"Dass Identity- und Zugangs-Management wichtig ist, behaupten wir seit Jahren. Sobald es ums Geld geht, stand aber immer anderes oben auf der Liste", gibt der Chief Information Security Officer (CISO) eines Energieversorgers zu. Dass das ein Fehler sein könnte, erklärt der US-Marktforscher Aberdeen in der Studie "Managing Identities and Access".
Aberdeen ordnet die Studienteilnehmer stets in drei verschiedene Kategorien ein: Besonders erfolgreiche Unternehmen dürfen sich "Best in class" (Bic) nennen. Dazu zählen 20 Prozent der Unternehmen. Die, die am schlechtesten abschneiden, tituliert Aberdeen als "Laggards" (Trödler). Das sind 30 Prozent des Feldes. Die Mitte gilt als Durchschnitt.
In dieser Analyse von mehr als 160 Firmen stellen sich die Unterschiede dar wie folgt: Nach eigenen Angaben verzeichneten die Bics bei nichtautorisierten Netzwerkzugriffen binnen Jahresfrist einen Rückgang um 5,7 Prozent. Die Laggards dagegen beobachteten in den vergangenen zwölf Monaten einen Anstieg um 5,6 Prozent.
Gleichzeitig verbuchten die Musterschüler knapp zehn Prozent (9,7 Prozent) weniger Audit-Mängel im Zusammenhang mit Identitäts- und Zugangs-Management. Die Trödler mussten 5,1 Prozent mehr hinnehmen. Die Bics geben denn auch an, 6,6 Prozent weniger Daten verloren zu haben (bezogen auf Datenverlust in Zusammenhang mit Identitäts- und Zugangs-Management). Die Laggards stellten 6,1 Prozent mehr Datenverlust fest.
Glaubt man Aberdeen, ist das vor allem eine Frage der Organisation. So geben 74 Prozent der "Best in Class"-Firmen an, über durchgängige Policies zum Management der Endnutzer-Identitäten zu verfügen. Unter den Laggards sind es nur 38 Prozent. Außerdem benennen 62 Prozent der Bics einen Hauptverantwortlichen für IAM-Projekte (Identity/Access Management). Bei den Nachzüglern gilt das nur für 49 Prozent.
59 Prozent der Bics haben einen standardisierten Workflow für den gesamten IAM-Lebenszyklus. Das können aber lediglich 24 Prozent der Trödler von sich behaupten.
Zugangsberechtigungen kontrollieren
Was die Endanwender betrifft, erstellen 50 Prozent der Bics Schulungs-Programme rund um ihre IAM-Policies und IAM-Praxis. Unter den Nachzüglern sind es gerade einmal 15 Prozent. Ob die Nutzer denn auch passgenaue Zugangsberechtigungen haben, kontrollieren 63 Prozent der Musterfirmen regelmäßig. Bei den Laggards sind es 24 Prozent.
Soweit zu organisatorischen Fragen. Aberdeen wollte außerdem wissen, wie IAM technisch umgesetzt wird. Demnach arbeiten 82 Prozent der Bics mit Directory Integration (Laggards: 54 Prozent). 68 Prozent der Erfolgsfirmen nutzen Password-Synchronisation (Laggards: 43 Prozent). 47 Prozent der Bics haben webbasiertes Single-Sign on eingeführt (Trödler: 26 Prozent).
Unabhängig von diesen Kategorien haben sich die Analysten nach den Gründen für Investitionen in Identitäts- und Zugangs-Management erkundigt. Alle Studienteilnehmer zusammengenommen, stehen interne Policies ganz oben auf der Liste (56 Prozent der Nennungen). 43 Prozent nennen außerdem Risiken durch eigene Mitarbeiter - Risiken durch Externe nennen "nur" 26 Prozent.
36 Prozent erfüllen mit IAM gesetzliche Regularien. 32 Prozent orientieren sich an Best Practices und Branchenstandards. 28 Prozent wollen Gefahren durch steigende Mobilität vermeiden und 27 Prozent sehen IAM als Mittel zum Schutz von Unternehmen und Marke.
Komplexe IT-Umgebungen hemmen IAM
Die Analysten haben auch gefragt, was IAM blockiert. 55 Prozent aller Studienteilnehmer nennen dabei die Komplexität ihrer IT-Umgebung. 32 Prozent haben Schwierigkeiten, weil Zuständigkeiten und Verantwortlichkeiten über das Unternehmen verteilt sind. 30 Prozent verfügen schlicht nicht über die entsprechenden Skills.
Immerhin knapp jeder Fünfte (19 Prozent) erklärt nach wie vor, das Thema habe im Unternehmen keine Priorität. Aberdeen rät, IAM unter strategischen Gesichtspunkten zu betrachten. Entscheider sollten festlegen, ob ihnen Compliance-Fragen wichtiger sind oder ob sie in erster Linie Datenverluste vermeiden wollen. Daran sollten sie ihr Vorgehen ausrichten.