Entwickeln oder kaufen? Das sagt eine CTO

Schnelle und effiziente Innovationen – ohne Kompromisse bei unserer Sicherheit oder unseren User Experiences – hatten für mich schon immer hohe Priorität. 

Ich leite bereits seit mehr als 20 Jahren Entwicklerteams, die Technologie transformiert, unsere Produkte weltweit verfügbar gemacht und später für die weltweite Benutzerbasis auf 100 Millionen monatliche Benutzer skaliert haben. Dabei musste ich darüber entscheiden, ob wir neue Funktionalitäten selbst entwickeln oder bei einem Anbieter kaufen. Erfahrungsgemäß kamen wir beim Wachstum schneller voran, wenn wir mehr Ressourcen auf unser Kerngeschäft konzentrieren konnten. Sobald eine zuverlässige geschäftliche Basis vorhanden ist, stellt es kein Problem dar, bisher externe Technologie intern umzusetzen.

Bevor ich zu Okta gewechselt bin, musste ich einige Male zwischen selbst entwickelten und gekauften Login-Lösungen entscheiden. Beim ersten Mal fiel die Wahl auf eine selbst entwickelte Lösung. Diesen Fehler habe ich niemals wiederholt.

Ich möchte Ihnen hier erklären, warum.

Große Erwartungen

Autorisierung beginnt ganz einfach. Wir benötigen eine Login-Box. Das kann doch nicht so schwer sein, oder?

Anfangs kann es ganz einfach klingen, eine eigene Lösung zu entwickeln und dabei Open-Source zu nutzen. Doch sobald die Login-Box mit Live-Traffic konfrontiert wird, bekommen Sie es mit Betrugsversuchen und gefälschten Accounts zu tun und Ihre Teams versuchen, diese Probleme schnell aus dem Weg zu räumen.

Im Durchschnitt erfolgen mehr als 23 % aller Registrierungen zu betrügerischen Zwecken. In einigen Branchen ist der Anteil sogar noch höher. Credential-Stuffing-Angriffe machen 34 % aller Traffic- und Autorisierungsereignisse aus. Funktionen wie Bot-Erkennung helfen hier erheblich. Für die Umsetzung benötigen Ihre Teams jedoch komplexe Machine-Learning-Modelle sowie umfangreiche Daten, während False Positives bei der Missbrauchserkennung bei realen Kunden zu unnötigen Reibungspunkten führen. Können Sie ein System aufbauen, dass nur bei Betrugsversuchen eingreift?

Eine weitere Quelle für Betrugsversuche sind kompromittierte Passwörter. Können Ihre Entwickler eine Lösung erstellen, die legitime Benutzer vor ihren eigenen kompromittierten Anmeldedaten schützt? Wenn es eine Sicherheitsverletzung bei einer dritten Partei gab, kann Ihr System die Sicherheitsmaßnahmen verstärken, um die Accounts Ihrer Benutzer zu schützen?

In vielen Fällen lautet die Antwort auf diese und weitere Fragen: Ja! Schließlich haben Sie hervorragende Entwickler eingestellt und können Ihrem Team vertrauen. Wenn Sie ihnen den Auftrag geben und ihnen ausreichend Zeit und Ressourcen zur Verfügung stellen, können sie all das wahrscheinlich umsetzen.

In meinem Fall benötigten ein Senior Architect und ein Entwickler drei Quartale, um eine Rohversion der Lösung zu erstellen. Hätte ich dem Projekt mehr Entwickler zuweisen können, um schneller ein Ergebnis zu erhalten? Vielleicht. Aber ich hatte keine unbegrenzte Zahl an Entwicklern, die ich von anderen Projekten hätte abziehen können.

