Der Druck auf die Anbieter im Software- und Servicegeschäft ist groß. Trotz stagnierender Absätze in ihren Stammmärkten müssen sie im Interesse der Aktionäre für weiteres Umsatz- und Kundenwachstum sorgen. Auf der Suche nach neuen Einnahmequellen haben etliche Hersteller die Disziplin des Identity-Managements (IM) für sich entdeckt. Zu den Hauptakteuren auf diesem Gebiet zählen BMC, Computer Associates (CA), Hewlett-Packard (HP), IBM, Microsoft, Novell, Oracle und Sun.

Die Übernahmewelle der letzten beiden Jahre belegt, wie ernst es den Protagonisten ist, im Business mit der "Nutzeridentität" eine marktrelevante Stellung einzunehmen. Zuletzt machten Oracle und BMC mit Zukäufen von sich reden. Oracle verleibte sich den IM-Spezialisten Oblix ein, während BMC Calendra und Open Network schluckte. Zuvor hatte CA bereits Netegrity gekauft, IBM sein Portfolio durch die Übernahme von SRD erweitert, HP in Trulogica und Baltimore investiert und Sun durch die Akquisition von Waveset IM-Know-how erworben.

Nach Ansicht vieler Analysten sind diese Fusionen nur der Anfang einer fortschreitenden Konsolidierung. Sie rechnen mit weiteren Investitionen der Branchenschwergewichte. Potenzielle Übernahmekandidaten gibt es zuhauf. In ihrer Studie "Our Digital Identity" kommen die Marktforscher von IT Research zu dem Ergebnis, dass derzeit über 100 Hersteller im IM-Bereich existieren.

Die große Anbieterzahl erklärt sich durch die Komplexität, die hinter dem Obergriff Identity-Management steckt. Die Zeiten, als das Schlagwort mehr oder weniger nur als Synonym für Verzeichnisdienste gebraucht wurde, sind längst passé. Sie datieren noch auf den Wettstreit zwischen Novell und Microsoft um das bessere Directory-Konzept zurück. Heute besteht die Szene jedoch aus weit mehr Teildisziplinen als nur den Verzeichnisdiensten. Sie gliedert sich hauptsächlich in die Segmente Provisioning, Passwort-Management, Federation, Compliance, Auditing und Authentifizierung.

Dieses breite Anwendungsspektrum macht den Markt für die Anbieter interessant und problematisch zugleich. Selbst für die großen Player wie IBM, Microsoft, HP, Oracle und Novell ist es unmöglich, alle genannten Bereiche mit einer Suite abzudecken. "Es wird weder heute noch in Zukunft einen Hersteller geben, der dem Anwender Identity-Management komplett out of the box verkaufen kann. Dazu ist das Thema allein unter den Aspekten der Integration sowie der Prozesse zu komplex", prophezeit Andreas Zilch, Analyst des deutschen Marktforschungs- und Beratungshauses Techconsult.

Vor falschen Versprechungen der Provider warnen auch die Marktbeobachter der Burton Group. "Bei Identity-Management-Suiten handelt es sich heute eher um ein Marketing-Phänomen als um praktische Realität", dämpft Jamie Lewis, President des Instituts, übertriebene Erwartungen seitens der Anwender. Seiner Ansicht nach haben die Protagonisten durch die Zukäufe ihre Plattformen zwar dort verstärkt, wo dringender Handlungsbedarf war, dennoch liege noch viel Arbeit vor ihnen. Die Anbieter müssten es schaffen, IM-Produkte zu entwickeln, die sich nicht überlappen, in sämtliche Funktionen und Features integrieren lassen und eine konsistente Management-Plattform unterstützen.

Laut Lewis haben die aktuellen Lösungen der großen Softwareproduzenten in den IT-Abteilungen der Unternehmen allerdings ein Bewusstsein für IM geweckt und erste Akzeptanzhürden beseitigt. Außerdem sei es durch den zunehmenden Wettbewerb zu deutlichen Preissenkungen gekommen. Für die Burton Group steht deshalb fest, dass der IM-Markt weiter an Bedeutung gewinnen wird.

