SOA braucht IAM

Für Unternehmen reiche es nicht aus, ihre serviceorientierte Architektur voranzubringen: Wer IAM in seiner SOA vergesse, setze seine Geschäftsprozesse, Anwendungen und Daten großen Gefahren aus, mahnen die Studieninitiatoren. "Zusätzlich setzen die meisten Unternehmen mit der Vernachlässigung von Sicherheitskonzepten für SOA und dem Verzicht auf IAM die nachweisliche Erfüllung von Governance und Compliance aufs Spiel", warnt Matthias Bandemer, Manager, Advisory Services bei Ernst & Young. Der Grund: IAM integriere Auditing- und Reporting-Werkzeuge, mit deren Hilfe sich sämtliche Zugriffe, Datenveränderungen sowie Zugriffsversuche mitschneiden und auswerten ließen. Dies sei in einer verteilten SOA notwendiger denn je.

Für die erhebliche Diskrepanz zwischen Soll- und Ist-Zustand macht Kuppinger Cole auch die innerhalb der IT meist separaten Zuständigkeiten für SOA und Sicherheit verantwortlich. Dadurch komme ein Schulterschluss zwischen beiden Bereichen selten zustande, gibt Martin Kuppinger, Gründer der Analystengruppe, zu bedenken. "Noch schlimmer: Beide Bereiche arbeiteten in vielen Fällen sogar gegeneinander."

Silos aufbrechen

Aufgabe der CIOs sei demnach, die Silos - etwa mit Hilfe einer Matrix-Organisation - aufzubrechen: Die Verantwortlichen für IAM müssten SOA berücksichtigen, während in SOA-Projekte zwingend ein Sicherheitsarchitekt gehöre, der bereits in der Planungsphase für die erforderlichen Risikoanalysen und Sicherheitskonzepte sorge, so die Empfehlung der Experten.