Identity and Access Management IAM-Projekte für den Mittelstand planen und umsetzen – aber wie?

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Identity- und Access-Management (IAM) scheint sich in erster Linie für große Unternehmen zu eignen, zumindest suggerieren das die meisten Referenzprojekte großer Anbieter. Tatsächlich ist IAM aber vor allem im Mittelstand ein Muss-Thema der IT, auch wenn hier vielleicht kleinere Teilprojekte wie der Zugriffsschutz eine Rolle spielen. Doch was genau müssen Mittelständler bei der IAM-Planung beachten?

Firma zum Thema

Bestimmte Teilbereiche des Identity- und Access-Managements sind insbesondere für Mittelständler interessant.
Bestimmte Teilbereiche des Identity- und Access-Managements sind insbesondere für Mittelständler interessant.
( Archiv: Vogel Business Media )

Bei Identity- und Access-Management geht es um den Zugriff auf Informationen, die Informationssicherheit und den Schutz wertvoller Systeme sowie geistigen Eigentums; deshalb ist das Thema so interessant für mittelständische Unternehmen. Dort gilt es aber genau zu überlegen, wie man das Thema Identity and Access Management angeht. Projekte in diesem Bereich können schnell sehr komplex werden.

Zum Teil liegt das in der Natur der Sache, weil IAM eben die Steuerung von Identitäten und deren Zugriffsberechtigungen über viele Systeme hinweg thematisiert. Und solche Querschnittsprojekte haben nunmal ihre technischen und organisatorischen Tücken. Das liegt aber oft auch daran, dass die Ansätze nicht unbedingt zu dem passen, was Mittelständler brauchen.

Die entscheidende Frage ist, was die Treiber im Mittelstand für solche Projekte sind. Teils spielen die Compliance-Anforderungen eine große Rolle. Das zeigt sich vor allem in der Finanzindustrie, wo beispielsweise viele Sparkassen und kleinere Privatbanken längst IAM-Projekte umgesetzt haben.

Klar ist aber auch, dass Compliance keineswegs überall der dominierende Treiber ist. Auch die Ersparnis im administrativen Bereich steht nicht immer im Vordergrund – denn die ist umso größer, je größer die Infrastrukturen sind. Es gibt aber zwei ganz wichtige Themen für praktisch jeden Mittelständler:

Das eine ist die Informationssicherheit: Kein Unternehmen kann es sich heute noch leisten, hier Lücken zu haben. Gerade dort, wo man mit sensitiven Kundendaten arbeitet – in Banken, Versicherungen oder Handelsunternehmen – hat man das zunehmend erkannt.

Unter den Begriff Informationssicherheit fallen aber auch Informationslecks, die den Wettbewerbsvorteil gefährden können, weil beispielsweise Konstruktionsunterlagen in falsche Hände geraden. Das muss man in erster Linie über ein konsistentes Zugriffsmanagement adressieren. Punktlösungen für DLP (Data Loss Prevention) können das ergänzen, aber sie lösen die Herausforderung nicht.

Das zweite wichtige Thema ist die Öffnung der Systeme für Kunden und Lieferanten. Daran kommt heute praktisch kein Unternehmen mehr vorbei. Das bedeutet aber auch, dass man viel mehr Identitäten verwalten und gleichzeitig sicherstellen muss, dass die Zugriffe auf eigene Systeme kontrolliert und nachvollziehbar ablaufen.

Selbst wenn es „nur“ darum geht, dass eigene Mitarbeiter über die sogenannte „Identity Federation“ im Unternehmen authentifiziert werden und auf Systeme von Partnerunternehmen zugreifen, muss man schon aus Haftungsgründen das eigene IAM im Griff haben.

Seite 2: Planung und Umsetzung der IAM-Strategie

Planung und Umsetzung der IAM-Strategie

Es gibt also genug Gründe, sich auch im Mittelstand mit dem Identity- und Access Management zu beschäftigen – auch wenn man es dort vielleicht besser mit Schlagwörtern wie Informationssicherheit, Zugriffsschutz oder Benutzermanagement tituliert.

Bei der Umsetzung geht es darum, schlanke Ansätze zu finden, bei denen die Anforderungen mit den Möglichkeiten eines mittelständischen Unternehmens umgesetzt werden. Das bedeutet schlanke, standardisierte Projekte und Technologien, die für den Mittelstand beherrschbar sind.

Oft findet man hier deshalb Lösungsansätze, die auf bestehenden Infrastrukturelementen wie Microsoft Active Directory, Novell eDirectory oder vielleicht auch einer SAP-Infrastruktur aufsetzen. Mehr und mehr finden sich aber auch Angebote von Herstellern, die mehr oder minder „schlüsselfertige“ Lösungen mit einem definierten Leistungsumfang anbieten, um das Projektrisiko zu minimieren.

Bevor man aber mit den Herstellern spricht, sollte man in die Planung investieren. Denn wie bei allen Themen (nicht nur in der IT) gilt, dass man mit überschaubaren Investitionen in die Planung bei der Umsetzung viel Geld sparen kann.

Es gibt inzwischen viele Gestaltungsansätze für die Informationssicherheit und das IAM. Das Spektrum reicht von Add-Ons zum Active Directory über die gängigen Identity-Provisioning-Lösungen (mit wiederum vielen unterschiedlichen Ansätzen) bis hin zu so genannten Access Governance-Produkten oder Lösungen, die mit dem Service Request Management (SRM) integriert sind.

Dabei gibt es nicht die einzig richtige Lösung – aber für jedes Unternehmen bietet sich eine besonders an. Damit sollte man sich zunächst beschäftigen, um anschließend die knappen Budgets optimal zu nutzen. Letztlich geht es nicht um eine teure und monatelange Strategieentwicklung. Vielmehr muss man verstehen, welche Ansätze man wählen kann, wer dafür Software liefert und wie diese zueinander und zu dem passen, was man im Unternehmen hat und benötigt. Mit diesem „big picture“ kann man dann die nächsten Schritte mit den Systemintegratoren oder Herstellern seiner Wahl bestreiten.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt. Kuppinger Cole ist Ausrichter der European Identity Conference 2010, die sich als Leitveranstaltung rund um diese Themenbereiche etabliert hat. Parallel zur European Identity Conference 2010 findet von Dienstag bis Freitag, 04. bis 07. Mai 2010, in München der Mittelstandsdialog Informationssicherheit 2010 von Kuppinger Cole statt.

Artikelfiles und Artikellinks

(ID:2044498)