Top-Player im Identity-Management-Markt

• BMC: Das Unternehmen hat durch seine Wurzeln im System-Management gute IM-Potenziale. Zuletzt kaufte BMC Technik zur Kontrolle des Web-Access, für Single-Sign-on und Federation-Management ein. • Computer Associates: Die Company beschäftigt sich schon lange mit Teilgebieten des IM und dürfte neben IBM am besten aufgestellt sein. Nach dem Kauf von Netegrity hat CA nun auch ein Web-Access-Management-Tool im Angebot. Das wichtigste Produkt ist die "eTrust Identity-Management Suite". • Evidian: Die Bull-Tochter verfügt über ein selbst entwickeltes und sehr gut integriertes IM-Sortiment. • Hewlett-Packard: Der Konzern hat aus seiner "Openview"-Historie heraus mittlerweile eine breite IM-Auswahl, die zuletzt um Web-Service-Management und eine Federation-Lösung ergänzt wurde. • IBM: Flaggschiff im Portfolio von Big Blue ist der "IBM Tivoli Identity Manager". Ganz aktuell wartet der Hersteller mit der brandneuen "Tivoli Federated Identity Manager" auf. Insgesamt besitzt der Konzern mit Lösungen vom Access Management über Verzeichnisdienste und Provisioning bis hin zur Host-Sicherheit das breiteste IM-Spektrum und weist durch seine IT-Dienstleistungssparte auch Projekt- und Prozesswissen auf. • Microsoft: Die Company erlangt ihre IM-Relevanz lediglich durch das "Active Directory" sowie die Bedeutung der .NET-Strategie in Federation-Lösungen. Ansonsten spielt der Softwarekonzern im IM-Geschäft noch keine große Rolle. • Novell: Für das Unternehmen ist IM eine der wichtigsten strategischen Säulen. Novell ist mit seinem anerkannten Verzeichnisdienst "E-Directory" und dem Meta Directory "Nsure Identity Manager" sowie weiteren Lösungen gut positioniert. • Oracle: Oracle hat sich durch die Akquisition von Oblix Single-Sign-on- und Federation-Kompetenz gesichert. Der Datenbankspezialist verbessert damit seine IM-Lösungen im "Oracle Identity Management" und "Oracle Application Server 10g". Außerdem will das Unternehmen mit der Oblix-Technik eine bessere Integration der zugekauften ERP-Systeme von Peoplesoft und J.D. Edwards erreichen. • SAP: Das deutsche Softwarehaus bildet die Ausnahme von der Regel. Es ist kein IM-Anbieter und plant eigenen Angaben zufolge auch keine Übernahmen. SAP verweist stattdessen auf IM-Produkte von Partnern, zu denen es Schnittstellen anbietet. • Sun: Die Stärken von Sun liegen nach seinem Engagement in der Liberty Alliance und dem Kauf von Waveset vor allem im IM-Bereich Federation. Das Angebot kann sich sehen lassen, allerdings leidet Sun unter der starken Wahrnehmung als Hardwarelieferant.

Die Analysten von IDC gehen ebenfalls von einem Wachstum aus. Sie beziffern die jährliche Zuwachsrate im Marktsegment für IM-Software mit 9,7 Prozent und prognostizieren für 2008 ein Umsatzvolumen von 3,5 Milliarden Dollar. 2004 lagen die Einnahmen bei 2,4 Milliarden Dollar. Dabei verdienten die Anbieter ihr Geld hauptsächlich mit Passwort-Management und Provisioning.

Die Experten der Stuttgarter Marktanalysefirma Kuppinger Cole + Partner kommen in ihrer Studie "Identity-Management - Trends 2005" jedoch zu dem Ergebnis, dass Provisioning-Projekte an Bedeutung verlieren. Stattdessen werden in den kommenden Jahren die Themen Federation und Compliance in den Vordergrund rücken.

Nischenanbieter

• Beta Systems: Provisioning und Mainframe; • Blockade: Passwort-Synchronisation und Mainframe-Anbindung; • Maxware: Verzeichnisdienste, Provisioning; • M-Tech: Passwort-Synchronisation, Provisioning, Compliance; • Octet String: virtuelle Verzeichnisdienste; • OSM: Provisioning im Unix-Umfeld; • RSA: Authentifizierung und Provisioning; • Völcker Informatik: Provisioning und Client Management.

Für den zunehmenden Einsatz von Federation-Lösungen, also die Nutzung von Identitätsdaten über verschiedene Applikationen und sogar Firmengrenzen hinweg, spricht den Spezialisten zufolge der Wusch der Unternehmen nach einer wesentlich stärkeren Prozessorientierung. Vor allem die Großunternehmen würden mit dem Aufbau von "Circles of Trust" mit Lieferanten und Partnerbetrieben im B-to-B-Bereich beginnen. Die Anforderungen die solche "Vertrauenskreise" bei der Prozessorientierung an die IT stellen, lassen sich nach Ansicht von Kuppinger Cole langfristig nur mit Identity Federation erfüllen. Der Grund: Diese Partnerkonglomerate können mit Hilfe von Federation-Systemen zu deutlich geringeren Kosten realisiert werden, weil das Verfahren mit offenen Standards und einer flexiblen Kopplung von Anwendungen arbeitet.

