Finanzdienstleister werden wegen steigender regulatorischer Anforderungen in die Tasche greifen müssen. So sehen sie das zumindest selbst, wie eine Studie des Düsseldorfer Beraters Kuppinger Cole ergab. Die Studie entstand in Zusammenarbeit mit dem Anbieter Beta Systems Software aus Berlin.
Die Analysten haben mit Entscheidern aus 38 Banken, Versicherungen und Finanzdienstleistern gesprochen. Die Aussagen der Studie - die eher als explorativ gelten kann - sollen nach den Worten von Martin Kuppinger "als Orientierung" für die Finanzindustrie gelten.
Die Studienautoren wollten wissen, welcher Stellenwert den Themen Zugangs-Management (Identity Access Management, kurz IAM) und Identity Access Governance (IAG) zukommt. Die Antworten der Teilnehmer zeigen, dass diese Themen an Bedeutung gewinnen, weil sich die Finanzbranche immer stärkeren regulatorischen Anforderungen ausgesetzt sieht.
Dazu ein paar Zahlen: Insgesamt 85 Prozent der Befragten erklären, der Compliance-Druck habe sich erhöht oder stark erhöht. Zehn Prozent geben an, es habe sich nichts verändert und lediglich fünf Prozent sagen, der Compliance-Druck habe sich verringert.
Das heißt für die IT-Systeme: Banken und Versicherungen wissen, wer was getan hat, wer was tun darf und wie die Funktionen getrennt sind. "Zugriffs-Management und Zugriffskontrolle sind Kernanforderungen", schreibt Martin Kuppinger.
Eine Mehrheit von 62 Prozent der Studienteilnehmer erklärte gegenüber den Studienautoren, in den vergangenen zwei Jahren habe es Kontrollverletzungen gegeben. Allerdings merken die Autoren an, dass sie diesen Prozentsatz sogar für noch höher halten - nicht alle Gesprächspartner hätten diese Frage beantwortet.
Budget für Zugangs-Management erhöht
Mehr als jedes zweite Unternehmen der Finanzindustrie hat 2011 im Vergleich zum Vorjahr denn auch mehr Budget speziell für Zugangs-Management bereitgestellt. Die Ausgaben für IT-Sicherheit sind allgemein leicht gestiegen, die Studienteilnehmer erwarten auch, dass das so bleibt.
Konkrete Maßnahmen der Banken und Versicherungen sind derzeit vor allem folgende: Datenzugriff nur nach Authentifizierung und gesteuert über Zugriffsberechtigung möglich (knapp 70 Prozent "vollständig umgesetzt", weitere 30 Prozent "teilweise umgesetzt), das Vermeiden gemeinsamer Benutzerkonten (vollständig umgesetzt: mehr als 50 Prozent, teilweise umgesetzt: knapp 30 Prozent) und die Vergabe rollenbasierter Berechtigungen (vollständig umgesetzt. 20 Prozent, teilweise umgesetzt: weitere 20 Prozent, wird gerade umgesetzt: gut 30 Prozent).
Das regelmäßige Rezertifizieren von Berechtigungen ist bislang erst in rund jedem zehnten Unternehmen vollständig umgesetzt, aber immerhin in gut vierzig Prozent "teilweise". Die digitale Signatur von Dateien ist nirgendwo vollständig umgesetzt.
Ein weiteres Ergebnis der Studie: Wichtigster Stakeholder in Sachen Identity Access Management ist nach Aussagen der Befragten der Leiter des IT-Betriebs - noch vor dem CIO. Auch der Leiter der IT-Revision und der Chief Risk Officer entscheiden mit.
Identitäts- und Zugangs-Management wird Chefsache
Nach Einschätzung von Kuppinger Cole entwickelt sich Zugangs-Management aber zunehmend zur Chefsache. Immerhin in rund jeder dritten Bank und Versicherung nimmt sich der Gesamtvorstand des Themas an.