Ausbaufähig: Strategien für Digitalisierung und IT-Security
Die Zusammenarbeit mit einem externen IAM-Dienstleister ergibt eigentlich nur dann Sinn, wenn die Firmen selbst eine IT-Security-Strategie oder eine übergeordnete Digitalisierungsstrategie verfolgen. Doch in nur 65 Prozent der befragten Firmen gibt es eine Digitalisierungsstrategie. Auffällig sind hier die hohen Werte bei mittleren und großen Unternehmen mit 77 und 78 Prozent. Bei kleinen Firmen besitzen nur 42 Prozent eine Digitalisierungsstrategie.
Etwas besser sieht es bei der IT-Security-Strategie aus. Immerhin 72 Prozent der Firmen verfolgen bei ihren Sicherheits-Maßnahmen einen ganzheitlichen Plan. Auch hier sind die mittleren (79 Prozent) und großen Unternehmen (83 Prozent) Vorreiter, während bei den kleinen Firmen noch großer Nachholbedarf besteht (54 Prozent). 82 Prozent der befragten Firmen verknüpfen ihre IT-Security- und Digitalisierungsstrategie miteinander. Ausbaufähig sind in den Unternehmen zudem die IT-Sicherheitsrichtlinien/-Policies (64 Prozent) sowie die Konzepte zur Risiko-Analyse und Risikobewertung (50 Prozent).
Gleiches gilt für GAP-Analysen zu künftigen Regularien sowie die Etablierung von Val IT, einem Good Practices-Leitfaden, mit dem IT Services einen Mehrwert für das Unternehmen erbringen. 37 Prozent der Firmen haben bisher diese beiden Ansätze verwirklicht, insbesondere aber große Unternehmen (jeweils rund 50 Prozent).
Authentifizierung: Modulare Lösung bevorzugt
Ein zentraler Bereich des Identity- und Access-Managements ist die Authentifizierung. Knapp die Hälfte der Firmen setzt bei der Authentifizierung ihrer Systeme auf modulare Lösungen. Insgesamt 49 Prozent der Befragten würden anderen Unternehmen bei der Authentifizierung eindeutig (22 Prozent) oder eher (27 Prozent) zu modularen statt integrierten Lösungen raten. Insbesondere die Firmen mit software-gestütztem IAM (62 Prozent) plädieren für den Einsatz einer modularen Lösung.
38 Prozent der Unternehmen sind eher unentschlossen. Hier gibt es keine Tendenz zu einer der beiden Lösungen. Die Zahl der klaren Befürworter einer integrierten Lösung für die Authentifizierung ist sehr gering. Nur zehn Prozent der Firmen raten eher zu einer integrierten Lösung, vier Prozent ganz eindeutig.
Die drei wichtigsten Kriterien, nach denen Unternehmen ihre (Multi-Faktor-)Authentifizierungs-Lösung auswählen, sind Sicherheit, Bedienerfreundlichkeit und Produktzertifizierung. In 52 Prozent der Unternehmen bildet Sicherheit das wichtigste Kriterium für die Auswahl einer (Multi-Faktor-) Authentifizierungs-Lösung, um ihre digitalen Geschäftsprozesse abzusichern. Überdurchschnittlich hoch sind hier die Werte bei den mittleren Unternehmen mit 100 bis 999 Mitarbeitern (59 Prozent) und den IT-Leitern (57 Prozent).
Die Firmen achten zudem besonders auf Bedienerfreundlichkeit (38 Prozent) und Produktzertifizierung (33 Prozent). Für rund ein Viertel der Unternehmen bilden die Schnittstelle zur CRM-Lösung (27 Prozent), der Stand der Technik (26 Prozent) und die Administrierbarkeit (23 Prozent) eine Rolle beim Kauf einer Authentifizierungs-Lösung. Eine geringere Rolle spielen Themen wie Dokumentation (16 Prozent), Erweiterbarkeit der Lösung (11 Prozent), Manipulationssicherheit (10 Prozent) oder die Unterstützung von Standards (7 Prozent).
Zurückhaltung bei Self-Service-Portal
In knapp einem Drittel (29 Prozent) der Firmen gibt es ein Self-Service-Portal, über das die Nutzer selbst entscheiden können, welche Zugänge oder Zugriffsberechtigungen sie benötigen. Vorreiter sind hier die Firmen mit software-gestütztem IAM (54 Prozent), gefolgt von großen (41 Prozent) und mittleren (32 Prozent) Unternehmen. In kleinen Firmen bis 100 Mitarbeiter setzen nur 14 Prozent auf ein Self-Service-Portal. 26 Prozent der befragten Unternehmen planen zumindest den Aufbau eines entsprechenden Portals. Nein zum Self-Service-Portal für die Einrichtung von Zugängen und Zugriffsberechtigungen sagen derzeit 43 Prozent der Unternehmen. Der Anteil der kleinen Firmen ist hier mit 67 Prozent überdurchschnittlich hoch.
Widersprüchliche Gefühle hegen die Firmen gegenüber Superuser- und Administratoren-Zugängen mit weitreichenden Zugriffsrechten auf die Systeme. Drei Viertel der Unternehmen haben Superuser- und Administratoren-Zugänge mit erweiterten Zugriffsrechten eingerichtet, obwohl sie das damit verbundene Risiko sehen. Die Unterschiede zwischen kleinen, mittleren und großen Unternehmen sind hier marginal. Erstaunlich hoch ist hier mit 88 Prozent der Wert bei den Firmen mit software-gestütztem IAM.
Die hohe Quote bei den Superuser- und Administratoren-Zugängen überrascht jedoch angesichts der Risiken, die Firmen damit verbinden. Schließlich glauben 20 Prozent der Unternehmen, dass das Risiko dieser privilegierten Zugänge eindeutig zu groß sei, 44 Prozent sagen, dass es eher groß sei. Nur 34 Prozent der Befragten sehen darin kein besonderes Risiko.
Studien-Steckbrief
Die Studie Identity Access Management basiert auf einer Online-Befragung in der DACH-Region, in deren Rahmen im Zeitraum vom 11. bis 21. Juli 2017 insgesamt 385 abgeschlossene und qualifizierte Interviews durchgeführt wurden. Grundgesamtheit sind strategische (IT-)Entscheider der obersten Führungsebene und der Fachbereiche, IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich.
Link zum Studien-Shop: https://shop.computerwoche.de/portal/studie-identity-access-management-2017-pdf-download-direkt-im-shop-7888