Identity- und Access-Management

„IAM scheitert, wenn man separate Hardware braucht“

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Erst knapp jedes vierte Unternehmen setzt Sprach- und Gesichtserkennung ein, doch solche Verfahren werden wegen ihrer Nutzerfreundlichkeit zunehmen. Bedroht fühlen sich Unternehmen eher von extern als von innen. Das zeigt eine aktuelle Studie über Identity- und Access-Management. Fünf Experten kommentieren die Ergebnisse.

"In der Regel sind Geschäftsführer nicht in der Lage, die Technik zu bewerten." So kommentiert Carsten Hufnagel, Head of IAG Strategy beim Consulter Timetoact, das derzeitige Identity- und Access-Management in Deutschland. In 44 Prozent der Firmen wählt die Geschäftsführung Security-Tools und Dienstleister selbst aus. Das ist eines von vielen Ergebnissen der Studie "Identity- & Access-Management", die IDG Research Services jetzt vorlegt. Knapp 400 Entscheider haben daran teilgenommen.

Die Teilnehmer der IAM-Diskussionsrunde zusammen mit Autorin Christiane Pütter, Projektleiterin Jessica Schmitz-Nellen und CW-Redakteur Manfred Bremmer.
Die Teilnehmer der IAM-Diskussionsrunde zusammen mit Autorin Christiane Pütter, Projektleiterin Jessica Schmitz-Nellen und CW-Redakteur Manfred Bremmer.

Hufnagel diskutiert die Studie Mitte September mit vier weiteren Experten in den Räumen der Computerwoche. Er steht mit seiner Einschätzung nicht allein: Geschäftsführer holen sich extern Rat von Analysten, orientieren sich an Referenzen oder fragen ihre Peers, beobachten die Fachleute. "Es wird viel über das persönliche Miteinander entschieden", so die Runde. Zweithäufigste Entscheider nach der Geschäftsführung sind IT-Leiter oder IT-Vorstand (30 Prozent der Nennungen), gefolgt von IT-Sicherheitsexperten (21 Prozent).

Diese Zahlen zeigen: "Das Thema ist kein reines IT-Thema mehr", wie Mark Rüdiger sagt. Der Business Developer bei Procilon weiß: "Je größer die Firma, desto mehr Bereiche sind betroffen." Mit Blick auf diese Bereiche stellt Günther Klix, Head of Nevis Office Germany & Austria, fest: "Jetzt gibt es also einen Head of Customer Experience." Einem solchen übertragen allerdings erst sieben Prozent der Unternehmen die Verantwortung für IAM.

"IAM ist kein reines IT-Thema mehr" Mark Rüdiger, Procilon.
"IAM ist kein reines IT-Thema mehr" Mark Rüdiger, Procilon.

Doch Klix erkennt in diesen sieben Prozent einen Trend: die wachsende Ausrichtung an den Kundenbedürfnissen. In Sachen Identitäts-Management heißt das: das Verfahren muss einfach sein. Daher überrascht es die Diskussionsrunde nicht, dass viele der befragten Unternehmen in Zukunft - hier mit Blick auf ihre Pläne in fünf Jahren - verstärkt auf biometrische Verfahren setzen wollen. Bislang arbeitet erst knapp jedes Vierte (23 Prozent) mit Biometrie, doch Fingerabdruck, Gesichtserkennung und Stimmerkennung dürften zweistellig wachsen.

Rüdiger redet insbesondere der Stimmerkennung das Wort: "So etwas lässt sich leicht integrieren", argumentiert er. Seine Erfahrung: jedes IAM-Tool scheitert, wenn man separate Hardware braucht. Beim neuen iPhone ist Apple denn auch vom Fingerprint-Scanner auf die Gesichtserkennung umgestiegen. Eine Kamera haben die Geräte ja ohnehin.

"Geschäftsführer sind in der Regel nicht in der Lage, die Technik zu bewerten." Carsten Hufnagel, Timetoact
"Geschäftsführer sind in der Regel nicht in der Lage, die Technik zu bewerten." Carsten Hufnagel, Timetoact

Stichwort Usability: Gernot Bekk-Huber, Senior Marketing Manager bei der Schweizer Airlock, ist überrascht, dass laut der Studie erst 30 Prozent der großen Unternehmen das Single-Sign-On eingeführt haben. Hier ist noch Markt zu machen, das sagt jeder in der Runde. Gleiches gilt für Multi-Faktor-Authentifizierung mit Token. Gut jedes fünfte Unternehmen (21 Prozent) setzt sie nicht ein - oder noch nicht. Hier sind Wachstumsraten zu erwarten.

Wird Multi-Faktor-Authentifizierung genutzt, dann überwiegend für die eigenen Mitarbeiter. Übrigens gelten diese "nur" als drittgrößte Bedrohung der IT-Security. Stärkere Gefahren sehen die befragten Unternehmen durch eine allgemeine Bedrohungslage von extern und durch zu niedrige IT-Budgets. Ein erstaunliches Ergebnis, findet Hufnagel. Viele seiner Kunden haben die eigenen Mitarbeiter stärker im Visier. "Wahrscheinlich kommt das durch die wachsende Öffnung der Unternehmen nach außen und die veröffentlichten Security Breaches der jüngsten Zeit", überlegt er.

"Wenn sich ein Unternehmen öffnet, muss es festlegen, welche elektronischen Identitäten es akzeptiert." Andreas Liefeith, Procilon
"Wenn sich ein Unternehmen öffnet, muss es festlegen, welche elektronischen Identitäten es akzeptiert." Andreas Liefeith, Procilon

Andreas Liefeith, der bei Procilon Marketing und Partner-Management verantwortet, ergänzt: "Wenn sich ein Unternehmen öffnet, muss es festlegen, welche elektronischen Identitäten es an welcher Stelle akzeptiert." Ein großes Thema zum Beispiel für Geldinstitute, weiß Bekk-Huber. "Banken müssen sich gemäß der neuen EU-Zahlungsdienstrichtlinie PSD II öffnen - werden dafür aber nicht entlohnt." In anderen Branchen dagegen gehe es für viele Unternehmen jetzt darum, Internet of Things (IoT) und Automation umzusetzen. "Security spielt dabei oft eine erschreckend geringe Rolle", beobachtet der Airlock-Manager.

"Beim Thema IoT spielt Security oft eine erschreckend geringe Rolle" Gernot Bekk-Huber, Airlock
"Beim Thema IoT spielt Security oft eine erschreckend geringe Rolle" Gernot Bekk-Huber, Airlock

Ein weiteres Ergebnis der Studie: Knapp sechs von zehn Unternehmen (59 Prozent) kooperieren bei IAM mit einem oder mehreren Dienstleistern. Das gilt vor allem für große Firmen. Doch egal ob Konzern, Mittelständler oder Ein-Mann-Betrieb, die fünf wichtigsten Kriterien der Wahl des Security-Anbieters sind dieselben. Ganz oben steht mit 42 Prozent der Nennungen der Standort des Rechenzentrums. Der muss in Deutschland sein. Es folgen das technologische Know-how/Prozess-Know-how, der Preis, die Produktzertifizierungen und die Branchenkompetenz.

Inhalt dieses Artikels