Risk & Compliance
Finanzdienstleister sichern Daten nicht genug
Die Verknüpfung verschiedener Lösungen im Management von Benutzeridentitäten und Zugriffsberechtigungen mit anderen IT-Funktionen ist in der Finanzindustrie zu gering. Hohe Kosten und Risiken sind die Folge. Das ist das Fazit der gemeinsamen Studie des Analystenunternehmens KuppingerCole und der Beta Systems Software AG. Lösungen für das Identity Access Management (IAM) und das Identity Access Governance (IAG) sollten fester Bestandteil des Risikomanagements sein und erlauben das compliance-gerechte Einhalten interner wie externer Normen.
Zwar zeigt die Studie "Identity Access Management und Governance in der Finanzindustrie" auf, dass die meisten Finanzdienstleister in Deutschland und der Schweiz in punkto IAM und IAG nicht bei null anfangen. Als Basistechnologie ist das Identity Provisioning am weitesten verbreitet, so das Ergebnis der zwischen November 2011 und Januar 2012 durchgeführten Befragung. Über 50 Prozent der Unternehmen setzen bereits Identity-Provisioning-Lösungen ein. Weitere gut 18 Prozent planen ihre Einführung und knapp 14 Prozent sind in der Umsetzung. Provisioning ist ein Teil des Identity Managements. Hier werden neue Mitarbeiter mit Zugangsrechten zu sämtlichen Ressourcen versorgt, die sie für ihre Tätigkeit benötigen. Vorrangig geht es um die automatisierte Zuweisung von Berechtigungen zur Benutzung von IT-Systemen.
Access Intelligence-Lösungen wenig eingesetzt
Während die Durchdringung der Finanzindustrie im Provisioning gut ist, ist der Verbreitungsgrad bei anderen Technologien dagegen deutlich geringer. 45 Prozent der Finanzdienstleister setzen keine IAG-Lösung ein - und wollen dies auch in Zukunft nicht tun. 59 Prozent der befragten Unternehmen haben und wollen auch keine Access Intelligence-Lösung einsetzen. Access Intelligence-Produkte bieten analytische Funktionen, bei denen vermehrt Technologien aus dem Bereich Business IntelligenceBusiness Intelligence/Data Warehouse zum Einsatz kommen. Die Analyse der Berechtigungen auf dieser Basis ermöglicht es, spezifische Risiken zu erkennen. Im Gegensatz zu IAG-Lösungen werden dabei nicht nur statische Berechtigungszuweisungen, sondern auch die aktive Nutzung von Berechtigungen mit einbezogen. Alles zu Business Intelligence auf CIO.de
Für Martin Kuppinger von KuppingerCole ist das Ergebnis überraschend. Er erklärt sich das Ergebnis damit, dass der Begriff "Access Intelligence" noch nicht etabliert ist. "Access Governance ist jedoch mit Blick auf die regulatorischen Anforderungen eine Kerntechnologie", erläutert Kuppinger.