Sofern Sie kein dediziertes Team für die Identitätsverwaltung haben, übertragen Sie die Aufgabe wahrscheinlich an Entwickler, die eigentlich anderen Projekten zugewiesen sind. Dieser Aspekt ist besonders in dieser aktuellen wirtschaftlichen Situation wichtig, in der die Produktivität des Entwicklerteams höchste Priorität hat. Während Ihre Kunden mehr Funktionen für Ihr Kernprodukt nachfragen, beschäftigen sich Ihre besten Entwickler mit komplexen Identity-Problemen und können somit nicht zum Unternehmenswachstum beitragen.

Die Erstellung ist nur der erste Schritt

Nachdem die Lösung erstellt wurde, muss sie gepflegt, skaliert und kontinuierlich verbessert werden. Wenn Sie ähnliche Erfahrungen gemacht haben wie ich, dann haben Sie an diesem Punkt langsam erkannt, wie weit die Entscheidung über eine gekaufte oder selbst entwickelte Lösung wirklich reicht. Ihre Entscheidung kann Ihrem Team dazu verhelfen, produktiver zu arbeiten – oder dazu führen, dass die Produktivität vollkommen zum Erliegen kommt.

Beim Hinzufügen weiterer Funktionen wird die Lösung recht schnell sehr komplex, wenn sie für Millionen Benutzer skaliert und für Ihre Geschäftskunden bereitgestellt wird.Sie werden feststellen, dass die Erstellung, Wartung und vor allem die Skalierung Ihrer Customer-Identity-Lösung für Sie und Ihre Entwickler zu einem Vollzeitjob wird. Und Sie werden wertvolle Entwicklerzeit in Identity-Funktionen statt in Ihre Kernkompetenzen investieren müssen, während gleichzeitig die Wahrscheinlichkeit von Compliance-, Verfügbarkeits- und Sicherheitsrisiken steigt.

Bei Okta haben wir 350 Entwicklungsunternehmen dazu befragt, welche Anwendungen den größten Mehraufwand verursachen und am stärksten die Produktivität beeinträchtigen, wenn sie intern entwickelt werden. Dadurch haben wir erfahren, welche Anwendungen die meiste Arbeit erfordern und wie Entwickler zu selbst entwickelten und gepflegten Anwendungen stehen. Authentifizierungsfunktionen landeten bei den zeitaufwendigsten und arbeitsintensivsten Anwendungen auf Platz 2, kurz hinter der Zahlungsabwicklung, einem weiteren sehr komplexen Problem, das bei den meisten Unternehmen nicht zu den Kernkompetenzen gehört.

Ebenso wie bei der Zahlungsabwicklung gibt es für die Authentifizierung Lösungen, die zum Kauf erhältlich sind.

Authentifizierung ist ein gelöstes Problem

Da sich die Branche und die Kunden der Bedeutung von Identity und der damit verbundenen Herausforderungen bewusst sind, spielt Identity-Management bei der Planung eine zentrale und strategische Rolle.

Kehren wir zum ursprünglichen Ziel zurück: Innovation ohne Kompromisse. 

Mit Markttrends mitzuhalten, ist für den Erfolg Ihres Unternehmens unverzichtbar. Das ist bei uns nicht anders. Wir alle steigern auf diese Weise unser Wachstum. Als ich zum ersten Mal zwischen einer gekauften und einer selbstentwickelten Lösung entscheiden musste, ging ich letztlich Kompromisse ein, um unseren Kunden die gewünschten User Experiences bereitstellen zu können. Dabei musste ich einige schwere Entscheidungen treffen und zum Beispiel Entwicklungszeit oder den Fokus von Kernfunktionen abziehen. 

Ihre Endbenutzer können online zwischen unendlich vielen Angeboten wählen. Um wettbewerbsfähig zu bleiben, bringen viele Unternehmen neue mobile Anwendungen, Community-Plattformen, verbesserte E-Shops, innovative Omnichannel-Anwendungen und vieles mehr heraus. Angesichts der steigenden Zahl von Anwendungen und Services, die Unternehmen bereitstellen, sind Kunden mehr denn je darauf angewiesen, schnell und sicher auf unterschiedlichste digitale Plattformen zugreifen zu können. Identity ist ein lebendiger, dynamischer Bereich und Ihr Unternehmen verfügt möglicherweise nicht über die dedizierten Ressourcen, um eine interne Lösung entwickeln und pflegen zu können, ohne Umsatzeinbußen, Terminüberschreitungen, Sicherheitsverletzungen, Compliance-Verstöße und verlorenes Kundenvertrauen zu riskieren.

