– Identity Provisioning als Basistechnologie am weitesten verbreitet
– Integrationsgrad verschiedener Lösungen im Bereich IAM/IAG untereinander sowie mit anderen IT-Funktionen im Unternehmen insgesamt tendenziell zu gering
Berlin, 17. Juli 2012 – Der Einsatz von Identity Access Management (IAM)1 und Identity Access Governance (IAG)2 in der Finanzindustrie setzt eine technische Reife in den Unternehmen voraus. Das europäische Analystenunternehmen KuppingerCole und die Beta Systems Software AG, IAM/IAG-Lösungsexperte und Branchenkenner der Finanzindustrie, untersuchen in ihrer aktuellen Studie die technischen Voraussetzungen sowie den Integrationsgrad von IAM/IAG-Lösungen. KuppingerCole führte die Befragung über den Status von IAM und IAG in der Finanzindustrie in Deutschland und der Schweiz zwischen November 2011 und Januar 2012 durch. Die Studie belegt, dass die meisten Unternehmen, die sich heute mit IAM und IAG beschäftigen, nicht mehr auf der grünen Wiese starten. Als Basistechnologie kommt das Identity Provisioning am häufigsten zum Einsatz. Insgesamt ist der Integrationsgrad verschiedener Lösungen im Bereich IAM/IAG untereinander sowie mit anderen IT-Funktionen im Unternehmen tendenziell zu gering. Das erhöht die Aufwände und Risiken.
Am weitesten verbreitet ist laut Studie eindeutig das Identity Provisioning als Basistechnologie. Mehr als die Hälfte der Unternehmen setzen bereits Identity-Provisioning-Lösungen ein. Weitere gut 18 % sind in der Planungsphase und knapp 14 % in der Umsetzung. Bei anderen Technologien ist der Verbreitungsgrad dagegen deutlich geringer.
Abb. 1: Der Einsatz von IAM/IAG-Technologien in den Unternehmen
http://www.hbi.de/uploads/media/Abb._1_Der_Einsatz_von_IAM-IAG-Technologien_in_den_Unternehmen_-_neu.png
„Etwas überraschend ist, dass immerhin 45 % respektive 59 % der Unternehmen weder über Access Governance/Intelligence verfügen noch einen Einsatz planen. Bei Access Intelligence³ ist das noch dadurch zu erklären, dass der Begriff noch nicht etabliert ist. Access Governance ist jedoch mit Blick auf die regulatorischen Anforderungen eine Kerntechnologie“, erläutert Martin Kuppinger von KuppingerCole.
Wenig überraschend ist dagegen, dass SIEM (Security Information and Event Management), also Lösungen für die Sammlung und zentrale Analyse von Logs und Ereignissen von verschiedenen Systemen, ebenso an Bedeutung gewinnen wie PxM (Privileged Access, Account, Identity, User Management), also die Technologien, mit denen die Handlungsmöglichkeiten von privilegierten Benutzern eingeschränkt und privilegierte sowie gemeinsam genutzte Benutzerkonten besser geschützt werden können. Beide Themenfelder werden häufig von Prüfern gefordert und verringern die IT-Risiken erheblich. Während jeweils weniger als 20 % der Unternehmen heute bereits über solche Lösungen verfügen, sind in der Summe rund 50 % beziehungsweise 45 % der Unternehmen noch in der Planungs- oder Implementierungsphase.
Die Rolle von Access Governance und Access Intelligence untersucht die Studie desweiteren, indem sie zunächst der Frage nach dem Status des Identity Provisioning nachgeht.
Abb. 2: Der Status von Provisioning-Lösungen
http://www.hbi.de/uploads/media/Abb._2_Der_Status_von_Provisioning-L%C3%B6sungen_-_neu.png
Jeweils knapp 30% der Unternehmen nutzen ein zentrales System mit Anbindung aller oder zumindest der meisten kritischen Anwendungen. Gut 32 % der Unternehmen mit einer Provisioning-Lösung haben dagegen nur einzelne Anwendungen angebunden und damit deutlichen Nachholbedarf in diesem Bereich. Weitere 10 % der Unternehmen verfügen über mehrere Provisioning-Lösungen, die nicht oder kaum miteinander verbunden sind. Dagegen gab es in der Studie kein Unternehmen, das mehrere Provisioning-Lösungen einsetzt und diese miteinander integriert hat.
Abb. 3: Integration von Provisioning und Access Governance
http://www.hbi.de/uploads/media/Abb._3_Integration_von_Provisioning_und_Access_Governance_-_neu.png
Diese mangelnde Integration zeigt sich noch starker bei der Frage nach dem Zusammenspiel von Access Governance und Provisioning. Da Access Governance auf die Analyse des Status von Berechtigungen und die Rezertifizierung fokussiert, werden dort regelmäßig Situationen identifiziert, die eine Veränderung von Berechtigungen erfordern. Ein Zusammenspiel zwischen Access Governance und Provisioning-Lösungen, bei denen die Provisioning-Lösungen die Umsetzung der Änderungen vornehmen, ist damit zwingend. Immerhin 40 % der befragten Unternehmen, die sowohl Access Governance als auch Provisioning einsetzen, haben diese Integration jedoch nicht.
