Der Umgang mit Kunden im Web ist heute durch zwei grundlegende Probleme gekennzeichnet. Aus Kundensicht ist es lästig, dass man sich für jede Website neu registrieren muss, entsprechend viele Benutzernamen und Kennwörter hat (oder nur eine unsichere Kombination, die man immer nutzt), Daten wie die Adresse immer wieder eintippen muss und dazu nicht einmal steuern kann, wem man eigentlich welche Informationen über sich geben möchte.
Aus Sicht der Unternehmen liegt das Problem darin, dass man kaum einmal eine durchgängige Sicht auf Kunden hat – geschweige denn, dass man Geschäftsprozesse mit Partnern aufsetzen könnte, in denen dem Kunden gemeinsame Leistungen angeboten würden. Das Customer Relationship Management (CRM) ist meist ein eigenständiges System, in das jemand irgendwann „überführt“, wenn er zumindest einen definierten Lead-Status hat.
Das Verhalten von Benutzern wird oft anonym über Tracking-Mechanismen überwacht. Und dass Kunden sich mit der Art und Weise, wie sie sich registrieren müssen und mit dem Unternehmen agieren können, nicht wirklich glücklich sind, ist zumindest einigen Unternehmen bewusst.
CRM alleine reicht nicht
Diese Herausforderungen haben mehrere Ursachen. Eine ist, dass bisher Ansätze weitgehend fehlten, mit denen sich Benutzer mit einer ID an unterschiedlichen Websites anmelden konnten. Selbst wenn ein Unternehmen das gerne umgesetzt hätte, wäre es schwierig geworden. Der einzige, der bisher größere Sichtbarkeit erlangen konnte, war Microsoft’s Passport. Und dieser ist grandios gescheitert, weil die Akzeptanz von Microsoft für die Rolle des Hüters von Identitätsdaten zu gering ist.
Ein zweiter wesentlicher Aspekt ist, dass CRMs bei den meisten Unternehmen getrennt von den Prozessen und Portalen gesehen werden, über die eine Interaktion mit Kunden erfolgt. Gleiches gilt oft auch für das Supplier Relationship Management. Wenn man einen Kunden aber umfassend bedienen möchte, kommt man nicht umhin, mit einer Integration zu arbeiten.
Das CRM ist natürlich einerseits eine funktionale Anwendung für die Verwaltung der Kundenbeziehungen. Es ist gleichzeitig aber auch ein Speicher von Identitätsdaten. Und wenn man den Kunden optimal und umfassend betreuen möchte, muss man diese Identitätsdaten mit anderen Speichern im Unternehmen verbinden.
Identitätsverwaltung in der Entwicklung
Das Problem wurde von der IT schon vor einigen Jahren erkannt. Viele der Entwicklungen, die unter dem Stichwort „Identity Federation“ laufen, sind genau dadurch getrieben. In diesem Kontext und darüber hinaus gibt es inzwischen viele spannende Ansätze, die weit über technische Standards hinausgehen und die einfache Interaktion zwischen Unternehmen und ihren bestehenden oder zukünftigen Kunden im Blick haben.
Identity Federation bezeichnet zunächst alle Ansätze, bei denen Identitätsdaten über mehrere Systeme und gegebenenfalls auch Unternehmen hinweg genutzt werden. Es gibt zwei wesentliche Standardisierungsansätze in diesem Bereich. Der eine wird von der Liberty Alliance getrieben, der andere von Microsoft, IBM, BEA und einigen anderen Unternehmen im Rahmen der Standardisierungsbestrebungen für Web Services, die als WS-Standards bezeichnet werden.
Ein wichtiges Element dabei ist WS-Federation. Inzwischen gibt es Bestrebungen für eine stärkere Interoperabilität der Standards – aber faktisch hat man heute zwei getrennte Standards zu beachten, wobei beide Standards inzwischen reif genug für die praktische Nutzung sind.
Einmal registrieren – überall anmelden
Mit der Identity Federation wird es möglich, zwischen Identity Providern für die Authentifizierung und Service Providern für die Autorisierung von Zugriffen zu trennen. Wenn ein Benutzer auf einen Service Provider zugreift, wird geprüft, ob bereits eine Authentifizierung bei einem vertrauten Identity Provider erfolgt ist.
Wenn nicht, muss diese zunächst stattfinden. Anschließend kann auf einen Dienst zugegriffen werden. Ein Telekommunikationsunternehmen könnte also beispielsweise seine Kunden authentifizieren. Andere Dienstleister mit zusätzlichen Angeboten könnten dieser Authentifizierung als Service Provider vertrauen und Zugriffe zulassen. Da über die Federation-Standards auch zusätzliche Attribute wie Benutzerkennungen oder Rolleninformationen angefordert werden können, kann man solche Beziehungen sehr flexibel gestalten.
