten. Und setzt dabei auf modernste Sicherheitsstandards wie Passwordless Authentication, risikobasierte MFA und FGA. Bereit für das neue Identity-Security-Zeitalter für Ihre externen Identitäten?