Identitäts- und Zugangsverwaltung (IAM) gewinnt in amerikanischen und europäischen Firmen an Bedeutung. Als Gründe sieht Bill Nagel von Forrester neben der wirtschaftlichen Unsicherheit die zunehmende Verteilung von Firmen auf viele Standorte und, vor allem in Europa, strengere gesetzliche Vorgaben. Mittels IAM könnten Firmen den Aufwand für IT-Verwaltung und die Beseitigung von Mängeln nach einer Prüfung gering halten und die Datensicherheit erhöhen.
Unter dem Begriff Identity and Access Management (IAM) verstehen die Marktbeobachter von Forrester Prozesse und Technologie, mit denen sich Angaben über Anwender und das Verhältnis zwischen Anwendern, Netzwerken und Anwendungen steuern und verwalten lassen.
Mehr als drei Viertel der IT-Entscheider in Europa halten IAM dieses Jahr für wichtig oder sehr wichtig, wie die "Security Survey, Q3 2008" von Forrester ergeben hat. Die Marktforscher werteten die Antworten von 285 Umfrageteilnehmern von Firmen mit mehr als 1.000 Mitarbeitern aus den USA und den europäischen Ländern Frankreich, Deutschland und Großbritannien aus.
Sicherheit und Governance sind die Hauptgründe für CIOs, IAM einzusetzen. 54 Prozent nannten das als Motiv. Zweites Motiv ist mit einigem Abstand die Befolgung von Vorschriften. Sie spielt in US-Firmen eine größere Rolle fürs Zugangsmanagement als in europäischen. Grund hierfür sei wahrscheinlich, dass Unternehmen jenseits des Atlantik auf diesem Gebiet noch Nachholbedarf hätten. Die Europäer seien wegen der traditionell größeren Last von Vorschriften schon vertrauter damit, diesen Folge zu leisten, mutmaßt Bill Nagel.
Vielen europäischen Firmen sind IAM-Lösungen zu teuer und zu komplex. Das betrifft sowohl den Kauf und die Implementierung als auch den laufenden Betrieb. Für die Autoren der Studie spiegelt sich darin eine Folge des noch zersplitterten IAM-Marktes wider. Vielfach gebe es Produkte, in denen viele Einzellösungen zu einer Suite verbunden seien, die aber nicht immer fehlerfrei zusammen funktionierten. Viele Entscheider befassen sich erst gar nicht mit speziellen IAM-Werkzeugen: Fast ein Viertel der Befragten meint, ohne sie auszukommen.
Single Sign-On häufig im Einsatz
Der zerklüftete IAM-Markt ist der Umfrage zufolge auch ein Grund, warum viele IT-Verantwortliche sich dem Thema erst nach und nach nähern. Zuerst setzen sie auf Anwendungen, die dringende und offensichtliche Probleme schnell lösen. An erster Stelle suchen sie nach Lösungen zur Nutzer-Authentifizierung, fürs Single Sign-On und zur Überwachung der Nutzeranmeldungen.
45 Prozent haben eine Authentifizierungs-Lösung für den Login in Betrieb, 19 Prozent planen das dieses Jahr. Mit Single Sign-On arbeitet die Hälfte der Befragten oder will es bald einsetzen. Die sogenannte Identitätsföderation (Identity Federation) spielt dagegen bisher noch eine Nebenrolle. Hinter dem Begriff verbergen sich Lösungen, wie Firmen mithilfe digitaler Identitäten untereinander Informationen austauschen. Allerdings räumen Bill Nagel und seine Ko-Autoren auch ein, dass es sich dabei um ein komplexes Thema handle.
Die meisten halten Passwörter für sicher genug
Welches Maß an Sicherheit die CIOs von den jeweils verwendeten Lösungen erwarten, hängt davon ab, wer von wo aus auf die Firmennetze zugreifen will. Für die Anmeldung der eigenen Mitarbeiter reicht sechs von zehn ein einfaches Passwort. Wenn Geschäftspartner aufs Extranet zugreifen wollen oder Mitarbeiter und Vertragspartner sich im Intranet anmelden wollen, halten das nur noch vier von zehn für ausreichend. In diesen Fällen kommen häufig nur einmal verwendbare Passwörter zum Einsatz.
Physische und IT-Sicherheit wachsen langsam zusammen, wie die Studie weiter feststellt. Vor allem große, internationale Firmen treiben diese Entwicklung voran. Dort haben Mitarbeiter vielfach eine einzige Zugangskarte, mit der sie in die Gebäude gelangen und sich gleichzeitig an Netzwerk und Rechnern anmelden. In Unternehmen in Europa gibt es Initiativen zur Konvergenz von physischer und IT-Sicherheit in 28 Prozent der Fälle, in amerikanischen schon zu 37 Prozent.
Single Sign-On kommt gut an
Forrester attestiert den untersuchten Firmen, auf dem richtigen Weg zu sein. So sei etwa der Einsatz von Single Sign-On eine Maßnahme, die gut bei der Belegschaft ankomme und klar sichtbare Vorteile habe. Hinsichtlich umfassender und integrierter IAM-Lösungen müssten die IT-Manager ihre Erwartungen womöglich noch etwas zurückschrauben. Verspreche ein Hersteller ein vollständig integriertes Lösungspaket, lohne es sich auf jeden Fall, genau hinzuschauen.