Auf der Suche nach neuen Einnahmequellen haben etliche Hersteller die Disziplin des Identity-Managements (IM) für sich entdeckt. Zu den Hauptakteuren auf diesem Gebiet zählen BMC, Computer Associates (CA), Hewlett-Packard (HP), IBM, Microsoft, Novell, Oracle und Sun.
Die Übernahmewelle der letzten beiden Jahre belegt, wie ernst es den Software- und Serviceanbietern ist, im Business mit der "Nutzeridentität" eine marktrelevante Stellung einzunehmen. Zuletzt machten Oracle und BMC mit Zukäufen von sich reden. Oracle verleibte sich den IM-Spezialisten Oblix ein, während BMC Calendra und Open Network schluckte. Zuvor hatte CA bereits Netegrity gekauft, IBM sein Portfolio durch die Übernahme von SRD erweitert, HP in Trulogica und Baltimore investiert und Sun durch die Akquisition von Waveset IM-Know-how erworben.
Nach Ansicht vieler Analysten sind diese Fusionen nur der Anfang einer fortschreitenden Konsolidierung. Potenzielle Übernahmekandidaten gibt es zuhauf. In ihrer Studie "Our Digital Identity" kommen die Marktforscher von IT Research zu dem Ergebnis, dass derzeit über 100 Hersteller im IM-Bereich existieren.
Die große Anbieterzahl erklärt sich durch die Komplexität, die hinter dem Obergriff Identity-Management steckt. Die Zeiten, als das Schlagwort mehr oder weniger nur als Synonym für Verzeichnisdienste gebraucht wurde, sind längst passé. Sie datieren noch auf den Wettstreit zwischen Novell und Microsoft um das bessere Directory-Konzept zurück. Heute besteht die Szene jedoch aus weit mehr Teildisziplinen als nur den Verzeichnisdiensten. Sie gliedert sich hauptsächlich in die Segmente Provisioning, Passwort-Management, Federation, Compliance, Auditing und Authentifizierung (siehe Kasten "Glossar").
Keine Lösung out of the box
Dieses breite Anwendungsspektrum macht den Markt für die Anbieter interessant und problematisch zugleich. "Es wird weder heute noch in Zukunft einen Hersteller geben, der dem Anwender Identity-Management komplett out of the box verkaufen kann. Dazu ist das Thema allein unter den Aspekten der Integration sowie der Prozesse zu komplex", prophezeit Andreas Zilch, Analyst des deutschen Marktforschungs- und Beratungshauses Techconsult.
Vor falschen Versprechungen der Provider warnen auch die Marktbeobachter der Burton Group. "Bei Identity-Management-Suiten handelt es sich heute eher um ein Marketing-Phänomen als um praktische Realität", dämpft Jamie Lewis, President des Instituts, übertriebene Erwartungen seitens der Anwender. Die Anbieter müssten es erst noch schaffen, IM-Produkte zu entwickeln, die sich nicht überlappen, in sämtliche Funktionen integrieren lassen und eine konsistente Management-Plattform unterstützen.
Laut Lewis haben die aktuellen Lösungen der großen Softwareproduzenten in den IT-Abteilungen der Unternehmen allerdings ein Bewusstsein für IM geweckt und erste Akzeptanzhürden beseitigt. Außerdem sei es durch den zunehmenden Wettbewerb zu deutlichen Preissenkungen gekommen. Für die Burton Group steht deshalb fest, dass der IM-Markt weiter an Bedeutung gewinnen wird.
Die Analysten von IDC gehen ebenfalls von einem Wachstum aus. Sie beziffern die jährliche Zuwachsrate im Marktsegment für IM-Software mit 9,7 Prozent und prognostizieren für 2008 ein Umsatzvolumen von 3,5 Milliarden Dollar. 2004 lagen die Einnahmen bei 2,4 Milliarden Dollar (siehe Grafik "Softwareumsatz Identity-Management"). Dabei verdienten die Anbieter ihr Geld hauptsächlich mit Passwort-Management und Provisioning.