Bei Okta entwickeln wir kontinuierlich neue Features und Funktionen, um Ihre Geschäftsabläufe besser, sicherer und effizienter zu machen. Zur Steigerung der Produktivität Ihrer Entwickler haben wir die Möglichkeiten unserer im letzten Jahr veröffentlichten Funktion Organizations erweitert, d. h. Sie können Organizations jetzt individuell für bestimmte SSO-Verbundanforderungen (Single Sign-On) oder markenkonforme Login-Prozesse anpassen. Im 4. Quartal kam eine neue Private Cloud-Stufe dazu, die 360.000 Anfragen pro Minute unterstützt. Das ist fast 4 Mal so viel wie vorher. Außerdem haben wir Okta Workforce Enterprise Connections veröffentlicht. Mit dieser Option können Customer Identity Cloud-Kunden sich direkt mit Okta Tenant als Identity-Anbieter integrieren und erhalten dabei vollen Zugriff auf die Dashboards und Visualisierungen, ohne zuerst eine SAML- oder OIDC-Verbindung einrichten zu müssen.

Unsere Kunden profitieren erheblich von unseren Rollouts. So konnte die Bluetooth Special Interest Group (SIG) ihre Identity-Lösung innerhalb weniger Tage umfassend implementieren, was bei einer intern entwickelten Lösung etliche Monate gedauert hätte. Und Arduino konnte den Ressourcenaufwand für die Aktualisierung und Pflege der Identity-Lösung eliminieren und gleichzeitig die Conversion-Rate im Monatsvergleich um 20 % steigern.

Wir sind stolz darauf, ein starker Identity-Partner für unsere Kunden zu sein und ihnen eine sofort einsatzbereite, reibungslose, sichere und stark erweiterbare Plattform anbieten zu können, die gleichermaßen für Kundenanwendungen und SaaS-Anwendungen eingesetzt werden kann. Wir bauen aktiv eine Kultur auf, die auf Sicherheit ausgelegt ist, integrieren Sicherheit als Kernelement aller unserer Lösungen und konzentrieren uns während der gesamten Produktentwicklung auf Sicherheit. Unsere weltweiten Sicherheits- und Entwicklerteams überwachen alle Aktivitäten und die Infrastruktur rund um die Uhr und an 365 Tagen im Jahr.

Es ist schwer, Customer Identities richtig umzusetzen – besonders wenn man dabei ganz von vorn beginnen muss. Identity ist unsere Kernkompetenz und wir möchten Sie dabei unterstützen, Ihre innovativen Produkte und Services mit unseren innovativen Identity- und Authentifizierungslösungen bereitzustellen – ohne dass Sie dabei Kompromisse eingehen müssen.

Wenn Sie vor der Entscheidung stehen, ob Sie eine Identity-Lösung kaufen oder selbst entwickeln sollen, finden Sie in diesem Whitepaper weitere Informationen. Sie können aber auch gern ein Gespräch mit einem unserer CIC-Experten vereinbaren.

Diese Materialien und die darin enthaltenen Angaben stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsempfehlungen dar. Diese Materialien sind nur für allgemeine Informationszwecke bestimmt und spiegeln möglicherweise nicht die neuesten Sicherheits-, Datenschutz- und rechtlichen Entwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, von Ihrem eigenen Rechtsberater oder einem anderen professionellen Berater Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsempfehlungen einzuholen und sollten sich nicht auf die hierin enthaltenen Angaben verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die sich aus der Umsetzung der in diesem Material enthaltenen Angaben ergeben. Okta gibt keine Zusicherungen, Garantien oder sonstige Gewährleistungen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.