Unternehmen gehen IAM-Vorhaben in erster Linie an, weil sie hoffen, Compliance-Vorgaben besser einhalten und ihre Risiken minimieren zu können. Außerdem versprechen sie sich optimierte Anläufe und dadurch einen höheren Business Value.
Was die Risikoeindämmung mittels IAM betrifft, erwarten die Firmen vor allem eine genauere Kontrolle darüber, wer Zugriff auf welche Informationen hat. User-Management-Reporting sowie -Kontrollen wiederum sollen es erleichtern, Compliance-Vorgaben zu erfüllen. Darüber hinaus erhoffen die Unternehmen Verbesserungen bei bestimmten Vorgängen - insbesondere, wenn Mitarbeiter ihre Funktion wechseln oder die Organisation verlassen. Kostensenkungen gehören nicht zu den primären Motiven für IAM-Initiativen, allerdings wird erwartet, dass der darüber zu erzielende Abbau des administrativen Overheads zu niedrigeren Gesamtkosten führt.
Auffallend ist allerdings die Diskrepanz zwischen dem erwarteten und dem tatsächlich erzielten Nutzen der IAM-Projekte. So nach Aussagen der Befragten bei mehr als der Hälfte der Vorhaben die anvisierten Ziele nicht erreicht. Zudem waren nur elf Prozent der Probanden mit den Projektergebnissen "sehr zufrieden" und 39 Prozent "einigermaßen zufrieden". Allerdings gaben rund zwei Drittel der Befragten zu, dass es der eigenen Organisation an Einblick in die durch IAM-Projekte erzielbaren Vorteile mangelt. Die KPM führen die verhältnismäßig bescheidenen Projekterfolge nicht zuletzt auf die nach wie vor starke Technik-Ausrichtung beziehungsweise unzureichende Geschäftsfokussierung der IAM-Initiativen zurück. So konzentrierten sich viele Projekte vorrangig auf die Implementierung etwa eines zentralen und integrierten IAM-Systems oder Dinge wie automatisiertes Provisioning, während die eigentliche IAM-Strategie und ihr anhängige Prozesse zu wenig adressiert würden.
Laut Untersuchung obliegt die Strategie im Hinblick auf IAM-Projekte meist IT-Profis wie dem Security-Verantwortlichen (rund 40 Prozent), dem CIO oder dem IT-Leiter (jeweils knapp 30 Prozent). Dass es auch auf Seiten der Fachabteilungen Zuständigkeiten geben müsse, werde oft übersehen.
Von einer im Hinblick auf IAM grundsätzlich reifenden europäischen Unternehmenslandschaft zeugt nach Auffassung der KPMG-Experten jedoch die Vielzahl von Organisationen, die ihre IAM-Prozesse mittlerweile standardisiert und dokumentiert haben, so dass sich deren Ausführung auf Basis der Dokumentation überprüfen lässt. Von den einzelnen IAM-Prozessen ist das User-Management inzwischen am weitesten entwickelt, während in den Bereichen Monitoring und Audit noch der größte Handlungsbedarf bestehen soll.
Ingesamt, so der Report, weist der Norden Europas eine etwas höhere IAM-Affinität auf als der restliche Kontinent. (kf)