Die Experten der Stuttgarter Marktanalysefirma Kuppinger Cole + Partner kommen in ih- rer Studie "Identity-Management - Trends 2005" jedoch zu dem Ergebnis, dass Provisioning-Projekte an Bedeutung verlieren. Stattdessen werden in den kommenden Jahren die Themen Federation und Compliance in den Vordergrund rücken.
Für den zunehmenden Einsatz von Federation-Lösungen, also die Nutzung von Identitätsdaten über verschiedene Applikationen und sogar Firmengrenzen hinweg, spricht den Spezialisten zufolge der Wusch der Unternehmen nach einer wesentlich stärkeren Prozessorientierung. Vor allem die Großunternehmen würden mit dem Aufbau von "Circles of Trust" mit Lieferanten und Partnerbetrieben im B-to-B-Bereich beginnen. Diese Partnerkonglomerate können mit Hilfe von Federation-Systemen zu deutlich geringeren Kosten realisiert werden, weil das Verfahren mit offenen Standards und einer flexiblen Kopplung von Anwendungen arbeitet.
Liberty Alliance setzt Standard
In Sachen Standards hat die Liberty Alliance als treibende Kraft für klare Fakten gesorgt. Die Organisation legte sich auf die Security Assertion Markup Language (SAML) als Grundlage für Federation-Lösungen fest. Deshalb dürfte bei unternehmensübergreifenden Anwendungen, so die Experten, kein Weg an SAML vorbeiführen. Die Gefahr möglicher Integrationsprobleme scheint für die Anwender auch deshalb gebannt, weil Microsoft jetzt die Interoperabilität des Passwort-Nachfolgers mit der Liberty-Technologie angekündigt hat (siehe Seite 1).
Neben der Identity Federation identifizieren die meisten Marktforscher den Bereich Compliance als wesentlichen Wachstumssektor im IM-Geschäft. Dieses Segment erhält durch gesetzliche Bestimmungen wie den Sarbanes-Oxley Act Nahrung. Sie wurden von der US-Regierung nach den Pleiten von Enron und Worldcom eingeführt und schreiben den Unternehmen die Definition von Prozessen sowie ein Auditing vor. Das heißt, jede Company muss exakt dokumentieren, wer zu welchem Zeitpunkt was getan hat.
Berater haben noch Defizite
Weil Gesetzgeber nicht nur in den USA, sondern auch zunehmend in Europa Revisionssicherheit fordern und den Führungskräften damit ein Haftungsrisiko auferlegen (Corporate Governance, European Privacy Act, Basel II), sehen sich die Firmen zu IM-Projekten gezwungen. Das Thema Compliance wird durch die persönliche Haftung automatisch zur Chefsache und deshalb von oben an die IT-Abteilungen herangetragen werden.
Über eines müssen sich die CIOs jedoch klar sein: Die einzelnen IM-Disziplinen können nicht im Gesamtpaket eingeführt werden. Laut IT-Research ist zwar eine Komplettstrategie für das Unternehmen sinnvoll, die einzelnen IM-Technologien sollten aber nach und nach in getrennten Projekten verwirklicht werden. So setzt zum Beispiel die Einführung einer Provisioning-Lösung ein Passwort- Management voraus, ebenso die Authentifizierung.
Da auf der IT ein hoher Kosten- und Effizienzdruck lastet, sind IM-Teilprojekte leichter zu rechtfertigen. Insbesondere die automatisierten Prozesse im Provisioning, aber auch im Passwort-Management sowie die Federation versprechen eine höhere Produktivität und eine Amortisation nach 18 bis 24 Monaten. Dabei dürfen IT-Verantwortliche aber nicht übersehen, dass es sich stets um komplexe Vorhaben handelt. "Wenn man ins Detail geht, werden die Projekte sehr umfangreich und benötigen sehr viel Prozesswissen", gibt Consultant Zilch zu bedenken.
Ohne externe Hilfe werden die meisten Unternehmen also nicht auskommen. Aber Vorsicht bei der Beraterauswahl! Die Zahl der IT-Dienstleister, die das Thema IM für sich entdecken, steigt zwar, aber laut IT Research haben die wenigsten langjährige Erfahrung. Deshalb sollten Interessenten die Kompetenz genau prüfen.