IT-Sicherheit ist in den Unternehmen stark fragmentiert. Damit könnte bald Schluss sein. Identity- und Access-Management, kurz: IAM, schickt sich an, über eine zentralisierte Zugriffskontrolle den Flickenteppich an Einzelsystemen in den Unternehmen zu konsolidieren. „Diese Aufräumarbeit wird auch im Markt zu einer Bereinigung führen“, ist Lars Freund, Senior Consultant beim Beratungshaus Unilog Avinci, überzeugt. Die Marktverschiebungen in Richtung IAM seien schon voll im Gang. IDC benennt die Impulse hinter dieser Entwicklung: Vereinfachung der IT-Sicherheit durch Zentralisierung, eine voranschreitende Web-Technologie, eine zunehmende Verkettung von Anwendungen, Synergien mit anderen Management- Systemen und eine Ausweitung der Zugriffskontrolle auf Dokumente und Inhalte.
Zu den angestammten Anbietern im IAM-Feld wie Computer Associates, IBM, Microsoft, Novell, RSA Security, Siemens Communications, Sun Microsystems und Evidian (zur Bull-Gruppe gehörend) sind viele Newcomer über eine aggressive Akquisitionspolitik hinzugetreten. Dazu gehören Größen wie BMC, BEA Systems, EMC, HP und Oracle. Der vorletzte Coup: EMC hat sich im Juni RSA Security einverleibt. Der letzte: Bea Systems hat Ende August den Meta-Daten-Spezialisten Flashline übernommen. „Alle peilen einen Markt an, den wir in Westeuropa bis 2010 im Jahresdurchschnitt um 10,1 Prozent wachsen sehen, mit dann einem Umsatzvolumen von 1,5 Milliarden US-Dollar“, so Anita Liess, Analystin bei IDC. Für Deutschland geht IDC von einem durchschnittlichen Wachstum von neun Prozent bis zum Jahr 2010 aus. Die Umsätze mit IAM steigen in der Zeit von 198 Millionen Dollar im Jahr 2005 auf 305 Millionen Dollar im Jahr 2010.
Selbst Citrix hat sich mit seiner ohnehin zentralisierten Terminal-Server-Architektur das Emblem „IAM“ ans Revers geheftet, um die Öffnung seiner ehemals verschlossenen Thin Clients gegenüber dem Internet durch teure Zusatzprodukte zu begleiten. Hersteller von Authentisierungs-Servern, Firewalls und UT (Unified Threat Management)-Appliances hissen die IAM-Fahne, obwohl sie mit ihrer Offerte nur Identitäten und Rechte eines beschränkten Applikationskreises wie Anwendungsprotokoll-Server und ausgesuchte Web-Anwendungen einfangen. Microsoft spricht von IAM und adressiert via Active Directory vorrangig nur eigene Applikationen. Herbert Engelbrecht, Leiter des Kompetenz-Centers Corporate Sourcing bei Ernst & Young, warnt: „Nicht überall wo IAM draufsteht, ist IAM umfassend drin und für Unternehmen sinnvoll.“ So wehrten sich prominente Firewall- und UTM-Anbieter gegen eine Integration der Teilnehmer- und Rechteverwaltung ihrer Systeme ins zentrale Verzeichnis von IAM, um die Herstellerbindung aufrechtzuerhalten.
Falsche IAM-Etiketten
Auch Anbieter von IAM-Architekturen weisen nach Engelbrecht Schwächen auf: „Vor allem Newcomer haben oft noch Lücken innerhalb des Modulquartetts aus Verzeichnisintegration/Meta Directory, Single Sign-on(SSO), zentraler Teilnehmer-/Rechteverwaltung und Rollen-Management, nicht zu vergessen die Umsetzung gesteuerter Workflows.“ Wo das Produktportfolio komplett erscheine, seien die akquirierten Produkte nicht immer integriert, meint Engelbrecht.
