Die Verknüpfung verschiedener Lösungen im Management von Benutzeridentitäten und Zugriffsberechtigungen mit anderen IT-Funktionen ist in der Finanzindustrie zu gering. Hohe Kosten und Risiken sind die Folge. Das ist das Fazit der gemeinsamen Studie des Analystenunternehmens KuppingerCole und der Beta Systems Software AG. Lösungen für das Identity Access Management (IAM) und das Identity Access Governance (IAG) sollten fester Bestandteil des Risikomanagements sein und erlauben das compliance-gerechte Einhalten interner wie externer Normen.
Zwar zeigt die Studie "Identity Access Management und Governance in der Finanzindustrie" auf, dass die meisten Finanzdienstleister in Deutschland und der Schweiz in punkto IAM und IAG nicht bei null anfangen. Als Basistechnologie ist das Identity Provisioning am weitesten verbreitet, so das Ergebnis der zwischen November 2011 und Januar 2012 durchgeführten Befragung. Über 50 Prozent der Unternehmen setzen bereits Identity-Provisioning-Lösungen ein. Weitere gut 18 Prozent planen ihre Einführung und knapp 14 Prozent sind in der Umsetzung. Provisioning ist ein Teil des Identity Managements. Hier werden neue Mitarbeiter mit Zugangsrechten zu sämtlichen Ressourcen versorgt, die sie für ihre Tätigkeit benötigen. Vorrangig geht es um die automatisierte Zuweisung von Berechtigungen zur Benutzung von IT-Systemen.
Access Intelligence-Lösungen wenig eingesetzt
Während die Durchdringung der Finanzindustrie im Provisioning gut ist, ist der Verbreitungsgrad bei anderen Technologien dagegen deutlich geringer. 45 Prozent der Finanzdienstleister setzen keine IAG-Lösung ein - und wollen dies auch in Zukunft nicht tun. 59 Prozent der befragten Unternehmen haben und wollen auch keine Access Intelligence-Lösung einsetzen. Access Intelligence-Produkte bieten analytische Funktionen, bei denen vermehrt Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen. Die Analyse der Berechtigungen auf dieser Basis ermöglicht es, spezifische Risiken zu erkennen. Im Gegensatz zu IAG-Lösungen werden dabei nicht nur statische Berechtigungszuweisungen, sondern auch die aktive Nutzung von Berechtigungen mit einbezogen.
Für Martin Kuppinger von KuppingerCole ist das Ergebnis überraschend. Er erklärt sich das Ergebnis damit, dass der Begriff "Access Intelligence" noch nicht etabliert ist. "Access Governance ist jedoch mit Blick auf die regulatorischen Anforderungen eine Kerntechnologie", erläutert Kuppinger.
Von Bedeutung für die Sicherheit und das Risikomanagement der Institute ist auch das Ineinandergreifen von Access Governance und Provisioning. Access Governance analysiert den Status von Berechtigungen und identifiziert Situationen, die eine Veränderung von Berechtigungen erfordern. Ein Zusammenspiel zwischen Access Governance und Provisioning-Lösungen, die Umsetzung der Änderungen vornehmen, ist daher zwingend. Doch 40 Prozent der befragten Unternehmen, die sowohl Access Governance als auch Provisioning einsetzen, haben diese Integration nicht.
"Das ist insofern nicht überraschend, als Access-Governance-Lösungen häufig sehr schnell unter hohem Compliance-Druck eingeführt und teilweise auch von anderen internen Bereichen als dem Identity Provisioning betrieben werden", erklärt Kuppinger. "Da die fehlende Kopplung der Lösungen aber das Risiko von Inkonsistenzen im Management von Zugriffsberechtigungen erhöht, ist eine Kopplung zwingend."
Noch wenige Schnittstellen zu Governance Risk & Compliance
Aufschlussreich sind auch die Antworten auf die Frage nach dem Zusammenspiel zwischen Governance Risk & Compliance (GRC) und Access Governance. Gerade einmal jeder sechste Studienteilnehmer hat dafür Schnittstellen realisiert. 44 Prozent verknüpfen GRC und Governance nicht - und knapp 40 Prozent der Befragten wissen nicht, ob sie eine Lösung dafür einsetzen.
"Diese Zahlen geben Aufschluss darüber, dass Access Governance trotz seiner zentralen Bedeutung für die Erfüllung regulatorischer Anforderungen und das Risikomanagement insgesamt immer noch zu sehr als IT-Thema gesehen wird, und dass es der Finanzindustrie insgesamt bisher nicht gelungen ist, organisatorische Strukturen für ein unternehmensweites GRC unter Einbezug sowohl der Business-Bereiche als auch der IT zu implementieren", schlussfolgert Kuppinger.
Die Studie "Identity Access Management und Governance in der Finanzindustrie" können Sie hier kostenlos downloaden