In Sachen Standards hat die Liberty Alliance als treibende Kraft für klare Fakten gesorgt. Die Organisation legte sich auf die Security Assertion Markup Language (SAML) als Grundlage für Federation-Lösungen fest. Deshalb dürfte bei unternehmensübergreifenden Anwendungen, so die Experten, kein Weg an SAML vorbeiführen. Die Gefahr möglicher Integrationsprobleme scheint für die Anwender auch deshalb gebannt, weil Microsoft jetzt die Interoperabilität des Passwort-Nachfolgers mit der Liberty-Technologie angekündigt hat.

Neben der Identity Federation identifizieren die meisten Marktforscher den Bereich Compliance als wesentlichen Wachstumssektor im IM-Geschäft. Dieses Segment erhält durch gesetzliche Bestimmungen wie den Sarbanes-Oxley Acts Nahrung. Sie wurden von der US-Regierung nach den Pleiten von Enron und Worldcom eingeführt und schreiben den Unternehmen die Definition von Prozessen sowie ein Auditing vor. Das heißt, jede Company muss exakt dokumentieren, wer zu welchem Zeitpunkt was getan hat.

Weil der Gesetzgeber nicht nur in den USA, sondern auch zunehmend in Europa Revisionssicherheit fordert und den Führungskräften damit ein Haftungsrisiko auferlegt (Corporate Governance, European Privacy Act, Basel II), sehen sich die Firmen zu IM-Projekten gezwungen. Das Thema Compliance wird durch die persönliche Haftung automatisch zur Chefsache und deshalb von oben an die IT-Abteilungen herangetragen werden.

Über eines müssen sich die CIOs jedoch klar sein. Die einzelnen IM-Disziplinen können nicht im Gesamtpaket eingeführt werden. Laut IT-Research ist zwar eine Komplettstrategie für das Unternehmen sinnvoll, die einzelnen IM-Technologien sollten aber nach und nach in getrennten Projekten verwirklicht werden. So setzt zum Beispiel die Einführung einer Provisioning-Lösung ein Passwort Management voraus, ebenso die Authentifizierung.

Da auf der IT ein hoher Kosten- und Effizienzdruck lastet, sind IM-Teilprojekte leichter zu rechtfertigen. Insbesondere die automatisierten Prozesse im Provisioning, aber auch im Passwort-Management sowie die Federation versprechen eine höhere Produktivität und eine Amortisation nach 18 bis 24 Monaten. Dabei dürfen IT-Verantwortliche aber nicht übersehen, dass es sich stets um komplexe Vorhaben handelt. "Wenn man ins Detail geht, werden die Projekte sehr umfangreich und benötigen sehr viel Prozesswissen", gibt Consultant Zilch zu bedenken.

Glossar

• Auditing: Bei diesem Verfahren werden mit Software-Tools sicherheitsrelevante Informationen wie Zugriffe auf Dateien oder Verzeichnisse zum Zweck der Rückverfolgung aufgezeichnet. • Authentifizierung: Die Überprüfung der Identität einer Person oder eines Programms an Hand eines bestimmten Merkmals. • Compliance: Dieser Begriff hängt eng mit dem Auditing zusammen und bedeutet, dass Unternehmen in eindeutigen Prozessen festlegen, welche Rechte jeder Nutzer hat. Die Zugangsrechte und das Zugriffsverhalten müssen aus Gründen der Revisionssicherheit für staatliche Behörden nachvollziehbar sein. • Federation: Dieses relativ neue Segment des Identity-Managements konzentriert sich auf die gemeinsame Nutzung von Identitätsinformationen über unterschiedliche IT-Systeme sowie die Unternehmensgrenzen hinweg. • Passwort-Management: Hinter der Kennwortverwaltung stehen die drei Verfahren Passwort-Reset, Passwort-Synchronisierung und Single-Sign-on. • Provisioning: Hierunter wird ein weitgehend automatisiertes Management aller Veränderungen rund um einen Mitarbeiter vom Zeitpunkt seiner Einstellung über den internen Job-Wechsel bis hin zum Verlassen des Unternehmens verstanden. Dazu zählt die Erteilung sowie Deaktivierung von Zugriffsrechten auf IT-Ressourcen.

Ohne externe Hilfe werden die meisten Unternehmen also nicht auskommen. Aber Vorsicht bei der Beraterauswahl! Die Zahl der IT-Dienstleister, die das Thema IM für sich entdecken, steigt zwar, aber laut IT Research haben die wenigsten langjährige Erfahrung. Deshalb sollten Interessenten die Kompetenz genau prüfen. Kritische Maßstäbe sind darüber hinaus beim Reifegrad des Produkts sowie der wirtschaftlichen Stärke und Zuverlässigkeit des Herstellers anzulegen.