Nach einer ausgedehnten Hype-Phase ist das Thema IAM bei den europäischen Unternehmen nun offenbar branchen- und länderübergreifend angekommen. Zu diesem Schluss kommt KPMG in seiner "2008 European Identity & Access Management Survey". Um herauszufinden, wie es in der Firmenlandschaft um die nachweisliche und effektive Verwaltung von Identitäten und deren Berechtigungen, sprich: das User-, Access- und Authentisierungs-Management sowie Provisioning und Audit bestellt ist, hat das Wirtschaftsprüfungs- und Beratungsunternehmen CEOs, CIOs, Security-Verantwortliche und interne Prüfer von 235 Firmen in 21 europäischen Ländern zum Stand der Dinge in ihren Organisationen befragt. Sämtliche Studienteilnehmer haben demnach in den vergangenen drei Jahren ein oder mehrere IAM-Projekte in Angriff genommen. Zwei Dritteln der Unternehmen steht dafür mittlerweile ein dediziertes Budget zur Verfügung. Die Nase vorn haben hier die als "Early Adopters" eingestuften Finanzdienstleister, die im Schnitt über um 20 Prozent höhere IAM-Etats verfügen als in anderen Branchen agierende Firmen. Mit den geringsten diesbezüglichen Mitteln bescheiden sich Organisationen im Infrastrukturbereich, im Regierungsumfeld sowie im Gesundheitswesen, die laut Studie als "IAM-Nachzügler" gerade erst die Fühler ausstrecken.
Der Untersuchung zufolge konzentriert sich das Gros der aktuellen IAM-Projekte auf das Management und die Kontrolle des Zugriffs auf interne Systeme und Informationen, während das Federated Identity Management, also die firmenübergreifende Verknüpfung von IAM-Umgebungen, noch wenig verbreitet ist.
Haupttreiber für IAM-Projekte
Unternehmen gehen IAM-Vorhaben in erster Linie an, weil sie hoffen, Compliance-Vorgaben besser einhalten und ihre Risiken minimieren zu können. Außerdem versprechen sie sich optimierte Anläufe und dadurch einen höheren Business Value.
Was die Risikoeindämmung mittels IAM betrifft, erwarten die Firmen vor allem eine genauere Kontrolle darüber, wer Zugriff auf welche Informationen hat. User-Management-Reporting sowie -Kontrollen wiederum sollen es erleichtern, Compliance-Vorgaben zu erfüllen. Darüber hinaus erhoffen die Unternehmen Verbesserungen bei bestimmten Vorgängen - insbesondere, wenn Mitarbeiter ihre Funktion wechseln oder die Organisation verlassen. Kostensenkungen gehören nicht zu den primären Motiven für IAM-Initiativen, allerdings wird erwartet, dass der darüber zu erzielende Abbau des administrativen Overheads zu niedrigeren Gesamtkosten führt.
Mäßige Projekterfolge
Auffallend ist allerdings die Diskrepanz zwischen dem erwarteten und dem tatsächlich erzielten Nutzen der IAM-Projekte. So nach Aussagen der Befragten bei mehr als der Hälfte der Vorhaben die anvisierten Ziele nicht erreicht. Zudem waren nur elf Prozent der Probanden mit den Projektergebnissen "sehr zufrieden" und 39 Prozent "einigermaßen zufrieden". Allerdings gaben rund zwei Drittel der Befragten zu, dass es der eigenen Organisation an Einblick in die durch IAM-Projekte erzielbaren Vorteile mangelt. Die KPM führen die verhältnismäßig bescheidenen Projekterfolge nicht zuletzt auf die nach wie vor starke Technik-Ausrichtung beziehungsweise unzureichende Geschäftsfokussierung der IAM-Initiativen zurück. So konzentrierten sich viele Projekte vorrangig auf die Implementierung etwa eines zentralen und integrierten IAM-Systems oder Dinge wie automatisiertes Provisioning, während die eigentliche IAM-Strategie und ihr anhängige Prozesse zu wenig adressiert würden.
Laut Untersuchung obliegt die Strategie im Hinblick auf IAM-Projekte meist IT-Profis wie dem Security-Verantwortlichen (rund 40 Prozent), dem CIO oder dem IT-Leiter (jeweils knapp 30 Prozent). Dass es auch auf Seiten der Fachabteilungen Zuständigkeiten geben müsse, werde oft übersehen.
Von einer im Hinblick auf IAM grundsätzlich reifenden europäischen Unternehmenslandschaft zeugt nach Auffassung der KPMG-Experten jedoch die Vielzahl von Organisationen, die ihre IAM-Prozesse mittlerweile standardisiert und dokumentiert haben, so dass sich deren Ausführung auf Basis der Dokumentation überprüfen lässt. Von den einzelnen IAM-Prozessen ist das User-Management inzwischen am weitesten entwickelt, während in den Bereichen Monitoring und Audit noch der größte Handlungsbedarf bestehen soll.
Ingesamt, so der Report, weist der Norden Europas eine etwas höhere IAM-Affinität auf als der restliche Kontinent. (kf)