Von Identity- und Access-Management-Projekten (IAM) erwarten Firmen und Behörden in erster Linie, dass sie Compliance-Vorgaben besser einhalten können. Das gaben rund 55 Prozent der Befragten an. Fast ebenso viele wollen durch entsprechende Initiativen ihre geschäftlichen Risiken minimieren.
IAM definieren die Experten als Richtlinien, Prozesse und Systeme, die effektiv steuern und verwalten, wer in einer Organisation wann Zugriff auf welche Informations- und Datenquellen hat.
Branchenspezifisch unterschiedliche Schwerpunkte
Rund die Hälfte der Befragten versprechen sich dadurch Prozessverbesserungen, doch nur rund ein Viertel sieht darin auch einen Wettbewerbsvorteil. Darüber hinaus erhoffen sich Unternehmen Verbesserungen bei bestimmten Vorgängen - insbesondere, wenn Mitarbeiter ihre Funktion wechseln oder die Organisation verlassen.
Je nach Branche variieren die Schwerpunkte bei IAM-Initiativen. Finanzdienstleister sowie Firmen aus der Informations-, Kommunikations- und Unterhaltungs-Branche wollen vor allem Compliance-Anforderungen erfüllen sowie Geschäftsrisiken verringern. Behörden sowie der Gesundheits-Sektor sehen dadurch eine Möglichkeit, Geschäftsprozesse effizienter zu gestalten.
Geld in die Hand genommen
Alle Befragten haben innerhalb der vergangenen drei Jahre eines oder mehrere IAM-Projekte in Angriff genommen. Die überwiegende Mehrheit, nämlich 86 Prozent der Unternehmen oder Behörden, initiierten zwischen ein und fünf IAM-Vorhaben. Zehn Prozent der Befragten starteten zwischen fünf und zehn IAM-Projekte und vier Prozent sogar mehr als zehn.
31 Prozent geben für ihre IAM-Projekte weniger als 100.000 Euro aus, 38 Prozent zwischen 100.000 und 500.000 Euro, 21 Prozent zwischen 500.000 und zehn Millionen Euro und sieben Prozent mehr als zehn Millionen Euro. Unter Branchengesichtspunkten betrachtet, nehmen Finanzdienstleister am meisten Geld in die Hand. Ihre Etats sind im Schnitt um ein Viertel höher als die in anderen Branchen.
Ziele und Nutzen nicht im Einklang
Im Rahmen der Studie haben die Experten auch die Ergebnisse von IAM-Projekten genauer unter die Lupe genommen. 70 Prozent der Befragten gaben an, dass sich IAM-Projekte in der Implementierung neuer Technologien, wie etwa einem zentralen und integrierten IAM-System, erschöpfen.
Was fehlt ist ein klarer geschäftlicher Fokus, die Vision einer IAM-Strategie und der damit verbundenen Prozesse. Damit aber klafft eine erhebliche Lücke zwischen den erwarteten Zielsetzungen und dem tatsächlich realisierten Nutzen, denn viele Projekte bringen keinen geschäftlichen Mehrwert.
Nur wenige sind restlos zufrieden
Als Grund hierfür identifizieren die Experten, dass IAM-Vorhaben meist in den Verantwortungsbereich der IT-Organisation fallen, während Geschäftsprozess-Experten nur bedingt einbezogen werden.
Knapp 60 Prozent gaben an, dass Strategien für die Implementierung von IAM-Systemen in den Händen von CIOs und IT-Leitern liegen. In etwas mehr als 40 Prozent der Fälle sind es Sicherheitsbeauftragte. In nur zehn Prozent der Fälle verantworteten CFOs die IAM-Projekte.
Nur elf Prozent der Befragten sind deshalb mit ihren IAM-Vorhaben restlos zufrieden. 39 Prozent teilten mit, sie seien mit den Projektergebnissen "irgendwie zufrieden". 27 Prozent waren weder zufrieden noch unzufrieden und immerhin 18 Prozent "irgendwie unzufrieden".
Im Rahmen der Studie "KPMG's 2008 European Identity & Access Management Survey" befragte der Geschäftsbereich IT Advisory des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG Unternehmen und Organisationen aus 21 europäischen Staaten und wertete die Antworten von 235 Teilnehmern aus. Für die Untersuchung wurden CEOs und CIOs, Sicherheitsbeauftragte sowie Leiter der Revision befragt.