Studie „Identity und Access Management“

Die IT-Abteilung hat bei IAM (meistens) den Hut auf

Jürgen Mauerer betreibt als freier Journalist ein Redaktionsbüro in München.
In mittleren und großen Unternehmen ist vor allem die IT-Abteilung für Identity und Access Management (IAM) verantwortlich, sprich die Verwaltung von Identitäten und deren Zugriffsrechten. In kleinen Firmen bis zu 100 Mitarbeitern dominiert hingegen die Geschäftsführung. Das ist ein wichtiges Ergebnis der IAM-Studie von Computerwoche und CIO.

Wie würden Sie den Reifegrad Ihres Unternehmens in Bezug auf sein Identity- und Access-Management einstufen? Gibt es in Ihrem Unternehmen ein softwaregestütztes Identity- und Access-Management? Nutzt Ihr Unternehmen für die Absicherung der Zugänge eine Multi-Faktor-Authentifizierung mit Token (Hardware, Software oder Push)? Wer ist in Ihrem Unternehmen für das Identity- und Access-Management verantwortlich?

Bei der Verwaltung von Identitäten und deren Zugriffsrechten gehen die Strategien der Unternehmen auseinander.
Bei der Verwaltung von Identitäten und deren Zugriffsrechten gehen die Strategien der Unternehmen auseinander.
Foto: John Williams RUS - shutterstock.com

Um diese und weitere Fragen zu beantworten, hat die COMPUTERWOCHE gemeinsam mit den Partnern Procilon, Timetoact, Airlock, Nevis, Centrify und KeyIdentity die Studie "Identity- & Access-Management" realisiert. Hierzu wurden im Sommer 2017 bundesweit 385 Entscheider zu ihren Plänen und Projekten rund um IAM befragt.

Während der erste Teil unseres Artikels zu den Ergebnissen der Studie sich mit dem Status quo in deutschen Firmen befasst und zeigt, in welchen Feldern Handlungsbedarf besteht, stehen im zweiten Teil die technische und organisatorische Umsetzung sowie das Thema Security-Dienstleister im Vordergrund. Sollten Sie den ersten Teil des Artikels nicht gelesen haben, so finden Sie den Text hier.

Die IT-Abteilung gibt bei IAM den Ton vor

In etwas mehr als einem Drittel (35 Prozent) der befragten Unternehmen ist die Geschäftsführung für das Identity- und Access-Management verantwortlich. Das behaupten 65 Prozent der Geschäftsführer selbst, während nur 12 Prozent der CIOs und 15 Prozent der IT-Leiter dieser Meinung sind. Die Werte sind auch von der Größe des Unternehmens abhängig. Während sich in 62 Prozent der kleinen Firmen der Geschäftsführer um IAM kümmert, sind es in mittleren Firmen nur 18 Prozent, in großen Unternehmen 28 Prozent.

CIO/IT-Sicherheitsexperte/IT-Leiter: Insgesamt dominiert die IT-Abteilung das Thema IAM.
CIO/IT-Sicherheitsexperte/IT-Leiter: Insgesamt dominiert die IT-Abteilung das Thema IAM.

Insgesamt dominiert die IT-Abteilung das Thema IAM. Zählt man die Ergebnisse für CIO/IT-Vorstand (33 Prozent), IT-Sicherheitsexperte (27 Prozent) und IT-Leiter (22 Prozent) zusammen, kommt man auf mehr als 80 Prozent (Mehrfachnennungen möglich). In 13 Prozent der Firmen gibt es einen eigenen Chief Information Security Officer (CISO), der die Verantwortung für IAM übernimmt.

Ein ähnliches Bild ergeben die Antworten auf die Frage, wer in den Firmen die Entscheidungen bei der Auswahl von Security-Dienstleistern und Security-Lösungen trifft. Auch hier dominieren in kleinen Firmen die Geschäftsführer (75 Prozent), in den mittleren und großen Unternehmen der CIO oder IT-Leiter.