„Das ist insofern nicht überraschend, als Access-Governance-Lösungen häufig sehr schnell unter hohem Compliance-Druck eingeführt und teilweise auch von anderen internen Bereichen als dem Identity Provisioning betrieben werden“, erklärt Martin Kuppinger. „Da die fehlende Kopplung der Lösungen aber das Risiko von Inkonsistenzen im Management von Zugriffsberechtigungen erhöht, ist eine Kopplung zwingend.“
Abb. 4: Die Anforderungen an die Integration von Access Governance
http://www.hbi.de/uploads/media/Abb._4_Die_Anforderungen_an_die_Integration_von_Access_Governance_-_neu.png
Dass die Notwendigkeit seitens der Unternehmen jedoch erkannt ist, zeigen die Antworten auf die Frage, mit welchen anderen Lösungen Access-Governance-Produkte eigentlich integriert sein sollten. Hier erachten alle befragten Unternehmen die Integration mit Provisioning-Lösungen als sehr wichtig oder wichtig. Auch die Integration mit Service-Request-Management-Lösungen für die manuelle Bearbeitung von Änderungen auf Basis von Tickets und mit Business-Process-Management-Lösungen für die Definition und Umsetzung der Prozesse für IAM/IAG wird hoch bewertet.
Ebenfalls aufschlussreich sind die Antworten auf die Frage nach dem Zusammenspiel zwischen Enterprise GRC und Access Governance. Hier hat gerade einmal jedes sechste Unternehmen Schnittstellen realisiert. Dagegen haben gut 44 % keine solche Integration und weitere knapp 40 % wissen es nicht.
Abb. 5: Das Zusammenspiel zwischen Access Governance und Enterprise GRC
http://www.hbi.de/uploads/media/Abb._5_Das_Zusammenspiel_zwischen_Access_Governance_und_Enterprise_GRC_-_neu.png
„Diese Zahlen geben Aufschluss darüber, dass Access Governance trotz seiner zentralen Bedeutung für die Erfüllung regulatorischer Anforderungen und das Risikomanagement insgesamt immer noch zu sehr als IT-Thema gesehen wird, und dass es der Finanzindustrie insgesamt bisher nicht gelungen ist, organisatorische Strukturen für ein unternehmensweites GRC unter Einbezug sowohl der Business-Bereiche als auch der IT zu implementieren“, erklärt Martin Kuppinger.
Die gesamte Studie mit weiteren Ergebnissen und Informationen zur Methodik der Studie steht im Internet zum freien Download zur Verfügung unter: http://www.betasystems.com/kuppingercole2012
Anmerkungen:
1) IAM steht für Identity und Access Management und bezeichnet die Technologien, mit denen die Identitäten von Benutzern und ihre Zugriffsberechtigungen verwaltet werden.
2) Identity und Access Governance (IAG) betrachtet die Governance um Identitäten (beispielsweise verwaiste Konten von Benutzern, die längst nicht mehr im Unternehmen sind) und Zugriffsberechtigungen. Hier geht es darum sicherzustellen, dass Benutzer minimale oder angemessene Berechtigungen haben, aber eben keine Berechtigungen über das hinaus, was sie sinnvollerweise in ihrer Arbeit benötigen. Die Analyse von Zugriffsberechtigungen und die regelmäßige Rezertifizierung durch manuelle Prüfprozesse sind wesentliche Funktionen der Identity und Access Governance.
3) Bei Identity und Access Intelligence geht es um analytische Funktionen, bei denen vermehrt Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen, um Berechtigungen analysieren und beispielsweise spezifische Risiken erkennen zu können. Im Gegensatz zu IAG werden dabei vermehrt nicht nur statische Berechtigungszuweisungen, sondern auch die aktive Nutzung von Berechtigungen einbezogen.
Beta Systems Software AG
Die Beta Systems Software AG (General Standard: BSS, ISIN DE0005224406) bietet hochwertige Softwareprodukte und -lösungen im Bereich Sicherheit und Nachvollziehbarkeit in der IT und zur automatisierten Verarbeitung größter Daten- und Dokumentenmengen. In den Geschäftsbereichen „Data Center Automation & Audit“, „Identity & Access Governance“ und „Document Processing & Audit“ unterstützt das Unternehmen Kunden aus den Bereichen Finanzdienstleistungen, Industrie, Handel, Logistik und IT-Dienstleistungen bei der Optimierung der IT-Sicherheit, der Automatisierung von Geschäftsprozessen sowie mit einem umfassenden Produkt-, Lösungs- und Beratungsangebot im Bereich „GRC – Governance, Risk & Compliance“ bei der Erfüllung von gesetzlichen und geschäftlichen Anforderungen.
Beta Systems wurde 1983 gegründet, ist seit 1997 börsennotiert und beschäftigt rund 270 Mitarbeiter. Sitz des Unternehmens ist Berlin. Beta Systems ist national und international mit 15 eigenen Konzerngesellschaften und zahlreichen Partnerunternehmen aktiv. Weltweit optimieren mehr als 1.300 Kunden in über 3.200 laufenden Installationen in über 30 Ländern ihre Prozesse und verbessern ihre Sicherheit mit Produkten und Lösungen von Beta Systems. Das Unternehmen gehört zu den führenden mittelständischen und unabhängigen Softwarelösungsanbietern in Europa und erwirtschaftet rund 50 Prozent seines Umsatzes international.
Kontakt:
Beta Systems Software AG
Dirk Nettersheim
Alt-Moabit 90d
10559 Berlin
+49 (0)30-726118-0
dirk.nettersheim@betasystems.com
http://www.betasystems.de
Pressekontakt:
HBI Helga Bailey PR&MarCom GmbH
Alexandra Janetzko
Stefan-George-Ring 2
81929 München
+49 (0)89 99 38 87-32
alexandra_janetzko@hbi.de
http://www.hbi.de