Wer sich schon länger mit Identity- und Access-Management (IAM) beschäftigt, hat in den vergangenen drei bis vier Jahren einen grundlegenden Wandel beobachten können. Compliance ist heute einer der wichtigsten Treiber – und das Thema wird immer mehr auch im Management verstanden.
Die Anforderungen und Auswahlkriterien für IAM-Lösungen haben sich verändert, ebenso wie der Anspruch an die Durchführung von Projekten. Dafür sind viele Dinge auch einfacher geworden. IAM-Projekte lassen sich leichter argumentieren und die Umsetzung in der Organisation, lange Zeit eines der kritischen Themen, ist deutlich einfacher geworden
Heute geht es aber auch viel mehr um Access Management, also die Steuerung von Zugriffsberechtigungen und deren Kontrolle. Das Management der Identitäten (also der Benutzer) ist dafür eine notwendige Voraussetzung, aber letztlich interessiert die Entscheidungsträger primär die Frage, wie man sicherstellen kann, dass niemand mehr Zugriffsberechtigungen besitzt als er wirklich braucht.
Entsprechend haben sich auch die Anforderungen verschoben. In den frühen Tagen drehte sich noch alles um die technische Synchronisation von Benutzerdaten zwischen verschiedenen Verzeichnissen. Etwas später spielte die Unterstützung von Änderungsprozessen rund um Benutzer eine Rolle.
Heute konzentriert man sich insbesondere auf die „Access Governance“, also die Analyse, Rezertifizierung und Steuerung von Zugriffsberechtigungen. Hinzu kommt– durchaus „Identity-lastig“ – das Einbinden neuer Benutzergruppen beispielsweise von Geschäftspartnern in einfacher Weise, um diesen Zugriff (Access) auf ausgewählte Systeme und Informationen in kontrollierter Weise bieten zu können.
Neue Ziele, neue Lösungen
Im Gegensatz zu den frühen Tagen von IAM ist die Einbindung aber nicht so sehr von dem Wunsch nach der Vereinfachung von administrativen Prozessen und der Erhöhung der Datenqualität getrieben. Vorrangig interessiert die geschäftliche Anforderung, vernetzte Geschäftsprozesse mit neuen Gruppen von Benutzern wie Vertriebspartnern, Lieferanten oder Kunden umsetzen zu können.
Damit verändern sich auch Auswahlkriterien und Architekturen von Lösungen. Immer mehr Unternehmen beginnen ihre Projekte auf der Ebene der Access Governance und nicht beim stärker technisch geprägten Provisioning. Provisioning ist immer mehr eine technische Infrastruktur, um Änderungen in darunter liegenden Systemen technisch umzusetzen.
Gesteuert wird mithilfe von Access Governance-Lösungen, aber auch Service-Portalen und anderen zentralen Steuerungsschichten. In solchen Architekturen lassen sich dann einfach verschiedene Provisioning-Systeme kombinieren, die in bestimmten Systemumgebungen (SAP, Microsoft Active Directory,…) eingeführt wurden oder sich als Konsequenz von Akquisitionsprozessen ergeben haben.
Gerechtfertigte Ausgaben
Der vielleicht wichtigste Punkt ist aber, dass das Management – das „Business“ – die Notwendigkeit des Themas heute sehr viel besser versteht. Die Anforderungen an das Management von Zugriffsberechtigungen sind ein wichtiges und wohl verstandenes Thema, insbesondere in Branchen mit hohen regulatorischen Anforderungen wie der Finanzindustrie.
Damit wird es auch einfacher, das Thema zu positionieren und Budgets zu bekommen – allerdings nur, solange man die Anforderungen des Business in den Mittelpunkt stellt, also insbesondere das Zugriffsmanagement und die einfachere Einbindung neuer Benutzergruppen. Darauf müssen auch die Architekturen ausgerichtet sein.
Trotz des besseren Verständnisses für die Notwendigkeit von IAM ist auch klar, dass das Thema – wie jedes Infrastruktur-Thema – zunächst eben eine Investition darstellt. Schlanke, fokussierte Investitionen, müssen eben sein und zahlen sich auf Dauer durch höhere Informationssicherheit, bessere Unterstützung des Business, höhere Effizienz der IT etc. aus. Sie sind einfacher durchsetzbar als Ansätze, die dem Management das Gefühl geben, dass es sich um komplexe Technik handelt, die über das unbedingt Nötige hinausgeht.