Externe IAM-Dienstleister sind gefragt

Drei Viertel der Unternehmen (77 Prozent) arbeiten mit einem externen IT-Security-Dienstleister zusammen, 23 Prozent nicht. Aufschlussreich ist hier ein Blick auf die Unternehmensgröße. Die Hälfte der kleinen Unternehmen kümmert sich selbst um ihre IT-Sicherheit; bei den mittleren und großen Unternehmen sichern nur zehn Prozent ihre IT-Infrastruktur ohne Unterstützung von außen ab.

Vor allem mittlere und große Unternehmen setzen auf Unterstützung durch IAM-Dienstleister.
Vor allem mittlere und große Unternehmen setzen auf Unterstützung durch IAM-Dienstleister.

Wichtigstes Gebiet bei der Zusammenarbeit mit den Dienstleistern ist Identity- und Access-Management (31 Prozent), gefolgt von Sicherheitsarchitektur (30 Prozent) und dem Betrieb eines Security Operation Centers (26 Prozent). Letzteres ist vor allem in mittleren (36 Prozent) und großen Firmen (35 Prozent) der Fall. Nur sieben Prozent der kleinen Unternehmen setzen beim Thema SOC auf einen externen Partner.

Weitere Gebiete für die Zusammenarbeit mit externen IT-Security-Dienstleistern sind die Evaluation von Security-Lösungen (24 Prozent), Abwehr von Angriffen und forensische Untersuchungen (22 Prozent), Threat Intelligence mit Bedrohungsanalysen (21 Prozent) und Penetrationstests (16 Prozent).

Beim Thema IAM holen sich 59 Prozent der Unternehmen einen (42 Prozent) oder sogar mehrere Dienstleister (17 Prozent) ins Boot. Auffällig sind hier die hohen Werte bei mittleren und großen Unternehmen mit insgesamt 71 Prozent (mittel) oder 78 Prozent (groß), während nur 28 Prozent der kleinen Firmen mit einem oder mehreren Dienstleistern zusammenarbeiten.

Entsprechend setzen zwei Drittel (66 Prozent) der Unternehmen mit bis zu 100 Mitarbeitern IAM selbst ohne externe Hilfe um. Analog gilt das auch für Firmen mit einem kleineren IT-Etat unter einer Million Euro (59 Prozent). Die meisten Firmen zögern aber (noch) mit einer kompletten Auslagerung ihres IAMs. So greifen derzeit nur 17 Prozent der Befragten auf die Dienste eines Identity-Providers zurück, 16 Prozent planen diese Aktion.

Rechenzentrum muss in Deutschland sein

Bei der Wahl eines externen Partners für IAM legen die Unternehmen vor allem Wert auf ein Rechenzentrum in Deutschland, Technologie-Expertise sowie ein gutes Preis-/Leistungsverhältnis. Kriterium Nummer 1 ist ein Firmensitz / Rechenzentrum in Deutschland. 42 Prozent der Unternehmen fordern von potenziellen IAM-Anbietern aus datenschutzrechtlichen Gründen den Firmensitz und das Rechenzentrum in Deutschland. Hier sind sich die Fachabteilungen sowie die kleinen, mittleren und großen Unternehmen einig.

Für 39 Prozent der Firmen spielen technologisches und Prozess-Know-how eine große Rolle, für 37 Prozent ein gutes Preis-/Leistungsverhältnis. Letzteres ist vor allem den Geschäftsführern (45 Prozent) und den kleinen Firmen wichtig (51 Prozent). Jeweils 36 Prozent der Unternehmen legen großen Wert auf Produktzertifizierungen und Branchenkompetenz. Dahinter folgen Kriterien wie Herkunftsland (33 Prozent), Kundenreferenzliste (32 Prozent), bestehender persönlicher Kontakt (26 Prozent) oder Personenzertifizierungen (25 Prozent). Ganz hinten auf der Liste landen die Kapitalkraft und Größe des Dienstleisters mit sieben Prozent.