Compliance als Treiber

Warum IAM inzwischen ein Thema für die Unternehmensführung ist

09.05.2011 | Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Das Thema Identity- und Access-Management ist in den FÜhrungsetagen angekommen.
Das Thema Identity- und Access-Management ist in den FÜhrungsetagen angekommen.

Wer sich schon länger mit Identity- und Access-Management (IAM) beschäftigt, hat in den vergangenen drei bis vier Jahren einen grundlegenden Wandel beobachten können. Compliance ist heute einer der wichtigsten Treiber – und das Thema wird immer mehr auch im Management verstanden.

Die Anforderungen und Auswahlkriterien für IAM-Lösungen haben sich verändert, ebenso wie der Anspruch an die Durchführung von Projekten. Dafür sind viele Dinge auch einfacher geworden. IAM-Projekte lassen sich leichter argumentieren und die Umsetzung in der Organisation, lange Zeit eines der kritischen Themen, ist deutlich einfacher geworden

Heute geht es aber auch viel mehr um Access Management, also die Steuerung von Zugriffsberechtigungen und deren Kontrolle. Das Management der Identitäten (also der Benutzer) ist dafür eine notwendige Voraussetzung, aber letztlich interessiert die Entscheidungsträger primär die Frage, wie man sicherstellen kann, dass niemand mehr Zugriffsberechtigungen besitzt als er wirklich braucht.

Entsprechend haben sich auch die Anforderungen verschoben. In den frühen Tagen drehte sich noch alles um die technische Synchronisation von Benutzerdaten zwischen verschiedenen Verzeichnissen. Etwas später spielte die Unterstützung von Änderungsprozessen rund um Benutzer eine Rolle.

Heute konzentriert man sich insbesondere auf die „Access Governance“, also die Analyse, Rezertifizierung und Steuerung von Zugriffsberechtigungen. Hinzu kommt– durchaus „Identity-lastig“ – das Einbinden neuer Benutzergruppen beispielsweise von Geschäftspartnern in einfacher Weise, um diesen Zugriff (Access) auf ausgewählte Systeme und Informationen in kontrollierter Weise bieten zu können.

Neue Ziele, neue Lösungen

Im Gegensatz zu den frühen Tagen von IAM ist die Einbindung aber nicht so sehr von dem Wunsch nach der Vereinfachung von administrativen Prozessen und der Erhöhung der Datenqualität getrieben. Vorrangig interessiert die geschäftliche Anforderung, vernetzte Geschäftsprozesse mit neuen Gruppen von Benutzern wie Vertriebspartnern, Lieferanten oder Kunden umsetzen zu können.

Damit verändern sich auch Auswahlkriterien und Architekturen von Lösungen. Immer mehr Unternehmen beginnen ihre Projekte auf der Ebene der Access Governance und nicht beim stärker technisch geprägten Provisioning. Provisioning ist immer mehr eine technische Infrastruktur, um Änderungen in darunter liegenden Systemen technisch umzusetzen.

Gesteuert wird mithilfe von Access Governance-Lösungen, aber auch Service-Portalen und anderen zentralen Steuerungsschichten. In solchen Architekturen lassen sich dann einfach verschiedene Provisioning-Systeme kombinieren, die in bestimmten Systemumgebungen (SAP, Microsoft Active Directory,…) eingeführt wurden oder sich als Konsequenz von Akquisitionsprozessen ergeben haben.

Gerechtfertigte Ausgaben

Der vielleicht wichtigste Punkt ist aber, dass das Management – das „Business“ – die Notwendigkeit des Themas heute sehr viel besser versteht. Die Anforderungen an das Management von Zugriffsberechtigungen sind ein wichtiges und wohl verstandenes Thema, insbesondere in Branchen mit hohen regulatorischen Anforderungen wie der Finanzindustrie.

Damit wird es auch einfacher, das Thema zu positionieren und Budgets zu bekommen – allerdings nur, solange man die Anforderungen des Business in den Mittelpunkt stellt, also insbesondere das Zugriffsmanagement und die einfachere Einbindung neuer Benutzergruppen. Darauf müssen auch die Architekturen ausgerichtet sein.

Trotz des besseren Verständnisses für die Notwendigkeit von IAM ist auch klar, dass das Thema – wie jedes Infrastruktur-Thema – zunächst eben eine Investition darstellt. Schlanke, fokussierte Investitionen, müssen eben sein und zahlen sich auf Dauer durch höhere Informationssicherheit, bessere Unterstützung des Business, höhere Effizienz der IT etc. aus. Sie sind einfacher durchsetzbar als Ansätze, die dem Management das Gefühl geben, dass es sich um komplexe Technik handelt, die über das unbedingt Nötige hinausgeht.

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2051262 / Zugangs- und Zutrittskontrolle)