Dabei kommt der Integration für Unilog-Avinci-Berater Freund eine zentrale Rolle zu: „Vor allem die Integration der Zielverzeichnisse ist unverzichtbar für den Aufbau eines IAM-Systems. Damit müssen die Identitäten und ihre Rechte nur einmal eingegeben werden, um sie anschließend automatisch in den betroffenen Applikationen zu aktualisieren.“ Je mehr Konnektoren der Hersteller für die Einbindung biete, umso besser bekomme das Unternehmen über Meta Directory die Zugriffskontrolle in den Griff. Auch Einsparungen fielen umso größer aus. Sicherheitsberater Ray Wagner von Gartner beziffert sie in der Studie „Identity- and Access Management Now“ auf bis zu 30 Prozent gegenüber einer separaten Administration.
Brigitte Wirtz, Abteilungsleiterin Sicherheitssystem-Integration bei Siemens Business Services, sieht separate Authentisierungs-Server, die mit verschiedenen Anwendungsprotokoll-Servern interagieren, allmählich in der Versenkung verschwinden: IAM werde ihre Aufgaben übernehmen. Die anstehende Ablösung dieser Installationen hänge allerdings von der Migrationsgeschwindigkeit der Unternehmen zur Web-Technologie ab, schränkt sie ein. „Die bestehenden Anwendungsprotokoll-Server sind noch auf das Handling der alten Sicherheits-Token abgestimmt“, erklärt sie.
Erste Verlierer: Firewall-Anbieter
Die zentralisierte Sicherheit wird so zu weiteren Bereinigungen im Außenwall führen. Berater Freund von Unilog Avinci geht davon aus, dass IAM die Verwaltung der Administratoren und ihrer Rechte für Sicherheitswerkzeuge wie Firewall, Intrusion Detection, Antivirensoftware und E-Mail-Filter übernehmen wird. Er sieht zudem mit dem Vordringen von IAM Netzwerk-VPN-Techniken wie IPSec-VPNs ins Marktabseits laufen. „Mit jedem Schritt weiter, den die Unternehmen in Richtung Web-Technologie gehen, werden zunehmend SSL-VPNs auf Sitzungsebene die Verschlüsselung bis zu den Anwendungen übernehmen, mit einer direkten Übergabe an das IAM-System“, prognostiziert er.
Alle Konsolidierungen im äußeren Sicherheitswall werden für Freund gravierende Auswirkungen auf das Marktangebot haben. Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich bei Ernst & Young, pflichtet bei: „Die betroffenen Hersteller, auch von Firewall-Systemen, werden Teile ihres Angebots verlieren. Sie werden sich mit ihren Benutzerverwaltungen in marktwichtige IAM-Architekturen einpassen oder schnell neue Standbeine entwickeln müssen.“
Darüber hinaus könnte IAM neue Service-Provider-Modelle in Gang setzen. Der Versicherer Swiss Life Belgien räumt beispielsweise seinen Kunden über die IAM-Infrastruktur von Anbieter Evidian die Selbstbearbeitung und -verwaltung der eigenen Kontrakte ein. Martine Reniers, Leiterin des Departments Informations- und Kommunikationstechnik, zählt als Vorteile mehr Kundennähe, schnellere Bearbeitung sowie geringe Kosten für Vertrags-Management, Help-Desk und Administration. Evidian-Geschäftsführer Erwin Schöndlinger hält sogar eine partnerschaftliche Service-Aufteilung in einem „sanften Outsourcing“ zwischen Service-Providern und Kunden für möglich.
Neues Outsourcing-Modell mit IAM
Unilog-Berater Freund ist sich sicher: „So genannte Federated Systems werden das bestehende Outsourcing-Modell mit seiner inflexiblen Hosting-Architektur ablösen.“ Bei der Zusammenarbeit nutzen die Systeme gemeinsam Identitätsinformationen über unterschiedliche IT-Systeme und Unternehmensgrenzen hinweg. Auf beiden Seiten arbeiten IAM-Systemen über vertrauliche Kommunikationsbeziehungen zusammen. „In solchen föderierten IAM-Systeme werden Server und Applikationen der Unternehmen nicht mehr das Haus verlassen müssen und dennoch vom Provider betrieben werden können“, blickt Freund in die nahe Zukunft. Auch in dieser Konstellation treibt IAM die Markt-Konsolidierung voran.