OpenID – Verwaltung aus Nutzersicht
Ein weiterer wichtiger Ansatz, um die eingangs genannten Probleme zu lösen, sind die Ansätze des user-centric Identity Managements und hier insbesondere OpenID. Die meisten dieser Verfahren nutzen in mehr oder minder großem Umfang auch Federation-Standards.
Sie wurden aber stärker aus dem Blickwinkel der Benutzer entwickelt. OpenID ist ein Verfahren, mit dem ein Benutzer sich mit einer ID an unterschiedlichen Websites anmelden kann. Ein Identity Provider übernimmt die Authentifizierung, die Website ist faktisch ein Service Provider. Von allen Verfahren in diesem Bereich hat OpenID die größten Chancen, sich zu etablieren.
Microsoft CardSpace
Wichtig ist schließlich noch Microsoft’s CardSpace. Dabei geht es weniger um die Authentifizierung als vielmehr um die Speicherung und Bereitstellung von Identitätsdaten. Auf so genannten InfoCards lassen sich solche Informationen speichern. Diese können an Websites übergeben werden, so dass der Benutzer sie nicht immer wieder neu eintippen muss. Da der Benutzer steuern kann, welche InfoCard er wem gibt, kann er auch den Umfang der von ihm bereitgestellten Identitätsinformationen steuern.
Zwischen OpenID und CardSpace gibt es inzwischen intensive Bemühungen, eine Interoperabilität zu schaffen, um zu einem auf breiter Basis akzeptierten Weg für die Authentifizierung und den Austausch von Identitätsinformationen im Web zu kommen.
Fazit: Besseres Business, neue Geschäftsmodelle
Ohne allzu tief in die Technik gehen zu wollen wird an den genannten Konzepten doch deutlich, dass bei der Authentifizierung und den Wegen, um Benutzerinformationen auszutauschen, einiges im Umbruch ist. Für Unternehmen ergeben sich daraus einige wichtige Chancen durch Nutzung dieser neuen Identity Management-Technologien und die Erfüllung der internen Hausaufgaben im Identity Management.
Wenn man den Bereich der Kundenbindung im Web betrachtet, dann ist das erste Potenzial die höhere Kundenzufriedenheit. Mit der zunehmenden Etablierung von Technologien aus dem Identity 2.0-Umfeld wird die Erwartungshaltung der Benutzer mehr und mehr sein, dass diese auch unterstützt werden. Wer das nicht macht, wird entweder weniger zufriedene Kunden haben, sich über lästige Registrierungsprozesse ärgern – oder er wird die potenziellen Kunden gleich verlieren.
Der zweite Aspekt ist, dass man mehr Kundeninformationen gewinnen kann, wenn man alle Systeme vernetzt – und das Wissen über Kunden, Leads und Prospects ist bekanntlich wertvoll. Je besser man – innerhalb der datenschutzrechtlichen Freiräume – nachvollziehen kann, was Kunden machen und wie sie sich verhalten, desto besser kann man sie bedienen. Und wenn es auf dem Weg vom Interessenten bis zum Kunden keine Brüche mehr gibt, sondern man immer in der gleichen Identität arbeitet, wird das einfacher.
Das setzt aber voraus, dass man einerseits alle Systeme, die etwas mit Kundendaten zu tun haben, so integriert, dass an verschiedenen Stellen gehaltene Informationen verknüpft werden können. Und es setzt auch voraus, dass man die Datenqualität erhöht, um eben jeden Kunden, Prospect und Lead wirklich jeweils nur mit einer digitalen Identität zu sehen.
Identity Management bietet die Basis dafür – wenn man sich nicht nur auf die internen Nutzer von IT-Systemen beschränkt und die Möglichkeiten, die Identity 2.0 und die Identity Federation bieten, konsequent nutzt. (mja)
Auf der European Identity Conference, die vom 7.-10.05.2007 in München stattfindet, stehen die Themen Identity Management und Compliance im Mittelpunkt. In insgesamt vier Tracks mit mehr als 90 Sprechern und über 20 Best Practice-Vorträgen werden alle relevanten Aspekte rund um diese Themen behandelt. Zu den Sprechern gehören unter anderem Jeff Jaffe (CTO Novell), Sachar Paulus (CSO SAP), Dick Hardt (CEO Sxip Identity) und viele andere Top-Speaker aus der Industrie und aus Anwendungsunternehmen. Praxisvorträge gibt es von Unternehmen und Organisationen wie ABN Amro, Österreichische Post, den Vereinten Nationen, British Telecom und vielen anderen. Weitere Informationen und Buchung.