"Wir werden wieder Menschen sein statt Nummern." Mit diesem Statement fasst Jason Goode, Regional Director EMEA bei Ping Identity, eine Diskussion über Identity Access Management (IAM) in den Räumen des Computerwoche-Magazins zusammen. Sieben Experten tauschen sich über das komplexe Thema aus, mit dem sich zurzeit jeder beschäftigt. "Es gibt gerade keine Firma, die keinen Workshop dazu macht", schmunzelt Peter Schneider, VP Products von Efecte.

Mit GDPR wird IAM zum Thema der Geschäftsführung

Getrieben wird IAM nicht nur vom Gesetzgeber - ab Mai 2018 gilt die neue Europäische Datenschutzgrundverordnung (GDPR) - sondern auch durch technologische Entwicklungen wie die Cloud und durch die veränderten Ansprüche der Kunden. Am Besten greifbar ist zunächst das neue juristische Regelwerk. "Die GDPR ist ein Gamechanger", stellt Stephan Schweizer fest. Der Leiter der Business Unit NEVIS bei AdNovum sagt: "Die empfindlichen Strafen verfehlen ihre Wirkung nicht."

So werden Kunden den Nachweis darüber verlangen können, dass ihre personenbezogenen Daten gelöscht wurden. Die aber liegen innerhalb der Unternehmen oft über verschiedene Silos verstreut. Mancher IT-Chef, der diese Silos ohnehin längst aufbrechen wollte, hat jetzt die Chance dazu. "Wegen der GDPR sitzen nicht nur IT und Fachabteilung am Tisch, sondern auch die Rechtsabteilung", beobachtet Schneider. "Und damit ist jetzt endlich das Geld da!"

Damit ist das Gespräch bei der Frage angekommen, wer bei IAM mitredet. Denn das ist nicht allein IT-Sache. "Ich hatte ein Gespräch mit einem Kunden, der mir sagte, sie hätten keine Cloud-Applikationen im Haus", berichtet Michael Neumayr, Regional Sales Director Central & Eastern Europe bei Centrify. "Dann sind wir die einzelnen Bereiche durchgegangen…" Er braucht gar nicht weiterzureden. Jeder in der Runde kennt diese Fälle von der Marketingabteilung, die munter As-a-Service-Lösungen einkauft, alles am IT-Chef vorbei. Die Kundenbedürfnisse erforderten das, so die übliche Begründung.

"Die Prozesse werden oft vergessen"

Und so setzen sich immer mehr neue Entscheider mit Titeln wie Head of Digital, Head of Customer Experience oder Customer Success mit an den Tisch, beobachtet Goode. Was den Einkauf von IAM-Lösungen nicht vereinfacht. Neumayr erkennt schon erheblichen Aufklärungsbedarf bei der Definition. Identity Management, Identity Access Management, Access Governance - mancher Entscheider wirft alles munter durcheinander und kauft irgendein Tool, weil es in Gartners Quadranten gut wegkommt.

Wobei das Tool ja noch nicht einmal die halbe Miete ist: "Oft werden die Prozesse vergessen", beobachtet Sascha Hombach, Security Manager bei Capgemini. Ein tiefes Prozess-Verständnis sei aber nötig, um einzuschätzen, wo die Tools angepasst werden müssen und wo die Prozesse. Das gilt in weltweit operierenden Firmen global, Abläufe können nicht mehr regional betrachtet werden. "Unternehmen müssen zunächst einmal eine Roadmap entwickeln", betont Hombach.

Wie immer diese Roadmap im Einzelfall verläuft - sie soll immer zum Kunden führen. "IAM heißt auf jeden Fall, Identifizierungs- und Authentifizierungsverfahren für den Nutzer transparent zu machen", stellt Torsten Rienaß klar, Geschäftsführer Procilon IT-Logistics. Ziel ist es, ein "eigenbestimmtes Maß an Sicherheit" zu erreichen. Eben das hängt nicht nur von der Branche ab, sondern beispielsweise auch von der Generation. Da hakt Goode ein. "Die Generation Y ist schöne und einfache User Experience gewohnt", sagt er. Übertragen auf IAM heißt das: Der Kunde möchte sich einmal authentifizieren und dann zum Beispiel sämtliche Bankkonten einsehen können. Goode: "Weg von der Kontonummer! Wir werden wieder Menschen sein statt Nummern."