computerwoche.de

Archiv

Europäer entdecken Identity-Management

22.04.2008
Nach einer aktuellen Studie von KPMG hat sich das Thema Identity and Access Management (IAM) in der europäischen Unternehmenslandschaft vom theoretischen Konzept zur realen Geschäftspraxis entwickelt.

Nach einer ausgedehnten Hype-Phase ist das Thema IAM bei den europäischen Unternehmen nun offenbar branchen- und länder-übergreifend angekommen. Zu diesem Schluss gelangt KPMG in seiner "2008 European Identity & Access Management Survey". Um herauszufinden, wie es in der Firmenlandschaft um die nachweisliche und effektive Verwaltung von Identitäten und deren Berechtigungen, sprich: das User-, Access- und Authentisierungs-Management sowie Provisioning und Audit, bestellt ist, hat das Wirtschaftsprüfungs- und Beratungsunternehmen CEOs, CIOs, Security-Verantwortliche und interne Prüfer von 235 Firmen in 21 europäischen Ländern zum Stand der Dinge in ihren Organisationen befragt.

Finanzdienstleister in der Vorreiterrolle

Sämtliche Studienteilnehmer haben demnach in den vergangenen drei Jahren ein oder mehrere IAM-Projekte in Angriff genommen. Zwei Dritteln der Unternehmen steht dafür mittlerweile ein eigenes Budget zur Verfügung. Die Nase vorn haben hier die als "Early Adopters" eingestuften Finanzdienstleister, die im Schnitt über um 20 Prozent höhere IAM-Etats verfügen als in anderen Branchen agierende Firmen. Mit den geringsten diesbezüglichen Mitteln bescheiden sich Organisationen im Infrastrukturbereich, im Regierungsumfeld sowie im Gesundheitswesen, die laut Studie als "IAM-Nachzügler" gerade erst beginnen, die Fühler auszustrecken.

Der Untersuchung zufolge konzentriert sich das Gros der aktuellen IAM-Projekte auf das Management und die Kontrolle des Zugriffs auf interne Systeme und Informationen, während das Federated-Identity-Management, also die firmenübergreifende Verknüpfung von IAM-Umgebungen, bisher noch wenig verbreitet ist.

Anwenderziele: Compliance und bessere Abläufe

Unternehmen gehen IAM-Vor-haben in erster Linie an, weil sie hoffen, dadurch Compliance-Vorgaben besser einhalten und ihre Risiken verringern zu kön-nen. Außerdem versprechen sie sich optimierte Abläufe und damit einen höheren Business Value.

Was die Risikoeindämmung mittels IAM betrifft, erwarten die Firmen vor allem eine genauere Kontrolle darüber, wer Zugriff auf welche Informationen hat. User-Management-Reporting sowie -Kontrollen wiederum sollen es erleichtern, Compliance-Vorgaben zu erfüllen. Darüber hinaus erhoffen sich die Unternehmen Verbesserungen bei bestimmten Vorgängen - insbesondere, wenn Mitarbeiter ihre Funktion wechseln oder die Organisation verlassen. Kostensenkungen gehören nicht zu den primären Motiven für IAM-Initiativen, allerdings wird erwartet, dass der darüber zu erzielende Abbau des administrativen Overheads zu niedrigeren Gesamt-kosten führt.

Jedes zweite IAM-Projektverfehlt die Vorgaben

Auffallend ist allerdings die Diskrepanz zwischen dem erwarteten und dem tatsächlich erreichten Nutzen der IAM-Projekte. So wurden nach Angaben der Befragten bei mehr als der Hälfte der Vorhaben die anvisierten Ziele nicht erreicht. Zudem waren nur elf Prozent der Probanden mit den Projektergebnissen "sehr zufrieden" und 39 Prozent "einigermaßen zufrieden". Allerdings gaben rund zwei Drittel der Befragten zu, dass es der eigenen Organisation an Einblick in die durch IAM-Projekte erzielbaren Vorteile mangelt. Die KPMG-Experten führen die verhältnismäßig bescheidenen Projekterfolge nicht zuletzt auf die nach wie vor starke Technikausrichtung beziehungsweise unzureichende Geschäftsfokussierung der IAM-Initiativen zurück. So konzentrierten sich viele Projekte vorrangig auf die Implementierung etwa eines zentralen und integrierten IAM-Systems oder Dinge wie automatisiertes Provisioning, während die eigentliche IAM-Strategie und ihr anhängige Prozesse zu wenig adressiert würden.

Laut Untersuchung obliegt die Strategie im Hinblick auf IAM-Projekte meist IT-Profis wie dem Security-Verantwortlichen (rund 40 Prozent), dem CIO oder dem IT-Leiter (jeweils knapp 30 Prozent). Dass es auch auf Seiten der Fachabteilungen Zuständigkeiten geben müsse, werde oft über-sehen.

Das User-Managementüberzeugt technisch bereits

Von einer im Hinblick auf IAM grundsätzlich reifenden europäischen Unternehmenslandschaft zeugt nach Auffassung der KPMG-Experten jedoch die Vielzahl von Organisationen, die ihre IAM-Prozesse mittlerweile standardisiert und dokumentiert haben, so dass sich deren Ausführung auf Basis der Dokumentation überprüfen lässt. Von den einzelnen IAM-Prozessen ist das User-Management inzwischen am weitesten entwickelt, während in den Bereichen Monitoring und Audit noch der größte Handlungsbedarf bestehen soll.

Insgesamt, so der Report, weist der Norden Europas eine etwas höhere IAM-Affinität auf als der restliche Kontinent. (kf)