Die Floskel "bemüht" verheißt in einem Zeugnis bekanntlich nichts Gutes. Wenigstens nicht völlige Untätigkeit, immerhin. Keine vernichtende, aber doch eine schlechte Note. Und genau diese geben die Analysten von Gartner für das Identity- und Account-Management (IAM) in den meisten Unternehmen. Ignoriert wird das Thema nicht mehr. Aber viele Firmen packten es völlig falsch an, attestieren die Marktforscher.
Die Unternehmen kaufen Lösungen ein, manchmal blind – und genau dagegen läuft Gartner Sturm. IAM über die angebotenen Produkte zu definieren, sei der völlig falsche Ansatz. Genau diesen verfolgten aber zwischen der Hälfte und zwei Drittel der Unternehmen, schätzt Earl Perkins, Research Vice President bei Gartner. Dabei seien die Firmen aufrichtig auf der Suche nach effektiven Programmen für ihr Identitäts- und Zugangsmanagement.
Schlicht vergessen: Zielgruppen einbinden
Der Fehler: IAM werde um technologische Cluster herum gebaut, statt zielgerichtet spezifische IT- und Geschäftsprozesse zu bedienen. "Die Build-Erfahrung von IAM-Projekten ist traditionell keine Gute", unkt Perkins. Oftmals werde – bei aller technologischen Reife – beim IAM-Aufbau für ein Unternehmen schlicht vergessen, alle relevanten Zielgruppen einzubinden.
Hinzu kommt, dass die Aufgabe immer komplexer wird. Früher ging es nur um das Stopfen von Löchern. Mittlerweile hängen an IAM Risiko-, Compliance- und Transparenzfragen. Deshalb ist laut Gartner jeder im Unternehmen um Mithilfe gefragt. Nur das Unternehmen als aktives Ganzes könne bei der Entwicklung einer sinnvollen IAM-Politik erfolgreich sein. Deshalb könne IAM auch keine reine IT-Aufgabe mehr sein, so Perkins. "Produkte sind letztlich ein recht kleiner Teil des Entscheidungsprozesses in einem IAM-Programm", so Perkins. "Es sollte auf dem Fundament der Organisation ruhen – auf Policies, Prozessen und Leuten."
IAM als Prozess anzugehen hat nach Ansicht Gartners mehrere Vorteile. So könne das produktzentrierte Muster abschüttelt werden, in das die Anbieter IAM gepresst haben. Statt ins Regal der Lösungen zu greifen, die technologische Lücken schließen sollen, werde eine neue erste Frage gestellt: Wo und wie können Mitarbeiter und Tools am besten eingesetzt werden, um die Anforderungen im Unternehmen zu erfüllen? Es gehe darum, Enterprise- und Security-Architekturen mit besonderen IAM-Architekturen zu ergänzen.
IAM als Prozess verstehen
Auch die Produktauswahl falle leichter, wenn IAM als Prozess begriffen wird, analysiert Perkins. Zunächst werden Anforderungen und Ziele erkennbar, die sich nach Bedarf priorisieren lassen. Auf dieser Grundlage lassen sich passende Lösungen finden.
Der Analyst rät dazu, sich einen IAM-Prozess bildlich auf einer Karte vorzustellen, wo er quer über allen Geschäftsprozessen liegt. Konvergenzen und Berührungspunkte für Kontroll- und Analyseziele werden ersichtlich. So lässt sich nach Ansicht Perkins auch am besten klären, welche Prozessschritte sich sinnvollerweise automatisieren lassen und welche besser unter intensiver Kontrolle geeigneter Mitarbeiter bleiben.
IAM-Governance sollte ad hoc ablösen
Durch eine Verknüpfung von IAM mit dem im Unternehmen geltenden Regelwerk könne IAM-Governance als Lebenszyklus etabliert werden, so Perkins. Es sei dann nicht mehr nötig, mit aufgeregten Aktivitäten ad hoc auf Zugangs- und Identitätsprobleme zu reagieren.
Genauer ist Gartners Analyse in der Studie "A Process View of Identity and Access Management Is Essential" nachzulesen.